Obowiązki administratora w przypadku naruszenia zasad ochrony danych osobowych

Obowiązki administratora w przypadku naruszenia zasad ochrony danych osobowych

Na gruncie RODO – czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wprowadzono szereg obowiązków dla podmiotów, które uczestniczą w przetwarzaniu danych osobowych – jednymi ze szczególnie istotnych obowiązków są te, które obciążają administratora danych osobowych, w sytuacji, gdy dojdzie do naruszenia zasad ich ochrony.

O tym czym jest naruszenie ochrony danych można przeczytać TUTAJ

Zawiadomienie organu nadzorczego

Pierwszym obowiązkiem, który RODO nakłada na administratora danych osobowych w przypadku wystąpienia naruszenia jest obowiązek zawiadomienia organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, należy to uczynić niezwłocznie przy czym nie później niż w przeciągu 72 godzin od stwierdzenia naruszenia. W przypadku przekroczenia tego terminu, do złożonego zawiadomienia należy załączyć wyjaśnienie przyczyn opóźnienia.

Zawiadomienie kierowane do organu nadzorczego musi:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Należy jednak mieć na uwadze, że powyższy obowiązek nie musi być zrealizowany w każdym wypadku, gdyż możliwe jest odstąpienia od zawiadomienia w sytuacji, w której jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – w takim wypadku administrator musi przeprowadzić drobiazgową analizę związaną z naruszeniem oraz towarzyszącymi mu okolicznościami i skutkami, a następnie podjąć decyzję czy dokonać zawiadomienia czy też nie.

Zawiadomienie osoby fizycznej

Kolejnym obowiązkiem ciążącym na administratorze jest obowiązek zawiadomienia osoby fizycznej, której dane osobowe dotknęło naruszenie – należy to uczynić jasnym i prostym językiem, opisując charakter naruszenia ochrony danych osobowych oraz wskazać następujące informacje:

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • możliwe konsekwencje naruszenia ochrony danych osobowych;
  • środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Trzeba jednak pamiętać, iż także powyższe zawiadomienie nie zawsze jest wymagane, gdyż można od niego odstąpić gdy:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej;
  • wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

 

Kancelaria specjalizuje się w sprawach związanych z ochroną danych osobowych, co obejmuje wsparcie w zakresie audytu procesów przetwarzania danych osobowych, opracowania niezbędnej dokumentacji dotyczącej ochrony danych osobowych, doradztwa w bieżącej działalności związanej z przetwarzaniem danych osobowych jak również obroną przed roszczeniami związanymi z naruszeniem zasad przetwarzania danych osobowych przed sądem i organem nadzorczym.

Zapraszamy do kontaktu:

(48) 602-894-511

biuro@kancelaria-luczkowski.pl