Incydent naruszenia bezpieczeństwa danych osobowych – powiadamianie podmiotów danych

naruszenie bezpieczeństwa

RODO, przy stwierdzeniu naruszenia bezpieczeństwa ochrony danych, nakłada na administratora danych (pod groźbą sankcji finansowej) obowiązki związane z notyfikacją naruszeń i powiadamianiem osób, których danych dotyczyło naruszenie.

Art. 34 RODO zobowiązuje administratora danych do powiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych, mogącym powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Co ważne, administrator musi dokonać zawiadomienia niezwłocznie. Zawiadomienie powinno zostać dokonane tym szybciej, im poważniejsze, zgodnie z oceną administratora danych, jest prawdopodobieństwo naruszenia praw lub wolności podmiotów danych.

Administrator powinien pamiętać, że zawiadomienie należy przekazać jasnym i prostym językiem, dostosowanym do kategorii adresatów. Zwolnienie z obowiązku zawiadomienia podmiotów danych o naruszeniu bezpieczeństwa zostało przewidziane w 3 przypadkach:

  1. Gdy administrator wdrożył odpowiednie środki techniczne i organizacyjne, które nawet mimo zaistnienia incydentu, wykluczają możliwość dostępu do danych przez osoby nieuprawnione.
  2. Gdy administrator dokonał zabezpieczających czynności następczych, eliminujących ryzyko naruszenia praw lub wolności osób fizycznych.
  3. Gdy zawiadomienie wymagałoby niewspółmiernie dużego wysiłku – wtedy rozwiązaniem będzie komunikat przekazany do opinii publicznej, a nie bezpośrednio do podmiotów danych.

RODO, utrzymane w duchu wprowadzenia jak najwyższych standardów ochrony danych, za pomocą wskazanego obowiązku, umożliwia przeciwdziałanie negatywnym skutkom naruszenia. Podmioty danych, poinformowane o naruszeniu bezpieczeństwa danych, mogą podjąć działania minimalizujące skutki naruszenia. Informacja o tym, co stało się z danymi, w jaki sposób doszło do naruszenia, oraz jakie dane zostały dotknięte naruszeniem, pozwala osobom których dane dotyczą zapobiegać ewentualnym naruszeniom ich praw oraz jeszcze mocniej uszczelniać system ochrony danych.

Angelika Niezgoda

Autor

Angelika Niezgoda

Od kilku lat zajmuje się tematyką ochrony danych osobowych i bezpieczeństwa informacji. Jako certyfikowany Inspektor Ochrony Danych prowadzi audyty bezpieczeństwa danych i czuwa nad projektowaniem i wdrażaniem procedur ochrony danych osobowych zgodnych z wymogami RODO.