Naruszenia ochrony danych osobowych według RODO

Administrator odpowiada za przetwarzanie danych osobowych. Czyli za wszystko, co się z nimi dzieje na komputerze, na biurku, w biurze, w chmurze, w których znajdują się dane, które zgromadził. Naruszenie ich ochrony rodzić może obowiązek zgłoszenia tego faktu Prezesowi Urzędu Ochrony Danych Osobowych. W sytuacjach szczególnych wymagane jest także powiadomienie o tym fakcie osoby, których dane dotyczą. Jednak to nie wszystko. Na administratorze ciąży obowiązek udokumentowania naruszenia, w którym przedstawić należy m.in. środki, jakie zostały zastosowane do ochrony przetwarzania.

Czym jest naruszenie?
W rozporządzeniu naruszenie zdefiniowane jest jako przypadkowe lub niezgodne z przepisami prawa działanie polegające na: modyfikacji, nieuprawnionym ujawnieniu, nieuprawnionym dostępie, naruszeniu integralności, utracie lub zniszczeniu.
Niewdrożenie odpowiednich środków technicznych i organizacyjnych może być powodem naruszenia ochrony danych osobowych. Brak regularnego oceniania skuteczności zastosowanych środków było jednym z powodów nałożenia przez UODO administracyjnej kary pieniężnej w wysokości 47 tys. zł. na podmiot, który utracił – w wyniku działania wirusa – dane pracowników oraz umów cywilnoprawnych.

Zgodnie z przepisami RODO – reguła rozliczalności, administrator musi być w stanie przedstawić, że:
1. przeprowadził ocenę naruszenia ochrony danych osobowych,
2. na podstawie powyższej oceny zdecydował o niedokonywaniu zgłoszenia do PUODO.
Prowadzenie dokumentacji stosowanych środków bezpieczeństwa przez administratora ma na celu zabezpieczenie go na wypadek kontroli UODO, ponieważ organ nadzorczy (UODO) będzie badał w pierwszej kolejności, czy administrator zrezygnował z zawiadomienia PUODO na podstawie uzasadnionych i słusznych przesłanek.

Należy nadmienić, że przepisy RODO nie wskazują, jak konkretnie powinna wyglądać dokumentacja naruszeń ochrony danych. W praktyce najczęściej stosuje się raporty z naruszeń oraz rejestry naruszeń. Nie oznacza to, że każdy administrator powinien posiadać takie dokumenty, równie dobrze dokumentowanie incydentów może odbywać się w inny sposób.

UODO przysługują liczne uprawnienia, w tym prawo dostępu do wszelkich danych osobowych niezbędnych dla danej kontroli u administratora lub podmiotu przetwarzającego, w tym dostępu do wszystkich pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych. Utrudnianie inspektorom UODO wykonywanie swoich obowiązków mogące powodować nadmierne oraz nieuzasadnione wydłużenie prowadzonych postępowań, wymusza na inspektorach do sięgnięcia po instrumenty prawne, jakim jest nałożenie kary administracyjnej za brak współpracy. Sytuacji takich jest kilka. M.in. niepodjęcie w terminie korespondencji, brak reakcji na pismo czy lekceważenia swoich obowiązków.

UODO podejmuje swoje decyzje według wagi konkretnego naruszenia, korzystając z uprawnień, jakie przysługuje mu na podstawie przepisów RODO.
Nigdy nie mamy pewności, kiedy może nastąpić tytułowe naruszenie danych. Jedno za to jest pewne: zaczną się pytania od UODO. Aby uniknąć nerwowości, najlepiej zawczasu przejrzeć segregator z dokumentacją RODO i utrzymywać jego aktualność. Samodzielnie lub z pomocą wybranego Inspektora Ochrony Danych.

Artur Majchrzycki – Inspektor Ochrony Danych, jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem przepisów ochrony danych osobowych. Posiada wieloletnie doświadczenie związane z zabezpieczeniami informatycznymi w ochronie danych. Audytor Wewnętrzny Systemów Zarządzania Bezpieczeństwem
Informacji zgodnego z ISO/IEC 27001.
Kontakt do autora:
tel. 501 15 11 15
email: a.majchrzycki@moment24.pl