Postępowanie w przypadku naruszenia ochrony danych osobowych

Dodatek do Gazety Podatkowejnr 44 (2023) z dnia 1.06.2023
www.podpowiada.gofin.pl

wydawca: Wydawnictwo Podatkowe GOFIN sp. z o.o. ul. Owocowa 8, 66-400 Gorzów Wlkp.
www.gofin.pl   sklep internetowy: www.sklep.gofin.pl

Dokonanie zgłoszenia do Prezesa UODO

Naruszenie ochrony danych może zdarzyć się w każdym podmiocie. Jeżeli takie zdarzenie będzie miało miejsce i np. dojdzie do wysłania dokumentów zawierających dane osobowe na inny adres czy zagubienia niezabezpieczonych urządzeń informatycznych zawierających takie dane, wówczas reakcja administratora danych ma decydujące znaczenie. Jednym z jego obowiązków może być dokonanie zgłoszenia takiego incydentu do Prezesa Urzędu Ochrony Danych Osobowych.

Administrator ma 72 godziny

W przypadku naruszenia ochrony danych osobowych administrator powinien bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłosić je organowi nadzorczemu. W Polsce taką funkcję pełni Prezes UODO. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Takiego zgłoszenia administrator danych nie musi dokonywać, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Administratorzy danych często mają wątpliwości, jak powinni postąpić, gdy w przeciągu tych 72 godzin nie mają jeszcze pełnej wiedzy na temat zaistniałego incydentu, a co za tym idzie, ich zgłoszenie może być niepełne. W takim przypadku, jak informuje UODO, w ciągu pierwszych 72 godzin trzeba przekazać to, co już udało się ustalić. Natomiast należy niezwłocznie uzupełnić zgłoszenie o nowe informacje, gdy tylko administrator danych ustali kolejne szczegóły związane z zaistniałym naruszeniem.

Takie zgłoszenie musi co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, 
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, 
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych, 
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków; np. w przypadku naruszenia polegającego na zagubieniu lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne) możliwymi działaniami naprawczymi mogą być: skuteczne szyfrowanie pamięci urządzeń/plików z danymi osobowymi (zgodne z aktualną wiedzą techniczną) oraz dodatkowe (mechanizmy weryfikacji użytkownika np. hasło, PIN). 

W zależności od rodzaju zgłoszenia określa się, czy jest to zgłoszenie:

  • kompletne/jednorazowe - kiedy administrator posiada pełny obraz naruszenia i ma wszystkie informacje o tym co, gdzie, kiedy i w jakim zakresie wydarzyło się w związku z naruszeniem,
  • wstępne - kiedy administrator nie posiada jeszcze wszystkich danych dotyczących naruszenia, a grozi mu przekroczenie terminu 72 godzin wymaganych do zgłoszenia naruszenia,
  • uzupełniające/zmieniające - jeśli po wypełnieniu zgłoszenia wstępnego udało się administratorowi danych uzyskać brakujące informacje i chce je złożyć do urzędu lub w przypadku gdy informacje udzielone w zgłoszeniu kompletnym/jednorazowym okazały się błędne i chce je zaktualizować.

Zgłoszenia można dokonać na cztery sposoby:

  • elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie Biznes.gov.pl,
  • elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP:/UODO/SkrytkaESP,
  • elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie Biznes.gov.pl lub na platformie epuap.gov.pl,
  • tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Najczęstsze błędy w zgłoszeniach

UODO w opracowaniu "Dotychczasowe doświadczenia w zakresie zgłaszania naruszeń ochrony danych osobowych i zawiadamiania o nich osób, których dane dotyczą", dostępnym na stronie internetowej www.uodo.gov.pl, wskazuje na najczęstsze błędy popełniane przez administratorów danych dokonujących zgłoszeń incydentów. Wśród nich wymienia m.in. nierzetelne, zdawkowe przekazywanie informacji, które uniemożliwia ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Do błędów tych zalicza się też wypełnianie zgłoszeń w sposób rutynowy, podanie niewłaściwej liczby osób, której dane są zagrożone naruszeniem, podanie niewłaściwej kategorii danych, wskazanie niewłaściwego poziomu ryzyka czy też niewłaściwego czasu zaistnienia naruszenia. Oprócz tego UODO zwraca uwagę na częsty brak przeprowadzenia prawidłowej oceny ryzyka naruszenia praw lub wolności osób fizycznych. Ponadto wskazuje, iż zgodnie z art. 33 ust. 3 RODO, administrator powinien w zgłoszeniu podać tylko kategorie danych osobowych, których dotyczy naruszenie. Niewłaściwą praktyką jest podawanie w zgłoszeniu konkretnych imion, nazwisk lub adresów zamieszkania osób, których dane dotyczą.

Wdrożenie obsługi naruszeń według UODO

1. Opracowanie procedury postępowania z naruszeniem.
2. Ustalenie zasad przekazywania informacji (różne kanały komunikacji) - wewnętrzny formularz zgłoszenia.
3. Zbudowanie świadomości poprzez szkolenie pracowników.
4. Wprowadzenie checklisty pozwalającej ocenić wpływ naruszenia na podmiot.
Wybrane fragmenty dedykowanego formularza elektronicznego dotyczące szczegółów naruszenia
Wybrane fragmenty dedykowanego formularza elektronicznego dotyczące szczegółów naruszenia