Co robić w przypadku naruszenia ochrony danych

RODO zobowiązuje administratora danych osobowych do raportowania organowi nadzorczemu naruszeń ochrony danych. Czas na ten obowiązkowy „donos na samego siebie” to jedynie 72 godziny, licząc od momentu stwierdzenia naruszenia. Jak więc postąpić w przypadku naruszenia, aby uczynić zadość przepisom prawa i nie narazić się na dodatkową karę? Odpowiedź znajdziecie w dzisiejszym wpisie. Zapraszamy!

Grupa Robocza Art. 29 – przewidując niejasności jakie mogą się pojawić w związku z obowiązkiem raportowania organowi nadzorczemu o zaistniałych u administratorów naruszeniach ochrony danych – stworzyła swoistą listę kontrolną, pozwalającą odnaleźć się administratorowi w sytuacji naruszenia.

Co zatem należy zrobić krok po kroku?

Krok 1 Odpowiedź na pytanie czy w ogóle doszło do naruszenia danych osobowych?

Wiele incydentów bezpieczeństwa mimo, iż stanowi zagrożenie dla organizacji nie wiąże się z bezpieczeństwem danych. W związku z czym musisz oddzielić te incydenty, które dotyczą przetwarzanych przez Twoją organizację danych osobowych od tych, które co prawda wpływają na bezpieczeństwo organizacji, ale z bezpieczeństwem danych osobowych się nie wiążą.

Krok 2 Czy naruszenie stanowi zagrożenia dla praw lub wolności osób fizycznych?

Jeśli już stwierdziłeś, że zaistniały incydent dotyczy danych osobowych, musisz oszacować czy w związku z nim zaistniało ryzyko dla praw lub wolności osób, których dane dotyczą (co oznacza ryzyko dla praw i wolności osób – zobacz w poniższej ramce). To bardzo ważny punkt, więc skrupulatnie przeanalizuj sytuację!

Krok 3 Czy musisz powiadamiać organ nadzorczy?

Jeśli stwierdziłeś, że incydent nie narazi praw i wolności osób, których dane dotyczą, nie musisz powiadamiać organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych) ani osób fizycznych. I w tym miejscu Twój problem związany z konkretnym incydentem się kończy (przynajmniej formalnie rzecz ujmując, gdyż moim zdaniem warto zbadać okoliczności incydentu i wyciągnąć z niego odpowiednie wnioski, aby sytuacja się już nie powtórzyła).

Krok 4 Kiedy musisz powiadomić organ nadzorczy?

W przypadku gdy naruszenie może narazić prawa i wolności osób fizycznych na ryzyko, bezwzględnie musisz powiadomić o naruszeniu organ nadzorczy (tutaj znajdziesz informacje jak to zrobić).

Co istotne, jeśli naruszenie wpływa na osoby fizyczne z innych państw członkowskich, administrator zobowiązany jest do powiadomienia także organów właściwych dla państw, z których pochodzą potencjalnie poszkodowane osoby.

Przykładowo: jeśli w wyniku naruszenia ochrony danych z Twojej firmy wyciekły dane klientów z Polski oraz z Francji, a także istnieje ryzyko narażenia praw lub wolności tych osób – oprócz Prezesa Urzędu Ochrony Danych Osobowych (czyli organu właściwego dla Polski) musisz powiadomić także jego francuskiego odpowiednika.

Krok 5 Kiedy nie musisz powiadamiać osoby fizycznej?  

Jeśli stwierdziłeś, że naruszenie nie powinno narazić praw i wolności osób fizycznych na wysokie ryzyko, nie musisz zawiadamiać o nim osób, których danych dotyczy naruszenie.

Krok 6 Kiedy musisz powiadamiać osobę fizyczną?

Jeśli stwierdziłeś, że naruszenie może skutkować wysokim ryzykiem dla praw i wolności osób fizycznych, musisz powiadomić o nim te osoby. Z racji potencjalnego skomplikowania tego procesu (np. potrzeba powiadomienia dużej ilości osób) warto aby zawczasu posiadać procedury regulujące realizację tego procesu.

Oprócz powiadomienia poszkodowanych osób, administrator powinien również przekazać im informacje o krokach, jakie mogą podjąć w celu uchronienia się przed konsekwencjami naruszenia ochrony danych.

Krok 7 Udokumentuj naruszenie

Aby zabezpieczyć się przed ewentualnymi prawnymi konsekwencjami naruszenie, wszystkie działania w związku z nimi podjęte, powinny zostać udokumentowane. Dokumentacja będąca dowodem na wywiązanie się przez administratora z ciążących na nim obowiązków powinna zostać zachowana na potrzeby udowodnienia przez administratora jego działań.