Maciej Jakubowski

Maciej Jakubowski
Aplikant

„Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” – nowy poradnik UODO

Dodano: czerwiec 12, 2019 Kategoria: Administrator danych, Wszystkie wpisy Autor: Maciej Jakubowski

Z końcem maja  2019 r. Urząd Ochrony Danych Osobowych (UODO) wydał kolejny poradnik mający ułatwić rozumienie i stosownie przepisów RODO. Tym razem wzięto pod lupę obowiązki administratorów związane z naruszeniami ochrony danych osobowych.  Zagadnienia te są szczególnie istotne, ponieważ wiążą się z dużym ryzykiem dla administratorów oraz pozostają w bezpośredniej relacji z ewentualnymi sankcjami. Warto docenić bardzo praktyczne podejście organu do tematu, a w szczególności dużą ilość konkretnych przykładów.

Zgodnie z informacją zamieszczoną na stronie UODO, od momentu stosowania RODO administratorzy dokonali 4 539 zgłoszeń naruszeń ochrony danych osobowych. Przeważająca część, bo aż 2/3 dotyczyła sektora prywatnego. Opierając się na rocznym doświadczeniu organ wysnuł podstawowy wniosek – administratorzy niezmiennie mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych, o którym stanowi art. 33 RODO.

Czym jest naruszenie ochrony danych i jakie obowiązki ze sobą niesie?

Poza wskazaniem ogólnej definicji naruszenia z art. 4 pkt 12 RODO, organ odniósł się do wytycznych Grupy Roboczej Art. 29. Wskazano, że można wyróżnić trzy typy naruszeń ochrony danych osobowych:

  • naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;
  • naruszenie dostępności – polega na czasowej bądź trwałej utracie lub zniszczeniu danych;
  • naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany;

Każdy z punktów opatrzono przykładami, które pozwalają w łatwy sposób zrozumieć istotę problemu. Następnie wprost odwołano się do przepisów RODO, wskazując jakie obowiązki wiążą się naruszeniem ochrony danych osobowych. Przy czym ukazano problem zarówno z perspektywy administratora, współadministratorów oraz podmiotu przetwarzającego. Podkreślono rolę jaką pełnią odpowiednie procedury postepowania na wypadek wystąpienia naruszenia ochrony danych np. opis postępowania personelu administratora.

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

W sytuacji naruszenia podstawową rzeczą jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Obowiązek zgłoszenia naruszenia organowi nadzorczemu będzie uzależniony od otrzymanych wyników. Więcej informacji oraz samo pojęcie „podejścia opartego na ryzyku” zostało wytłumaczone prze UODO w oddzielnym poradniku. (Link do poradnika).

Zgłoszenie naruszenia

W poradniku znajdziemy wszelkie informacje potrzebne do dokonania prawidłowego zgłoszenia tj.:

  1. Potrzebny formularz i informacje jak go można zgłosić;
  2. Informacje, które musi zawierać zgłoszenie naruszenia;
  3. Termin w jakim należy zgłosić naruszenie;
  4. Najczęściej popełniane błędy podczas zgłaszania naruszeń.

Co do zasady administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jednakże w niektórych sytuacjach istnieje możliwość sukcesywnego udzielania informacji. Szczególnie dużo uwagi poświęcono kwestii zawartości zgłoszenia. Ma to kluczowe znaczenie dla podjęcia szybkiego i skutecznego działania przez organ. Na bazie zebranych doświadczeń organ wskazuje, że zgłoszenia często bywają lakoniczne i nierzetelne np. opis naruszenia ogranicza się do jednego zdania. W wielu przypadkach zgłoszenia wypełnianie są w sposób rutynowy, prowadzący do błędów, bądź przez podmiot nieuprawniony do tego.

Ocena ryzyka i dokumentacja

W ocenie UODO dokonanie analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą ma wiodące znaczenie. Dlatego wprowadzenie odpowiednich procedur w tym zakresie jest obowiązkiem każdego administratora, niezależnie od tego czy zaistniało naruszeni ochrony danych. Poradnik dostarcza wskazówek dotyczących kryteriów oceny ryzyka, które mogą się okazać niezwykle pomocne. Są to wytyczne Grupy Roboczej art. 29, kryteria z art. 3 ust. 2 rozporządzenia KE nr 611/2013 oraz metodologia ENISA. Warto wskazać na stanowcze stanowisko organu w stosunku do naruszenia, które dotyczy imienia i nazwiska oraz numeru PESEL. W większości sytuacji organ uznaje, że tego typu naruszenie  powoduje wysokie ryzyko. Lista zagrożeń jakie mogą być efektem takiego naruszenia jest długa. W świetle zasady rozliczalności niezwykle ważne znaczenie nabiera dokumentowanie wszelkich naruszeń. Służyć ma do tego wewnętrzna ewidencja. Przy czym pełna realizacja wspomnianej zasady będzie wymagała także udokumentowania sytuacji, w której podjęto decyzję o niezgłoszeniu naruszenia  z uwagi na małe prawdopodobieństwo ryzyka naruszenia praw i wolności osób fizycznych. Z punktu widzenia administratorów przydatne będą także wskazówki co do działań jakie należy podejmować w celu ograniczenia występowania najczęstszych typów naruszeń ochrony danych osobowych np. błędów przy wysyłce email.

Zawiadomienie osób

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. W poradniku podkreślono, że poinformowanie osób fizycznych ma na celu umożliwienie im podjęcia niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia. Informacja powinna być napisana przejrzystym, łatwym do zrozumienia językiem. W tym miejscu znajdziemy przydatne przykłady zarówno poprawie jak i błędnie sformułowanych zawiadomień.  Dzięki nim łatwo można dostrzec istotę problemu. Zwrócono także uwagę, że forma zawiadomienia powinna umożliwiać wielokrotne zapoznanie się z jego treścią. Podobnie jak w przypadku zgłoszeń do organu, najczęściej popełnianym błędem jest niedbałe, zdawkowe konstruowanie zawiadomień do osób fizycznych. Częstym przypadkiem jest brak specjalnego kanału kontaktowego, co powoduje, że osoby pragnące uzyskać więcej informacji na temat naruszenia muszą posługiwać się ogólnodostępnymi drogami komunikacji.

Podsumowanie

Z pewnością warto zapoznać się nowym poradnikiem opracowanym przez UODO. Należy docenić praktyczne podejście organu do omawianych zagadnień. Przede wszystkim zbiera on w jednym miejscu wszelkie niezbędne informacje dotyczące naruszeń ochrony danych osobowych. Następnie porządkuje je, wzbogacając o obrazowe przykłady. W wielu kwestiach organ zaprezentował także wyraźne stanowisko, co z pewnością wpłynie pozytywnie na niektóre wątpliwości interpretacyjne.

Link do poradnika: https://uodo.gov.pl/pl/134/102

Post Views: 5 475

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Maciej Jakubowski

Maciej Jakubowski
Aplikant

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.