Do naruszenie ochrony danych może dojść z bardzo różnych przyczyn. Może to być skutkiem awarii sprzętu czy działań osób odpowiedzialnych za przetwarzanie danych osobowych. W każdej sytuacji powinny zostać podjęte szybkie i odpowiednie działania. Tylko działając w ten sposób można uniknąć powstania szkód majątkowych, niemajątkowych lub fizycznych u osób fizycznych.
Jakie szkody może spowodować wyciek danych osobowych?
Naruszenie ochrony danych osobowych może skutkować powstaniem takich szkód, jak:
-sfałszowanie lub kradzież tożsamości;
-ograniczenie lub utrata kontroli nad własnymi danymi osobowymi;
-naruszenie dobrego imienia;
-naruszenie poufności danych osobowych, które chronione są tajemnicą zawodową.
Incydent związany z utratą danych osobowych może też przynieść inne znaczne szkody społeczne i gospodarcze.
Incydent związany z naruszeniem danych osobowych: co należy zrobić?
Podmioty, które przetwarzają dane osobowe zgodnie z RODO zobowiązane są do wdrożenia środków organizacyjnych i technicznych, które zapewnią bezpieczeństwo przetwarzania. Mimo to zawsze może dojść do incydentu, który związany jest z przetwarzaniem danych osobowych. Administrator danych osobowych, który stwierdzi, że doszło do incydentu musi ustalić okoliczności naruszenia danych. Czeka go także podjęcie decyzji, czy charakter incydentu obliguje go do zgłoszenia Prezesowi UODO. Administrator musi też zdecydować czy o incydencie należy powiadomić osobę, które dane dotyczą. Kwestie te reguluje odpowiednio art. 33 RODO oraz art. 34 RODO. Na ustalenie okoliczności naruszenia i podjęcie decyzji administrator ma 72 godziny. Niezawiadomienie osoby/osób, których dane dotyczą czy też organu nadzorczego zagrożone jest karą administracyjną do 10 milionów euro lub w wysokości dwóch procent rocznego światowego obrotu z poprzedniego roku obrotowego. Kara jest więc naprawdę dotkliwa.
Czy obowiązek zgłoszenia incydentu danych osobowych spoczywa tylko na administratorze?
Każdy podmiot, który przetwarza dane osobowe powinien mieć wypracowane procedury zarządzania incydentami naruszenia tych danych. Pracownicy powinni być poinformowani o tym, że do ich obowiązków należy zgłaszanie każdego incydentu. Pracownicy o incydencie informują inspektora danych lub inną osobę, która zajmuje się kwestiami związanymi z ochrona danych osobowych. Wszystkie niezbędne działania zmierzające do ustalenia okoliczności, przyczyn oraz możliwych skutków incydentu podejmie specjalista.
Obowiązek zgłoszenia incydentu danych osobowych spoczywa przede wszystkim na administratorze tychże danych. Zgłoszenia tego należy dokonać w ciągu maksymalnie 72 godzin.
Monika Zygmunt - Jakuć