Było już o zasadach przetwarzania danych osobowych, o tym kogo dotyczy RODO, kogo chroni, komu przysporzy więcej obowiązków. Dzisiaj powiemy o donoszeniu na samego siebie ?, a mówiąc językiem RODO – o obowiązku zgłoszenia organowi nadzorczemu przypadków naruszenia ochrony danych osobowych.

W każdym biznesie, niezależnie od tego czy prowadzisz hotel, czy sklep internetowy, mimo wprowadzonych zabezpieczeń, może zdarzyć się sytuacja naruszenia przez administratora ochrony danych osobowych,  np. kradzież laptopa, na którym mamy bazę klientów z ich danymi; wyciek numerów  PESEL, adresów zamieszkania klientów itp.

Co w takiej sytuacji zrobić, aby uchronić się, bądź zmniejszyć obciążenie ewentualną karą? Jako administrator, w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia obowiązany jesteś zgłosić to naruszenie organowi nadzorczemu. Obowiązek zgłoszenia naruszenia nie powstanie w sytuacji, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia jasnym i prostym językiem również osobę, której dane dotyczą, o takim naruszeniu.

Zgłoszenie organowi nadzorczemu nie musi mieć szczególnej formy. RODO określa jednak minimalne wymogi, zgodnie z którymi takie zgłoszenie musi co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Niezależnie od powyższego pamiętajcie, że jako administratorzy zawsze musicie dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Co ważne, musicie być w stanie to wykazać. Obowiązek dokumentowania naruszeń dotyczy wszelkich sytuacji naruszenia ochrony danych osobowych, nawet tych, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałoby ono ryzykiem naruszenia praw lub wolności osób fizycznych. Dokumentacja taka powinna co najmniej zawierać informacje o tym jak doszło do naruszenia danych osobowych, jakie były skutki konkretnych naruszeń i jakie zostały przedsięwzięte działania zaradcze.

Jaki jest cel wprowadzenia takiego obowiązku? Odpowiedź znajdujemy w motywie 85 RODO, który wskazuje, że:

„Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.”

Opisana regulacja niewątpliwie budzi kontrowersje. Jednak mając na względzie wskazane wyżej niebezpieczeństwa i stawiając się w sytuacji nie administratora danych osobowych, a zwykłego obywatela, którego pewne dane osobowe „wyciekły” pewnie ocenimy te rozwiązanie pozytywnie. Współpraca administratora z organem nadzorczym może bowiem m.in. zminimalizować ryzyko wystąpienia szkody i ułatwić  wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych.

W przypadku zaniechania zgłoszenia jak również nieprowadzenia dokumentacji opisującej naruszenia ochrony danych osobowych w naszej firmie RODO straszy nas karami… Niewywiązanie się ze wskazanych obowiązków stanowi przesłankę do nałożenia (niższej) administracyjnej kary pieniężnej –  w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.