Pracujemy od poniedziałku do piątku w godzinach: 9:00 – 18:00

Obowiązek informowania o wycieku danych – kiedy jest wymagany?

W codziennym życiu przedsiębiorcy zdarzają się sytuacje, w których dochodzi do wycieku danych osobowych przez niego przetwarzanych. Zgodnie z rozporządzeniem RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powiadamia osobę, której dane dotyczą, o takim naruszeniu.

W jakiej formie należy powiadomić o naruszeniu?

Podkreślić należy, że obowiązek informowania o wycieku i innych naruszeniach ochrony danych osobowych nie ma ustalonej konkretnej formy. Informacja o wycieku danych powinna być przekazana jasnym i prostym językiem opisującym elementy związane z naruszeniem, takie jak:

  • charakter i rodzaj naruszenia ochrony danych osobowych,
  • imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub danych innej osoby, od której można uzyskać więcej informacji,
  • możliwe konsekwencje naruszenia ochrony danych osobowych dla osób, których dane ujawniono,
  • zastosowane lub proponowane środki przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środkach w celu zminimalizowania jego ewentualnych negatywnych skutków.

Obowiązek notyfikacyjny – ile mamy czasu?

Zgodnie z rozporządzeniem RODO, osoby, których dane dotyczą powinny zostać zawiadomione o zdarzeniu bez zbędnej zwłoki, to znaczy tak szybko jak będzie to możliwe. Wykonanie obowiązku informowania o wycieku i innych naruszeniach ochrony danych osobowych poprzez zgłoszenie organowi nadzorczemu, powinno się odbyć w terminie 72 godzin. Z kolei czas wykonania obowiązku informowania o wycieku i innych naruszeniach ochrony danych osobowych poprzez zawiadomienie osób, których dane dotyczą, nie został określony.

Poinformowanie osób, których dane uległy wyciekowi lub innemu naruszeniu ochrony, powinno być dokonywane w uzgodnieniu z organem nadzorczym. W praktyce bowiem administratorzy w pierwszej kolejności zgłaszają naruszenie organowi nadzorczemu. Ten z kolei może:

  • zażądać zawiadomienia osób – z uwagi na prawdopodobieństwo, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko;
  • stwierdzić, że został spełniony jeden z warunków, kiedy administrator może odstąpić od zawiadamiania osób o naruszeniu.

Zaznaczyć należy, że mogą zdarzyć się sytuacje, kiedy zawiadomienie osób może nastąpić przed zgłoszeniem naruszenia organowi, np. gdy szkoda dla osób fizycznych może wystąpić od razu.

Obowiązek informowania o wycieku danych – kiedy nie musi zostać spełniony?

Dopuszczalne są przypadki,  w których administrator nie musi informować osób o powstałym naruszeniu, takie jak:

  • zastosowanie odpowiednich środków ochrony danych, np. szyfrowanie wiadomości e-mail, baz danych;
  • zastosowanie następczych środków eliminujących prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Konsekwencje niedopełnienia obowiązku notyfikacyjnego

Niezawiadomienie osoby, której dane dotyczą o wycieku i innych naruszeniach ochrony danych osobowych, powodującym dla niej wysokie ryzyko naruszenia praw lub wolności może być podstawą do nałożenia na administratora kary pieniężnej w wysokości do 10 mln euro lub do 2% całkowitego rocznego obrotu światowego – w przypadku przedsiębiorstwa.

Podstawa prawna: art. 33, 34, 83 ust. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1) (rozporządzenie RODO).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Maciej Fiedorowicz

Radca Prawny (WA-15162)