14 lut

Zawiadomienie o naruszeniu – najczęstsze błędy i jak to zrobić prawidłowo

Naruszenie ochrony danych w pewnych okolicznościach wymaga zawiadomienia osoby, której dane dotyczą. Zgodnie z art. 34 RODO, administrator musi przekazać zawiadomienie, jeżeli naruszenie może powodować wysokie ryzyko negatywnych skutków dla osoby, której ono dotyczy. Natomiast ja przy większości naruszeń, niezależnie od oceny ryzyka, rekomenduję dokonać zawiadomienia. Uważam, że rzetelna informacja o tym co się stało, jest ważna. Pozwala zrozumieć na czym polegało zdarzenie, jakie mogą być jego konsekwencje i zapewnić lepszą kontrolę nad danymi. Często też zwracam moim klientom uwagę na to, że przekazanie takiej informacji jest po prostu profesjonalne, tym bardziej, gdy osoba, której dane dotyczą wie o naruszeniu jej danych osobowych (a często tak jest). Po kilku latach doświadczeń w zgłaszaniu naruszeń do Prezesa UODO oraz zawiadamianiu osób, których dane dotyczą, nauczałam się jak to robić prawidłowo (hej, nie udawajcie, że Wy od razu wszystko potraficie i wiedzieliście jak to zrobić).

Zawiadomienie nie jest konieczne, gdy osoba, której dotycz już o nim wie

FAŁSZ. To chyba najczęściej przekazywany mi argument przez różnych administratorów oraz IOD. Osoba, której dotyczy naruszenie wie o nim (najczęściej w nim uczestniczyła), zatem jaki jest sens przekazywania jej zawiadomienia? Sama wiedza o tym, że doszło do naruszenia nie oznacza, że ta osoba, wie jakie mogą być jego negatywne konsekwencje i co może zrobić, aby zminimalizować ryzyko. Zatem nawet w tej sytuacji, trzeba przekazać informacje wymagane art. 34 RODO.

Zawiadomienie nie jest konieczne, gdy naruszenie dotyczy jednej osoby

FAŁSZ. Nie wiem skąd wzięło się przekonanie, że naruszenie musi dotyczyć większej liczby osób, żeby wiązało się z wysokim ryzykiem, a tym samym wymagało zawiadomienia. Nie ma znaczenia, czy naruszenie dotyczy 1 czy 1000 osób. Jeżeli zdarzenie może nieść wysokie ryzyko negatywynych skutków, nawet jeżeli dotyczy tylko jednej osoby, należy poinformować ją o naruszeniu ochrony jej danych.

Read More
18 lis

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych

Designed by Freepik.com

Informowanie osób, że z ich danymi stało się „coś złego” (to może być nie tylko kradzież, ale także nieuprawniona modyfikacja, nieuprawniony dostęp, niewłaściwe zniszczenie, utrata dostępu do danych), jest jednym z nowych i bardzo, bardzo ważnych obowiązków, wynikających z RODO. Nie oszukujmy się, administrator danych najchętniej ukryłby każde zdarzenie, które mogłoby postawić go w złym świetle. Dotychczas administratorzy nie mieli obowiązku poinformowania osób, których dane dotyczą, nawet gdy mieli 100% pewność, że ktoś może wykorzystać dane do kradzieży tożsamości. Mogli to zrobić, ale nie musieli, co oznacza, że zazwyczaj tego nie robili.

Warto zwrócić uwagę, że zawiadomienie organu nadzoru o wycieku danych, nie jest niczym nowym. Podobne obowiązki już dawno były wpisane w przepisy o ochronie informacji niejawnych oraz prawo telekomunikacyjne. Jednakże przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Znanych jest kilka historii (polecam poszperać na stronach serwisu Niebezpiecznik.pl) o tym, jak administrator danych „zawiadamiał” w sposób, który nie wnosił żadnej wiedzy, a jedynie zamieszanie i zdenerwowanie. Co nam po informacji, że ktoś ukradł nam dane, a administratorowi jest przykro z tego powodu?

RODO wprowadza nowe zasady. Jeżeli zostanie naruszona ochrona danych w wyniku, której istnieje duże ryzyko dla praw i wolności, osób które dane dotyczą, wówczas administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO). Jak wspomniałam wcześniej, naruszenie nie dotyczy tylko kradzieży. Naruszeniem będzie zdarzenie, które doprowadzi do utraty, którejkolwiek z fundamentalnych cech danych osobowych, jak integralność, rozliczalność i poufność. Jeżeli za takim zdarzeniem, będzie szło ryzyko dla praw i wolności osoby, której dane dotyczą (np. szantaż tej osoby, kradzież jej danych, niemożliwość skorzystania przez nią z praw przysługujących jej na mocy przepisów prawa, itd), wówczas niezbędne jest zawiadomienie jej, o zaistniałym zdarzeniu. Read More