Naruszenie danych osobowych to czarny scenariusz, którego nikomu nie życzymy. Ale niestety zdarza się najlepszym i warto być na niego przygotowanym. Nie każdy incydent danych trzeba zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Generalna zasada jest taka, że jeśli nie istnieje wysokie ryzyko naruszenia praw i wolności osób, to zgłoszenie nie jest konieczne. Natomiast jeżeli analiza naruszenia wykaże konieczność zgłoszenia (a w przypadku wycieku danych takich jak PESEL, co do zasady będzie taka konieczność), masz na to 72 godziny od naruszenia.
Pamiętaj! Każde naruszenie (nawet takie, którego nie trzeba zgłaszać do urzędu) należy udokumentować w rejestrze naruszeń, który stanowi część dokumentacji RODO Twojego studia. Pełną listę dokumentów potrzebnych do wdrożenia RODO opisaliśmy dla Ciebie tutaj.
Zgłoszenie naruszenia nie będzie oczywiście korzystne dla wizerunku Twojego studio
Po pierwsze, żadne naruszenie nie świadczy dobrze o przedsiębiorstwie, a już na pewno nie w branżach, które te dane przetwarzają w większej niż inne mierze. Ale do błędu trzeba się potrafić przyznać i niekiedy uchroni to przed dalszymi konsekwencjami, na przykład w postaci kary finansowej.
Drugą sprawą jest, jak już wiesz z naszego innego artykułu, że zgłoszenie incydentu może być przyczynkiem do kontroli urzędu w Twoim studio.
Jeśli po analizie naruszenia zrezygnujesz z zawiadomienia PUODO, istnieje ryzyko, że urząd dowie się o tym (np. od osoby poszkodowanej naruszeniem) i stwierdzi, że zawiadomienie było jednak konieczne. W takiej sytuacji będziesz w znacznie gorszej pozycji pod kątem oceny, czy nałożyć na Twoją firmę karę finansową.
Dlatego przed podjęciem decyzji o braku zgłoszenia, przeanalizuj bardzo dokładnie wszystkie okoliczności Twojej sprawy.
Rezygnacja ze zgłoszenia naruszenia urzędowi powinna być poprzedzona naprawdę szczegółową analizą i uzasadniona wyjątkowo niewielką skalą i brakiem negatywnych konsekwencji naruszenia.
Co powinno znaleźć się w zgłoszeniu incydentu danych osobowych do PUODO?
Przygotowując zgłoszenie, pamiętaj aby w jego treści:
- opisać charakter naruszenia ochrony danych osobowych (czyli opisać to zdarzenie, wraz z datą, przybliżoną godziną, a w miarę możliwości wskazać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie);
- podać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeśli nie zatrudniasz IOD w swoim studio, wskaż inną osobę, od której można uzyskać więcej informacji);
- opisać możliwe konsekwencje naruszenia ochrony danych osobowych (konkretnie i rzeczowo, najlepiej na przykładach typu: „wskutek zaistniałego naruszenia osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby, której dane dotyczą umowy pożyczki w instytucji pozabankowej”);
- opisać środki zastosowane lub proponowane przez Ciebie w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia (chodzi tu o wskazanie, jakie Twoje studio – jako administrator – podjęło środki zaradcze, aby szkoda nie nastąpiła lub była jak najmniej dotkliwa? Przykładowo możesz wskazać: „zmodyfikowaliśmy procesy szyfrowania danych osobowych, a także zwróciliśmy się do błędnego odbiorcy poczty z danymi poszkodowanego o jej zniszczenie i potwierdzenie tego zniszczenia”).
Nadal nie jesteś pewien, kiedy naruszenia należy zgłaszać organowi nadzorczemu? Jeśli nie masz w swoim studio inspektora ochrony danych, przed podjęciem decyzji najlepiej skontaktuj się z prawnikiem.