Incydent naruszenia bezpieczeństwa danych osobowych – powiadamianie podmiotów danych

RODO, przy stwierdzeniu naruszenia bezpieczeństwa ochrony danych, nakłada na administratora danych (pod groźbą sankcji finansowej) obowiązki związane z notyfikacją naruszeń i powiadamianiem osób, których danych dotyczyło naruszenie.

Art. 34 RODO zobowiązuje administratora danych do powiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych, mogącym powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Co ważne, administrator musi dokonać zawiadomienia niezwłocznie. Zawiadomienie powinno zostać dokonane tym szybciej, im poważniejsze, zgodnie z oceną administratora danych, jest prawdopodobieństwo naruszenia praw lub wolności podmiotów danych.

Administrator powinien pamiętać, że zawiadomienie należy przekazać jasnym i prostym językiem, dostosowanym do kategorii adresatów. Zwolnienie z obowiązku zawiadomienia podmiotów danych o naruszeniu bezpieczeństwa zostało przewidziane w 3 przypadkach:

  1. Gdy administrator wdrożył odpowiednie środki techniczne i organizacyjne, które nawet mimo zaistnienia incydentu, wykluczają możliwość dostępu do danych przez osoby nieuprawnione.
  2. Gdy administrator dokonał zabezpieczających czynności następczych, eliminujących ryzyko naruszenia praw lub wolności osób fizycznych.
  3. Gdy zawiadomienie wymagałoby niewspółmiernie dużego wysiłku – wtedy rozwiązaniem będzie komunikat przekazany do opinii publicznej, a nie bezpośrednio do podmiotów danych.

RODO, utrzymane w duchu wprowadzenia jak najwyższych standardów ochrony danych, za pomocą wskazanego obowiązku, umożliwia przeciwdziałanie negatywnym skutkom naruszenia. Podmioty danych, poinformowane o naruszeniu bezpieczeństwa danych, mogą podjąć działania minimalizujące skutki naruszenia. Informacja o tym, co stało się z danymi, w jaki sposób doszło do naruszenia, oraz jakie dane zostały dotknięte naruszeniem, pozwala osobom których dane dotyczą zapobiegać ewentualnym naruszeniom ich praw oraz jeszcze mocniej uszczelniać system ochrony danych.

Angelika Niezgoda

Autor

Angelika Niezgoda

Pełni funkcje doradcze z zakresu ochrony danych osobowych dla klientów Audytel S.A. Obecnie jest Administratorem Bezpieczeństwa Informacji, prowadzi audyty bezpieczeństwa danych i czuwa nad wdrożeniem procedur. Posiada certyfikat Inspektora Ochrony Danych (TUV SUD) i znajomość normy ISO 27001.

więcej informacji w zakładce O Nas >>

Z tej samej kategorii

Kategorie