biznes,  Ochrona danych osobowych,  RODO

O incydencie ochrony danych osobowych trzeba zawiadomić organ nadzorczy i osoby, których dane dotyczą

Kontynuując ostatni wpis dotyczący tego czy były pracownik ma prawo wykorzystywać dane osobowe klientów do własnych celów zawodowych, aby proponować im własne usługi dziś kolej na kolejną kwestię. Co jeżeli pracodawca nie zgłosi incydentu ochrony danych osobowych?

Warto w tym miejscu wskazać, że każda sytuacja jest inna i to administrator na podstawie analizy ryzyka oraz DPIA podejmuje decyzję i on za nią odpowiada czy zgłaszac ten fakt do organu nadzoru (UODO). Jasno należy wskazać, że Rozporządzenie RODO wskazuje kiedy należy i w jakich przypadkach (obligatoryjność) zgłosić incydent ochrony danych osobowych oraz osoby, których dane dotyczą. Niedawno pewna firma została ukarana administracyjną karą pieniężną w wysokości ponad 13 tys. zł za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, oraz niezawiadomieniu o incydencie osób, których dane dotyczą.[1]

Pomijając nałożoną karę UODO nakazało danej firmie powiadomić osoby, których dane dotyczą o zaistniałym incydencie zgodnie z rozporządzeniem RODO.

Warto wskazać w tym miejscu, że firma, która otrzymała karę nie zgłosiła sama faktu naruszenia ochrony danych osobowych do UODO. UODO na skutek zawiadomienia o podejrzeniu naruszenia ochrony danych osobowych, wszczęło procedurę wyjaśniającą, Ukarana firma wskazała, że analiza wskazała, że naruszenie to miało wagę “niską”. I tu w tym miejscu warto wskazać, że niekiedy szacowanie (analiza) jeżeli jest błędne np. zaniżane nie jest przychylnie odbierane przez organ. Nie pierwszy raz firmy powołują się na “niską” wagę naruszenia danych osobowych co w konsekwencji prowadzi do nałożenia kary m.in za nie zgłoszenie incydentu ochrony danych osobowych do UODO oraz osób, których dane dotyczą.

Jak wskazuje organ w swoim komunikacie:

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. A w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.

Podkreślić należy, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Możliwe konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób. Nie bez znaczenia jest fakt, iż […] nie jest w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia. Ukarany podmiot sam też nie próbował zweryfikować faktycznego zakresu danych osobowych, które zostały objęte naruszeniem.

[…] podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. W toku postępowania ustalono, iż utracona dokumentacja nie podlegała odtworzeniu. Zatem jeżeli […] nie posiada kopii skradzionych dokumentów, nie jest w stanie ich odtworzyć lub nie przetwarza tych danych przy użyciu systemu informatycznego, i tym samym nie jest w stanie zidentyfikować osób, których dane dotyczą, to powinna dokonać zawiadomienia tych osób w sposób ogólny np. poprzez wydanie publicznego komunikatu.”

Powyższy komunikat jest bardzo istotny, głównie dlatego, że jak wskazuje organ wystarczy “samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób.” a więc w sytuacji kiedy dowolna firma/salon kosmetyczny utraci dane osobowe swoich klientów (np. zeszyt z danymi) działania związane z incydentem powinny być nacechowane rzetelnym podejściem do tematu, a nie udawaniem, że go nie ma.

Dlatego tak bardzo ważne jest prowadzenie rzetelnie dokumentacji związanej z danymi osobowymi, aby umożliwić w sytuacji kryzysowej odtworzenie szybko danych osobowych (ciągłość działania). Równie ważne jest prowadzenie poprawnie i rzetelnie analizy ryzyka i DPIA (ocena skutków dla ochrony danych).

Artykuł pochodzi z bloga autorki llegal.pl

_____________________________

Autor:

Charlotta Lendzion, Prawnik, właściciel LLEGAL, Stały Mediator przy Sądzie Okręgowym w sprawach cywilnych,
Członkini Stowarzyszenia Praktyków Ochrony Danych SPOD, Autorka książki z zakresu odpowiedzialności odszkodowawczej oraz licznych artykułów prawniczych. Certyfikowany Tester Oprogramowania -ISTQB FL, Certyfikowany Trener Szkoleniowiec, Aktualnie w trakcie badań naukowych w ramach pracy doktorskiej z zakresu prawa nowych technologii i zobowiązań. Na codzień wspieram przedsiębiorców w sprawach z zakresu ochrony danych osobowych oraz prawa przedsiębiorców. 

Jeżeli potrzebujesz wsparcia lub dokumentacji w zakresie RODO, prawa konsumenckiego w twoim salonie pisz śmiało. 
KONTKT

_________________________________

Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.

źródła:

[1] komunikat UODO -> https://uodo.gov.pl/pl/138/2118