Od kilku lat o ochronie danych osobowych można usłyszeć wyjątkowo często, wiąże się to z wejściem w życie rozporządzenia o ochronie danych osobowych, w skrócie zwanym RODO. Nałożyło ono na organizacje gromadzące dane osobowe szereg nowych obowiązków, jednym z nich jest konieczność wprowadzenia rygorystycznych zasad w zakresie ochrony danych osobowych, do tego konieczne jest zawiadomienie odpowiednich organów o przypadkach naruszenia ochrony danych, ale też osoby, której dane dotyczą.
Co rozumiemy pod pojęciem „naruszenie ochrony danych osobowych”?
Jako naruszenie ochrony danych osobowych w świetle przepisów RODO rozumie się sytuację, w której doszło do utraty ich poufności, dostępności lub integralności. Każda sytuacja, w której dochodzi do nieuprawnionego umożliwiania dostępu, ujawnienia lub udostępnienia danych jest naruszeniem ochrony danych osobowych. Wraz z naruszeniem ochrony danych osobowych wzrasta ryzyko dla praw i wolności osoby bądź osób, które dane te dotyczą.
Jaka powinna być procedura w przypadku naruszenia ochrony danych?
Obowiązkiem każdego pracownika, który podejrzewa, że mogło dojść do naruszenia danych lub stwierdzi, że taki fakt miał miejsce, ma obowiązek powiadomić o zdarzeniu swojego bezpośredniego przełożonego. Fakt taki musi zostać przez niego zgłoszony bez zbędnej zwłoki. Z kolei obowiązkiem przełożonego jest zawiadomienie Inspektora danych osobowych – obowiązek powołania inspektora danych osobowych spoczywa na wielu organizacjach, w tym na bankach, towarzystwach ubezpieczeniowych, przedsiębiorstwach, szpitalach, przychodniach. W zależności od tego, jakie mogą być konsekwencje naruszenia danych, konieczne może okazać się również zawiadomienie o incydencie Prezesa Urzędu Ochrony Danych Osobowych. Jeżeli istnieje ryzyko, że na skutek naruszenia ochrony danych dojdzie do naruszenia praw i wolności osób, zawiadomione muszą zostać też osoby, których dane dotyczą – wynika to z art.34 RODO.
Kiedy należy dokonać zawiadomienie o naruszeniu ochrony danych?
W przypadku powzięcia podejrzenia o naruszeniu ochrony danych, zawiadomienie należy dokonać niezwłocznie, kiedy to należy zrobić został określone w art. 34 ust. 1 RODO. Zgodnie z tym artykułem zgłoszenia można dokonać najpóźniej w przeciągu siedemdziesięciu dwóch godzin od stwierdzenia naruszenia. W tym też czasie należy ocenić, czy naruszenie wymaga zgłoszenia do Prezesa UODO oraz czy konieczne jest powiadomienie osoby, której dane dotyczą. Administrator, który nie zawiadomienie osoby o tym, że doszło do naruszenia ochrony jej danych osobowych może zostać ukarany wysoką, bo wynoszącą nawet dziesięć milionów euro karą pieniężną.
Anna Kozłowska (Inspektor ochrony danych)