Czy wszystkie incydenty naruszenia ochrony danych osobowych należy zgłaszać

Bardzo ważną kwestią jest ustalenie, czy dany incydent będzie skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Tylko bowiem takie incydenty podlegają zgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych.

W motywie 85 RODO wskazano, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak: utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

W pozostałym zakresie, jeżeli jest mało prawdopodobne, żeby dany incydent mógł spowodować fizyczną, materialną lub niematerialną szkodę dla osób fizycznych, nie trzeba go zgłaszać organowi nadzorczemu. Konieczne jest jednak odnotowanie w wewnętrznej dokumentacji, że doszło do incydentu, ale przeprowadzona analiza ryzyka naruszenia praw i wolności osób fizycznych nie wykazała, aby incydent powodował takie ryzyko, w związku z czym nie doszło do zgłoszenia naruszenia ochrony danych osobowych.

Ponadto, zgodnie z motywem 86 RODO, jeśli incydent może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, tak aby umożliwić tej sobie podjęcie niezbędnych działań zapobiegawczych. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie.

Ważne!

Wszystkie incydenty naruszenia bezpieczeństwa danych osobowych powinny być przez administratora odnotowywane w wewnętrznej ewidencji naruszeń.

Każdy z incydentów powinien też zostać oceniony pod kątem ryzyka naruszenia praw i wolności osób fizycznych.

Jeżeli takie ryzyko występuje, wtedy konieczne jest zgłoszenie naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych.

Jeżeli natomiast to ryzyko zostanie ocenione jako „wysokie”, to wtedy konieczne jest zawiadamianie osoby, której dane dotyczą, o takim naruszeniu ochrony jej danych osobowych.