Zgłoszenie naruszenia – kto, jaki i komu może zgłosić (osoby fizyczne)?
Naruszenie ochrony danych osobowych może wystąpić w każdej jednostce czy to prywatnej czy państwowej. Wprowadzanie środków bezpieczeństwa nie daje nam 100 % gwarancji, że do owego naruszenia nie dojdzie. Tym bardziej, że z danymi osobowymi głównie pracują ludzie. Każdemu może się zdarzyć omyłkowo wysłać maila lub zgubić jakiś dokument. Co w przypadku, gdy dojdzie do naruszenia danych osobowych?
Kiedy mamy naruszenie?
Naruszenie ochrony danych to naruszenie bezpieczeństwa danych (art. 4 pkt 12 RODO), prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przykładem takiego naruszenia może być:
- Poufności – pracownik pomylił adresy email i wysłał dokumenty z danymi do osoby postronnej, atak hackerski, w wyniku, którego Administrator danych osobowych traci dostęp do danych w systemie informatycznym;
- Dostępności – zagubiony np. nośnik z danymi, zgubienie laptopa/telefonu służbowego, na którym znajdują się dane klientów Administratora danych osobowych;
- Integralności – zamienione nazwiska klientów, przypadkowe lub zamierzone usunięcie danych osobowych klientów przez pracownika.
Kto może zgłosić naruszenie
Zawiadomienie o naruszeniu danych osobowych może zgłosić każdy, osoba fizyczna której dane dotyczą lub powołany przez nią pełnomocnik, którego wyznaczy (konieczne jest pełnomocnictwo udzielone przez tę osobę do jej reprezentowania w postępowaniu przed Prezesem Urzędu). Administrator tj. przedsiębiorca lub jednostka publiczna przetwarzająca dane, a konkretnie osoba / osoby uprawnione do jej reprezentacji (72 godziny na zgłoszenie naruszenia od czasu jego wystąpienia), lub wyznaczony przez administratora pełnomocnik.
Forma złożenia zawiadomienia
Zgłoszenia można dokonać w formie tradycyjnego listu bądź elektronicznie. Zanim jednak podejmiemy się zgłosić naruszenie (jeśli ono nas dotyczy), możemy wystąpić do podmiotu, u którego naruszenie wystąpiło o wyjaśnienia. W sytuacji, gdy nie uzyskamy odpowiedzi na zadane pytania może być to podstawą do złożenia skargi. Skarga na naruszenie danych osobowych powinna zostać opatrzona własnoręcznym podpisem w przypadku listu tradycyjnego bądź podpisem zaufanym, składając zawiadomienie elektronicznie.
Co powinno zawierać zgłoszenie naruszenia
Prawidłowo złożone zawiadomienie o naruszeniu danych osobowych powinno zawierać:
- imię i nazwisko oraz adres zamieszkania składającego skargę;
- własnoręczny podpis;
- wskazanie podmiotu, na który składana jest skarga (pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania);
- dokładny opis naruszenia;
- żądanie tj. wskazanie, podjęcia jakich działań składający oczekuje od organu (np. usunięcia danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych, itd.).
Jeżeli składający skargę posiada dowody potwierdzające okoliczności wskazane w skardze, powinien je dołączyć do skargi. W związku z faktem, że Prezes Urzędu jest organem kontrolującym prawidłowość stosowania przepisów o ochronie danych osobowych przez administratora, składający skargę w pierwszej kolejności powinien zwrócić się do administratora w celu realizacji swoich uprawnień.
Do kogo zgłaszamy naruszenie
Prawidłowym organem, do którego należy zgłaszać naruszenie jest Prezes Urzędu Ochrony Danych Osobowych (link). Gdy do naruszenia bezpieczeństwa danych dojdzie ze strony pracowników należy pamiętać o obowiązującej w firmie procedurze zgłaszania naruszeń. Obowiązkiem pracownika w przypadku naruszenia przepisów RODO jest niezwłoczne poinformowanie o zaistniałym naruszeniu Inspektora Ochrony Danych oraz bezpośredniego przełożonego.
Administratorzy danych czy podmioty przetwarzające, gdy dojdzie do naruszenia powinny ocenić ryzyko naruszenia danych. Gdyż nie każde naruszenie trzeba zgłaszać do UODO. Jeśli po przeprowadzeniu analizy okaże się, że ryzyko naruszenia praw i wolności osobistych jest mało prawdopodobne, nie musimy zawiadamiać o naruszeniu. Gdy jednak naruszenie występuje należy ten fakt zgłosić. Chociażby po to by uniknąć np. dużych kar finansowych nakładanych przez Prezesa UODO.