Jakie obowiązki ciążą na administratorze w wypadku zagubienia kopii dowodu osobistego?

Jak już wskazano w rozdziale „Czy można żądać skanu dowodu osobistego w kontekście RODO”, istnieją sytuacje, w których administrator danych może wykonywać i przechowywać kserokopie dokumentów tożsamości oraz ich skanów.

Co jednak należy zrobić, gdy dojdzie do zgubienia takiej kopii? Odpowiedź na pytanie wynika wprost z przepisów RODO, które w sposób jednoznaczny wskazują ścieżkę postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych. Niewątpliwe bowiem zgubienie kserokopii dowodu osobistego czy też przesłanie e-mailowo jego skanu osobie nieuprawnionej stanowi incydent bezpieczeństwa danych.

Zgłaszanie naruszenia ochrony danych osobowych PUODO

Zgodnie z art. 33 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jednak w sytuacji, gdy dojdzie do zgubienia kopii dowodu osobistego, naruszenie praw i wolności osoby jest oczywiste i administrator danych powinien taki incydent bezwzględnie zgłosić Prezesowi Urzędu Ochrony Danych Osobowych (dalej: PUODO).

Omawiając jednak kroki, jakie powinien przedsięwziąć administrator danych w takiej sytuacji, należy odwołać się do wymogów formalnych, jakie należy uwzględnić w zgłoszeniu incydentu bezpieczeństwa danych osobowych.

Takie zgłoszenie musi co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Dwa ostatnie punkty z tego wykazu powinny posłużyć administratorowi danych do ustalenia dalszych działań, jakie musi on podjąć w takim przypadku. Przede wszystkim konieczne jest ustalenie możliwych konsekwencji naruszenia ochrony danych osobowych, które w przypadku zgubienia kopii dowodu osobistego mogą być bardzo daleko idące. Kserokopia dowodu osobistego lub jego skan mogą posłużyć do identyfikacji posługującej się nią osoby, zarówno dla banków, jak i firm ubezpieczeniowych. W związku z tym znane są przypadki wykorzystania takich kopii w celu np. założenia konta bankowego lub wyłudzenia kredytu. Niewątpliwe tego rodzaju konsekwencje są bardzo dotkliwe dla osób, których dane dotyczą.

Drugi z powołanych punktów dotyczy konieczności zastosowania odpowiednich środków w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach także w celu zminimalizowania ewentualnych negatywnych skutków incydentu. Przede wszystkim takim działaniem będzie poinformowanie osoby, której dane dotyczą, o zgubieniu takiej kopii, aby mogła ona w razie konieczności podjąć odpowiednie kroki (o czym dalej).

Podjęcie innych działań ograniczających skutki incydentu bezpieczeństwa danych należy ustalać w zależności od okoliczności faktycznych danej sprawy. W sytuacji zgubienia kopii dokumentu tożsamości zaradzenie tego rodzaju naruszeniu może być w praktyce bardzo trudne, ale np. gdy jeszcze nie wywieziono dokumentów do zewnętrznego archiwum, można wstrzymać taki transport i sprawdzić, czy omyłkowo nie znalazły się tam przedmiotowe dokumenty.

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

W motywie 85 Preambuły RODO wskazano, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dy...

Dalsza część jest dostępna dla użytkowników z wykupionym planem