72 godziny na zgłoszenie naruszenia – tyle będzie miał administrator danych osobowych na poinformowanie Prezesa Urzędu Ochrony Danych Osobowych. Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (RODO) administrator danych osobowych będzie musiał aktywnie komunikować naruszenia organowi nadzorczemu.
Nowy obowiązek administratorów
Zgodnie z art. 33 RODO w przypadku naruszenia ochrony danych osobowych, administrator zgłasza je organowi nadzorczemu. Na zgłoszenie naruszenia administrator będzie miał 72 godzin po stwierdzeniu naruszenia. Oznacza to, że administratorzy stwierdzając naruszenie ochrony danych osobowych powinni jak najszybciej zgłosić się do Prezesa Urzędu Ochrony Danych Osobowych. 72 godziny na zgłoszenie naruszenia liczone są od momentu, w którym administrator danych powziął wiadomość o naruszeniu. Tym samym, początkiem biegu terminu nie jest sam moment naruszenia.
Na chwilę obecną nie jest jeszcze wiadome jak mają być przekazywane zgłoszenia, ale wydaje się że powinno dopuścić się formę elektroniczną. Elektroniczna forma zgłoszeń zapewni sprawną i szybką komunikację z Urzędem Ochrony Danych Osobowych. Wydaje się, że to Urząd Ochrony Danych Osobowych powinien stworzyć specjalny system komunikacji naruszeń.
72 godziny na zebranie konkretnych informacji o naruszeniu
RODO wymaga, aby zgłoszenie zawierało szereg konkretnych informacji. W szczególności, zgłoszenie powinno:
-
opisywać charakter naruszenia ochrony danych osobowych, w tym wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą. W tym zakresie można wskazać jak doszło do naruszenia, np. przez gubienie komputera z danymi osobowymi, czy przez włamanie do systemu informatyczne. Ponadto, można wskazać jakich danych dotyczy naruszenie – imion i nazwisk lub adresów zamieszkania,
-
wskazywać możliwe konsekwencje naruszenia ochrony danych osobowych. W tym punkcie można wskazać, że możliwe będzie uzyskanie dostępu do adresów zamieszkania konkretnych osób.
-
wskazywać dane inspektora ochrony, jeżeli został powołany przez administratora,
-
opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych. W tym zakresie można wskazać, że hasła dostępowe do systemu informatycznego zostały zmienione, a sprawa została zgłoszona policji.
Wyjątki od obowiązku zgłoszenia naruszenia
RODO przewiduje, że w sytuacji, w której administrator jest w stanie wykazać, że naruszenie powoduje małe ryzyko dla praw lub wolności osób fizycznych, nie musi on informować Urzędu Ochrony Danych Osobowych. Przy ocenie ryzyka naruszenia praw i wolności osób fizycznych administrator powinien wziąć pod uwagę zasadę rozliczalności wyrażoną w art. 5 ust. 2 RODO. Pamiętać jednak trzeba, że to na administratorze spoczywa obowiązek wykazania małego stopnia ryzyka. Jednocześnie, RODO jako zasadę przewiduje poinformowanie Urzędu Ochrony Danych Osobowych o naruszeniu. Tym samym, decyzja o nieinformowaniu Urzędu Ochrony Danych Osobowych powinna być dobrze umotywowana.
Podsumowanie
Obowiązek zgłaszania naruszeń ochrony danych osobowych może być uznany jako rodzaj „samooskarżenia”. Nie mniej jednak, za takim rozmawianiem przemawia konieczność ochrony osób, których dane są przetwarzane. Jeżeli masz wątpliwości odnośnie opisanych powyżej procedury lub implementacji RODO w Twojej organizacji, skontaktuj się z nami!