Zawiadomienie o naruszeniu – najczęstsze błędy i jak to zrobić prawidłowo
Naruszenie ochrony danych w pewnych okolicznościach wymaga zawiadomienia osoby, której dane dotyczą. Zgodnie z art. 34 RODO, administrator musi przekazać zawiadomienie, jeżeli naruszenie może powodować wysokie ryzyko negatywnych skutków dla osoby, której ono dotyczy. Natomiast ja przy większości naruszeń, niezależnie od oceny ryzyka, rekomenduję dokonać zawiadomienia. Uważam, że rzetelna informacja o tym co się stało, jest ważna. Pozwala zrozumieć na czym polegało zdarzenie, jakie mogą być jego konsekwencje i zapewnić lepszą kontrolę nad danymi. Często też zwracam moim klientom uwagę na to, że przekazanie takiej informacji jest po prostu profesjonalne, tym bardziej, gdy osoba, której dane dotyczą wie o naruszeniu jej danych osobowych (a często tak jest). Po kilku latach doświadczeń w zgłaszaniu naruszeń do Prezesa UODO oraz zawiadamianiu osób, których dane dotyczą, nauczałam się jak to robić prawidłowo (hej, nie udawajcie, że Wy od razu wszystko potraficie i wiedzieliście jak to zrobić).
Zawiadomienie nie jest konieczne, gdy osoba, której dotycz już o nim wie
FAŁSZ. To chyba najczęściej przekazywany mi argument przez różnych administratorów oraz IOD. Osoba, której dotyczy naruszenie wie o nim (najczęściej w nim uczestniczyła), zatem jaki jest sens przekazywania jej zawiadomienia? Sama wiedza o tym, że doszło do naruszenia nie oznacza, że ta osoba, wie jakie mogą być jego negatywne konsekwencje i co może zrobić, aby zminimalizować ryzyko. Zatem nawet w tej sytuacji, trzeba przekazać informacje wymagane art. 34 RODO.
Zawiadomienie nie jest konieczne, gdy naruszenie dotyczy jednej osoby
FAŁSZ. Nie wiem skąd wzięło się przekonanie, że naruszenie musi dotyczyć większej liczby osób, żeby wiązało się z wysokim ryzykiem, a tym samym wymagało zawiadomienia. Nie ma znaczenia, czy naruszenie dotyczy 1 czy 1000 osób. Jeżeli zdarzenie może nieść wysokie ryzyko negatywynych skutków, nawet jeżeli dotyczy tylko jednej osoby, należy poinformować ją o naruszeniu ochrony jej danych.
Opis zdarzenia jest zbyt ogólny
Ok, to też mój częsty błąd. Zgodnie z art. 34 ust. 2 RODO zawiadomienie powinno opisywać charakter naruszenia ochrony danych osobowych. Zbyt ogólny opis naruszenia to jedno z najczęstszych zastrzeżeń od Prezesa UODO do zawiadomień przekazywanych przez administratorów. W zawiadomieniu należy zatem wskazać opisując jego charakter:
- opis zdarzenia (zrozumiałym i prostym językiem, np. omyłkowe przesłanie wiadomości e-mail z Pani umową do innego adresata, na skutek pomyłki naszego pracownika);
- wskazanie kategorii danych, których dotyczy (należy wskazać konkretny zakres danych);
- czas i miejsce zdarzenia (data, godzina, miejscowość/adres);
- udział innych podmiotów (np. podwykonawca, operator pocztowy, itd.).
Gdzie najczęściej popełniałam błąd? Nie wskazywałam pełnego zakresu danych, np. Pisałam że została udostępniona umowa zlecenie, podczas gdy należało wskazać, „umowa zlecenie, w której zawarte były Pani/Pana dane w zakresie imienia, nazwiska, adresu do korespondencji, zakresu usług, wynagrodzenia, czasu trwania umowy”.
Poza tym nie wskazywałam aż tak szczegółowo czasu zdarzenia. Wskazywałam datę, ale często nie podawałam godziny, na co później zwracał uwagę organ nadzorczy.
Kontakt do IOD lub innej osoby
Zawiadomienie powinno zawierać imię, nazwisko oraz dane kontaktowe (telefon, e-mail) inspektora. Jeśli informacji udziela inna osoba, należy wskazać jej stanowisko, dział. Należałoby także podać godziny pracy.
Gdzie najczęściej są popełniane błędy? Przede wszystkim brak wskazania konkretnej osoby. W zawiadomieniach pojawia się tylko e-mail do IOD lub telefon na infolinię. Bywa też tak, że wskazany jest tylko adres siedziby i dział, brak natomiast możliwości kontaktu elektronicznego.
Konsekwencje zdarzenia, które nic nie wnoszą
To jest zdecydowanie najtrudniejsze. Najczęściej opis jest zbyt ogólny. Prezes UODO w swoich wytycznych wskazuje, że należy napisać jak najbardziej obrazowo, co może się stać, np.
– Korzystając z Pani/Pana danych ktoś może spróbować zaciągnąć szybką pożyczkę;
– oszust może założyć fałszywe konto na allegro, w celu wykorzystania go do oferowania kradzionych produktów lub wyłudzania środków finansowych. Na skutek tych działań Pan/Pani może zostać oskarżona, w związku z wykorzystaniem Pani/Pana danych;
– konkurencja może wykorzystać informacje o Pani wynagrodzeniu, w celu przejęcia Pani klientów, którym zaproponuje niższe stawki.
Więcej informacji o najczęściej popełnianych przy zawiadomieniu błędach znajdziesz w tabeli udostępnionej przez Prezesa UODO:
Polecam Ci też mój odrobinę straszy artykuł dotyczący zawiadamiania o naruszeniu, gdzie znajdziesz także przykładowy wzór zawiadomienia osoby, której dane dotyczą o naruszeniu jej danych: Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.