RODO, czyli rozporządzenie o ochronie danych, weszło w życie 25 maja 2018 roku. Jest zbiorem przepisów i regulacji prawnych, które zostały stworzone po to, aby każdej osobie fizycznej zapewnić prywatność. Wejście w życie RODO nałożyło na administratorów szereg nowych obowiązków. Obowiązkiem każdego administratora jest między innymi zgłaszanie organowi nadzorczemu naruszenia ochrony danych. Kiedy administrator powinien takiego zgłoszenia dokonać? Sprawdźmy.
Czym jest naruszenie danych?
Poprzez naruszenie danych osobowych twórcy RODO uznają naruszenia bezpieczeństwa, które może prowadzić do ich:
-zniszczenia;
-utraty;
-zmodyfikowania;
-ujawnienia.
Bardzo dokładnie kwestie te zostały uregulowane w art. 4 pkt 12 RODO. Dane osobowe mogą zostać ujawnione osobom nieuprawnionym, co oznacza naruszenia poufności. Może dojść również do naruszenia dostępności. W tym przypadku dane są trwałe zniszczone albo utracone. Celowa lub przypadkowa zmiana treści danych osobowych to z kolei naruszenie ich integralności.
Co należy do obowiązków administratora, który stwierdzi naruszenie bezpieczeństwa danych?
Przede wszystkim administrator musi dokonać oceny, czy rzeczywiście doszło do naruszenia ochrony danych w świetle przepisów RODO. Jeśli dokonana przez niego analiza wykaże, że prawdopodobieństwo naruszenia danych jest bardzo wysokie, ma obowiązek powiadomić o incydencie organ nadzorczy. Z tego obowiązku administrator jest zwolniony w sytuacji, gdy dokonana przez niego analiza wykaże, że prawdopodobieństwo naruszenia danych nie istnieje.
Kiedy należy zgłaszać naruszenie danych?
Zawsze, gdy pojawia się ryzyko, że zostaną naruszone prawa i wolności osoby fizycznej, administrator ma obowiązek zgłosić to do organu nadzorczego. Naruszeniem praw i wolności osoby fizycznej może być kradzież tożsamości, naruszenie dobrego imienia czy ujawnienie poglądów politycznych bądź przekonań religijnych. Art. 33 ust 1. RODO bardzo wyraźnie mówi, że administrator incydent naruszenia danych musi zgłosić organowi nadzorczemu niezwłocznie. Powinien to zrobić, oczywiście jeśli jest to możliwe, przed upływem siedemdziesięciu dwóch godzin od chwili, gdy stwierdził, że doszło do naruszenia danych. Jeżeli termin ten zostanie przekroczony, administrator powinien wyjaśnić, co jest przyczyną opóźnienia. Zgłoszenia o naruszeniu danych dokonuje się do Prezesa Urzędu Ochrony Danych Osobowych. Zgłoszenia dokonuje się drogą elektroniczną. Na stronie internetowej Urzędu dostępny jest specjalny formularz. Administrator nie wykonujący tego obowiązku może zostać ukarany karą finansową.