Pracownik zgubił laptopa z danymi klientów. Z serwera wyciekły dane użytkowników. Dokument z danymi osobowymi trafił do niewłaściwego odbiorcy. Co teraz? RODO daje administratorowi 72 godziny na zgłoszenie naruszenia do organu nadzorczego - i wiele firm nie zdaje sobie sprawy, jak krytyczne jest dotrzymanie tego terminu. Zgłoszenie po czasie jest jedną z najczęstszych podstaw kar UODO.
Kiedy masz obowiązek zgłoszenia naruszenia
Nie każde naruszenie wymaga zgłoszenia. Art. 33 RODO mówi, że zgłosić należy naruszenie, które może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli ryzyko jest mało prawdopodobne, wystarczy wewnętrzna dokumentacja zdarzenia.
W praktyce zgloszenie jest wymagane gdy:
- utracono lub skradziono komputer, telefon, pendrive z niezaszyfrowanymi danymi osobowymi
- dane osobowe zostały wysłane do niewłaściwego odbiorcy (pomyłka emaila, błędna koperta)
- nastąpił atak hakerski lub ransomware skutkujący utratą lub ujawnieniem danych
- pracownik nieuprawniony uzyskał dostęp do bazy danych klientów
- dokumenty z danymi osobowymi zostały opublikowane lub udostępnione bez upoważnienia
Kryterium jest ryzyko. Jeśli utracony pendrive był zaszyfrowany i bez hasła jest bezużyteczny - ryzyko jest niskie i zgłoszenie może nie być konieczne, choć wewnętrzna dokumentacja jest zawsze wymagana.
72 godziny liczone są od chwili, gdy administrator powziął wiedzę o naruszeniu. Nie od momentu, gdy naruszenie nastąpiło. Jeśli wyciek zdarzył się w poniedziałek, a ktoś w organizacji odkrył go w środę wieczorem - zegar zaczyna biec w środę. Jeśli zgłoszenie nie jest możliwe w pełnym zakresie w terminie 72 godzin, należy zgłosić to co wiadomo, uzupełniając później o szczegóły.
Jak zgłosić naruszenie do UODO - formularz i kanał
UODO udostępnia formularz zgłoszenia naruszenia na stronie uodo.gov.pl. Można je złożyć również elektronicznie przez ePUAP lub w formie papierowej. Najszybsza droga to platforma elektroniczna - co jest istotne przy presji czasu 72 godzin.
Formularz wymaga podania:
- danych administratora i kontaktowych IOD (jeśli jest powołany)
- opisu charakteru naruszenia - co się stało, kiedy, w jaki sposób
- przybliżonych kategorii i liczby osób, których naruszenie dotyczy
- kategorii i przybliżonych ilości danych objętych naruszeniem
- opisu prawdopodobnych skutków naruszenia
- opisu środków zastosowanych lub planowanych w celu usunięcia skutków
Czego nie robić po wykryciu naruszenia
Kilka błędów, które UODO widzi regularnie w sprawach, gdzie nakłada kary:
- Czekanie z decyzją. 72 godziny minęły bardzo szybko. Każda godzina zwłoki, która nie jest uzasadniona potrzebą zebrania danych do zgłoszenia, to ryzyko przekroczenia terminu i osobna podstawa kary.
- Minimalizowanie zdarzenia. Ocena ryzyka jako "nieistotne" bez rzeczowej analizy. UODO w kilku decyzjach karowych wprost wskazał, że administrator nie przeprowadził rzetelnej oceny ryzyka.
- Brak wewnętrznej dokumentacji. Nawet jeśli nie zgłaszasz naruszenia do UODO (bo ryzyko jest niskie), musisz wewnętrznie udokumentować zdarzenie, swoją ocenę i uzasadnienie braku zgłoszenia.
- Niezawiadamianie osób poszkodowanych. Jeśli naruszenie stwarza wysokie ryzyko dla osób fizycznych, art. 34 RODO nakłada obowiązek poinformowania tych osób "bez zbędnej zwłoki" - również poza terminem 72 godzin dla UODO.
Zapobiegaj naruszeniom zanim do nich dojdzie
Jednym ze sposobów ograniczenia ryzyk RODO jest anonimizacja dokumentów zawierających dane osobowe przed ich przekazywaniem zewnętrznym podmiotom. Beznazwisk.pl robi to lokalnie - dane nie wychodzą z Twojego komputera.
Pobierz bezpłatnieCo się dzieje po zgłoszeniu
UODO rejestruje zgłoszenie i może podjąć następujące działania: uznać zgłoszenie za wystarczające i nie podejmować dalszych kroków; zwrócić się o uzupełnienie informacji; wszcząć postępowanie wyjaśniające; wszcząć postępowanie administracyjne mogące zakończyć się karą.
Sam fakt zgłoszenia naruszenia jest traktowany jako okoliczność łagodząca, jeśli UODO zdecyduje się nałożyć karę. Ukrywanie naruszenia i zgłoszenie po terminie to czynniki obciążające - co potwierdzają decyzje z ostatnich lat.
Kiedy trzeba też zawiadomić osoby, których dane dotyczyły
Jeśli naruszenie może skutkować wysokim ryzykiem dla praw i wolności osób fizycznych (np. możliwość kradzieży tożsamości, dyskryminacja, strata finansowa), administrator ma obowiązek poinformować osoby poszkodowane bezpośrednio - komunikatem jasnym i zrozumiałym, opisującym naturę naruszenia i dostępne środki zaradcze.
Przeczytaj również
Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.