Zgodnie z art. 4 pkt. 12 RODO naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Urząd Ochrony Danych Osobowych (UODO) dodatkowo wskazuje, że naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Należy jednak odróżnić naruszenie przepisów o ochronie danych osobowych od naruszenia ochrony danych.
Naruszenie przepisów o ochronie danych osobowych to naruszenie przepisów wynikających z RODO, innych aktów regulujących kwestie ochrony danych osobowych, ustaw, rozporządzeń i Konstytucji przyjętych w krajach członkowskich Unii Europejskiej.
Natomiast naruszenie ochrony danych jest naruszeniem bezpieczeństwa danych osobowych określonym w art. 4 pkt. 12 RODO, które możemy podzielić na trzy kategorie:
- naruszenie poufności danych, gdy doszło do nieuprawnionego udostępnienia lub ujawnienia danych osobowych,
- naruszenie integralności danych, w razie nieuprawnionej lub przypadkowej modyfikacji danych,
- naruszenie dostępności danych, które występuje w przypadku nieuprawnionego lub przypadkowego dostępu do danych bądź ich zniszczenia
W większość przypadków za naruszenie bezpieczeństwa danych odpowiada czynnik ludzki i są to zazwyczaj naruszenia o charakterze nieumyślnym, np. wysyłka korespondencji do niewłaściwej osoby. Pojęcie naruszenia przetwarzania danych osobowych wydaje się być abstrakcyjne, lecz zdarza się, że prowadzi do wystąpienia przykrych konsekwencji po stronie osoby, której dane były przetwarzane. Przykładowo może być to kradzież tożsamości i zaciągnięcie kredytu lub pożyczki na dane tej osoby, metoda na „policjanta”, czy „wnuczka”, a o tym już każdy z nas słyszał. Naruszeniem ochrony danych osobowych będzie również udostępnienie dokumentacji medycznej niewłaściwemu pacjentowi, przypadkowe usunięcie danych, atak hakerski czy kradzież laptopów, na skutek którego administrator danych osobowych utraci dostęp do danych.
W razie stwierdzenia zaistnienia naruszenia, które odpowiada definicji naruszenia, administrator danych osobowych zgodnie z art. 33 ust. 1 RODO ma obowiązek bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłosić to naruszenie właściwemu organowi nadzorczemu (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Zanim jednak administrator (a w praktyce często również osoba odpowiedzialna za wdrożenie RODO w organizacji lub inspektor ochrony danych, jeżeli został powołany) zgłosi naruszenie, powinien przeprowadzić postępowanie wyjaśniające, które pozwoli na ustalenie m.in. charakteru naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą oraz możliwych konsekwencji naruszenia i ich rozmiaru. Pozwoli także na weryfikację konieczności modyfikacji dotychczasowych zabezpieczeń funkcjonujących w organizacji. Administrator ma obowiązek udokumentować takie naruszenie, uwzględniając jego okoliczności, skutki i podjęte działania zaradcze, niezależnie od tego, czy naruszenie to podlega obowiązkowi zgłoszenia do organu nadzorczego. Każde stwierdzone naruszenie ochrony danych powinno zostać odnotowane również w rejestrze naruszeń, który każdy administrator powinien w swojej działalności wdrożyć.
Zgłoszenia naruszenia można dokonać wypełniając właściwy formularz i wysyłając go elektronicznie bądź za pośrednictwem poczty tradycyjnej na adres UODO. Zgłoszenie takie powinno zawierać co najmniej:
- opis naruszenia bezpieczeństwa danych, kategorie i przybliżoną liczbę osób, których dotyczy naruszenie, jeżeli jest to możliwe,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub wskazanie innego punku kontaktowego, gdzie można uzyskać więcej informacji,
- opis możliwych konsekwencji naruszeń ochrony danych,
- opis środków zastosowanych lub proponowanych przez administratora mających na celu zminimalizowanie skutków naruszenia lub zaradzenie naruszeniu
Jeżeli naruszenie ochrony danych osobowych dotyczy danych osób z różnych krajów Unii Europejskiej, Administrator powinien zgłosić takie naruszenie do wiodącego organu nadzorczego.
Za naruszenie ochrony danych osobowych na administratora może zostać nałożona administracyjna kara pieniężna uzależniona od rodzaju podmiotu i charakteru naruszenia. Organ nadzorczy może nałożyć karę pieniężną w wysokości do 10 mln euro lub 20 mln euro bądź do 2% lub 4 % całkowitego rocznego światowego obrotu tego podmiotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Specjalizuje się w korporacyjnej obsłudze podmiotów gospodarczych oraz ochronie danych osobowych. Wspomaga klientów kancelarii w przygotowywaniu wszelkiej dokumentacji korporacyjnej, w tym w rejestracji spółek handlowych oraz w dalszej rejestracji zmian, a także udziela bieżącego i kompleksowego doradztwa w zakresie prowadzonej działalności. Zapewnia doradztwo w przeprowadzaniu procesów transformacyjnych spółek handlowych, w tym w procesach przekształceń i połączeń. Przygotowuje oraz opiniuje umowy, regulaminy i…
Zobacz profil →Prawnicy HWW udzielają konsultacji w Warszawie oraz online. Wybierz formę kontaktu.
Nie przegap kolejnej analizy
Najważniejsze zmiany w prawie i ich skutki dla biznesu, raz w miesiącu na Twój e-mail.
Zapisując się, akceptujesz politykę prywatności. Wypiszesz się jednym kliknięciem.
