Na gruncie RODO – czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wprowadzono szereg obowiązków dla podmiotów, które uczestniczą w przetwarzaniu danych osobowych – jednymi ze szczególnie istotnych obowiązków są te, które obciążają administratora danych osobowych, w sytuacji, gdy dojdzie do naruszenia zasad ich ochrony.
O tym czym jest naruszenie ochrony danych można przeczytać TUTAJ
Zawiadomienie organu nadzorczego
Pierwszym obowiązkiem, który RODO nakłada na administratora danych osobowych w przypadku wystąpienia naruszenia jest obowiązek zawiadomienia organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, należy to uczynić niezwłocznie przy czym nie później niż w przeciągu 72 godzin od stwierdzenia naruszenia. W przypadku przekroczenia tego terminu, do złożonego zawiadomienia należy załączyć wyjaśnienie przyczyn opóźnienia.
Zawiadomienie kierowane do organu nadzorczego musi:
- opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
- opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Należy jednak mieć na uwadze, że powyższy obowiązek nie musi być zrealizowany w każdym wypadku, gdyż możliwe jest odstąpienia od zawiadomienia w sytuacji, w której jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – w takim wypadku administrator musi przeprowadzić drobiazgową analizę związaną z naruszeniem oraz towarzyszącymi mu okolicznościami i skutkami, a następnie podjąć decyzję czy dokonać zawiadomienia czy też nie.
Zawiadomienie osoby fizycznej
Kolejnym obowiązkiem ciążącym na administratorze jest obowiązek zawiadomienia osoby fizycznej, której dane osobowe dotknęło naruszenie – należy to uczynić jasnym i prostym językiem, opisując charakter naruszenia ochrony danych osobowych oraz wskazać następujące informacje:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- możliwe konsekwencje naruszenia ochrony danych osobowych;
- środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Trzeba jednak pamiętać, iż także powyższe zawiadomienie nie zawsze jest wymagane, gdyż można od niego odstąpić gdy:
- administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej;
- wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Kancelaria specjalizuje się w sprawach związanych z ochroną danych osobowych, co obejmuje wsparcie w zakresie audytu procesów przetwarzania danych osobowych, opracowania niezbędnej dokumentacji dotyczącej ochrony danych osobowych, doradztwa w bieżącej działalności związanej z przetwarzaniem danych osobowych jak również obroną przed roszczeniami związanymi z naruszeniem zasad przetwarzania danych osobowych przed sądem i organem nadzorczym.
Zapraszamy do kontaktu:
(48) 602-894-511
biuro@kancelaria-luczkowski.pl