Incydent RODO może zdarzyć się w każdej organizacji, niezależnie od jej wielkości czy branży, w której działa. Wyciek danych klientów, utrata służbowego laptopa, wysłanie wiadomości e-mail do niewłaściwego odbiorcy czy atak hakerski to sytuacje, które mogą prowadzić do naruszenia ochrony danych osobowych. Dlatego przedsiębiorcy powinni wiedzieć, kiedy incydent RODO wymaga zgłoszenia do Prezesa UODO oraz jakie obowiązki pojawiają się po jego wykryciu.
Czym jest incydent RODO?
Pojęcie incydent RODO jest powszechnie używane na określenie naruszenia ochrony danych osobowych. Zgodnie z przepisami RODO oznacza ono naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmodyfikowania, ujawnienia albo uzyskania dostępu do danych osobowych przez osoby nieuprawnione.
Incydent RODO może być zamierzony (celowe działanie), choć najczęściej jest niezamierzony, np. wynikać z błędu ludzkiego, niewłaściwej organizacji pracy czy niedostatecznych zabezpieczeń organizacyjno-technicznych.
Kiedy incydent RODO należy zgłosić do PUODO?
Nie każdy incydent RODO wymaga zgłoszenia organowi nadzorczemu. Kluczowe znaczenie ma dokonanie właściwej, rzetelnej oceny ryzyka dla praw i wolności osób fizycznych, których dane osobowe zostały naruszone.
Jeżeli istnieje średnie lub wysokie prawdopodobieństwo, że incydent RODO może negatywnie wpłynąć na osoby, których dane dotyczą, administrator ma obowiązek zgłosić naruszenie do Prezesa Urzędu Ochrony Danych Osobowych. Dotyczy to zwłaszcza sytuacji związanych z wyciekiem danych klientów, nieuprawnionym dostępem do systemów czy utratą dokumentacji zawierającej dane osobowe.
Incydent RODO – termin zgłoszenia to tylko 72 godziny
Jednym z najważniejszych obowiązków wynikających z RODO jest dochowanie terminu zgłoszenia naruszenia.
Administrator powinien poinformować Prezesa UODO bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin od momentu stwierdzenia incydentu. Termin ten liczony jest także w weekendy i dni ustawowo wolne od pracy!
W praktyce istotne znaczenie ma moment, w którym Administrator uzyskał wystarczające informacje pozwalające potwierdzić, że rzeczywiście doszło do naruszenia ochrony danych osobowych. Przy czym moment stwierdzenia naruszenia nie zawsze będzie momentem samego zdarzenia.
Jeżeli zgłoszenie nastąpi po upływie 72 godzin, konieczne jest wskazanie przyczyn opóźnienia.
Jak zgłosić naruszenie ochrony danych osobowych?
Zgłoszenie incydentu RODO odbywa się za pomocą formularza udostępnionego na stronie internetowej przez Prezesa UODO.
W zgłoszeniu Administrator powinien przedstawić najważniejsze informacje dotyczące zdarzenia, w tym charakter naruszenia, liczbę osób, których dane dotyczą, kategorie naruszonych danych, potencjalne konsekwencje oraz działania podjęte w celu ograniczenia skutków incydentu.
Jeżeli pełne ustalenie okoliczności wymaga czasu, część informacji może zostać przekazana w późniejszym terminie. Nie zwalnia to jednak z obowiązku dokonania pierwszego zgłoszenia w ustawowym terminie. Na urzędowym formularzu istnieje możliwość odznaczenia pola „Zgłoszenie wstępne”.
Co najważniejsze – zgłoszenie incydentu RODO stanowi realizację obowiązku prawnego.
Jakie konsekwencje grożą za niezgłoszony incydent RODO?
Nieprawidłowa reakcja na incydent RODO może prowadzić do poważnych skutków prawnych, finansowych, ale też wizerunkowych.
Szczególnie dotkliwe mogą okazać się administracyjne kary pieniężne nakładane przez Prezesa UODO. Przy ocenie wysokości sankcji organ bierze pod uwagę między innymi skalę naruszenia, charakter danych, działania podjęte po wykryciu incydentu oraz poziom współpracy administratora z organem nadzorczym.
Sama obecność incydentu RODO nie przesądza jeszcze o odpowiedzialności administratora.
Kluczowe znaczenie ma sposób reakcji organizacji po wykryciu naruszenia. W praktyce odpowiednie procedury, szybka analiza ryzyka i właściwa dokumentacja często mają istotny wpływ na ocenę sprawy przez UODO.
Istotne znaczenie ma także to, czy zgłoszenie naruszenia dokonano w ustawowym terminie – 72h od stwierdzenia naruszenia.
Jakie jeszcze obowiązki trzeba spełnić po zgłoszeniu naruszenia?
Jeżeli incydent RODO powoduje wysokie ryzyko dla praw lub wolności osób fizycznych, konieczne jest – poza zgłoszeniem naruszenia do PUODO – również poinformowanie osób, których dane zostały naruszone.
Prezes UODO zwraca uwagę, że zawiadomienie powinno zostać sporządzone prostym i zrozumiałym językiem. Osoby poszkodowane powinny wiedzieć, jakie konkretnie dane zostały objęte incydentem, jakie mogą być skutki zdarzenia oraz jakie działania warto podjąć w celu ograniczenia powstałego ryzyka.
Trzeba także mieć na uwadze, że RODO wymaga dokumentowania wszystkich naruszeń ochrony danych osobowych. Administrator powinien prowadzić rejestr zawierający opis zdarzenia, jego skutki, ocenę ryzyka oraz podjęte działania naprawcze. Dokumentacja ta może zostać zweryfikowana podczas kontroli prowadzonej przez organ nadzorczy.
Podsumowanie
Incydent RODO to każde naruszenie bezpieczeństwa skutkujące utratą, ujawnieniem, zniszczeniem lub nieuprawnionym dostępem do danych osobowych. W wielu przypadkach administrator ma obowiązek zgłosić incydent RODO do Prezesa UODO w terminie 72 godzin od jego stwierdzenia. Niekiedy konieczne jest również poinformowanie osób, których dane dotyczą. Wdrożenie odpowiednich procedur oraz regularne szkolenia pracowników pozwalają ograniczyć ryzyko naruszeń i uniknąć poważnych konsekwencji prawnych.
Najczęściej zadawane pytania
Czy każde naruszenie danych osobowych trzeba zgłosić do UODO?
Nie. Zgłoszenie jest wymagane wtedy, gdy incydent może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli administrator jest w stanie wykazać brak takiego ryzyka, zgłoszenie może nie być konieczne.
Czy Kancelaria prawna może pomóc w przygotowaniu analizy ryzyka po wystąpieniu incydentu?
Tak, nasza Kancelaria zapewnia zarówno kompleksowe wsparcie prawne przy wystąpieniu incydentu naruszeniu ochrony danych, jak i może wspomóc przy pojedynczych czynnościach np. przygotowaniu analizy ryzyka.
Ile czasu jest na zgłoszenie incydentu RODO?
Administrator powinien zgłosić naruszenie ochrony danych osobowych do Prezesa UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od momentu stwierdzenia incydentu.
