Ile naruszeń ochrony danych osobowych stwierdzili Państwo w swojej organizacji? Ile z nich wymagało zgłoszenia? Czy pamiętają Państwo o tym obowiązku?

Art. 33 ust. 1 RODO mówi, że „w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki (…) zgłasza je organowi nadzorczemu (…), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”.

Według oficjalnych danych, od 25 maja 2018 r. do 25 maja 2019 r. administratorzy, zgłosili Prezesowi Urzędu Ochrony Danych Osobowych 4 539 naruszeń ochrony danych osobowych. Dwie trzecie notyfikacji pochodziło od administratorów z sektora prywatnego, głównie przedsiębiorców. Czy to oznacza, że u pozostałych przedsiębiorców w Polsce naruszenia ochrony danych osobowych nie wystąpiły…?

Według analiz Prezesa Urzędu Ochrony Danych Osobowych administratorzy wciąż mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych. Jest tak choćby w przypadku utraty dostępu do danych osobowych, np. w przypadku zainfekowania systemu wirusem ransomware, który szyfruje dostęp do danych, a niekiedy ich kopii zapasowych, najczęściej żądając przy tym okupu za rozszyfrowanie.

Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody, ponieważ są to szczególne kategorie danych osobowych podlegające wzmożonej ochronie na gruncie RODO.

Kancelaria oferuje pomoc w zakresie identyfikowania i zgłaszania przypadków naruszeń ochrony danych osobowych. W tym celu przygotowujemy rejestr naruszeń, instrukcje postępowania, metodologie oceny powagi naruszenia oraz udzielamy konsultacji przy wdrażaniu procedur wykrywania naruszeń w organizacji i zgłaszania ich organowi nadzorczemu. Jednak najważniejsza w tym procesie jest świadomość pracowników. Chodzi tu nie tylko o osoby odpowiedzialne za koordynację mechanizmów ochrony danych u przedsiębiorcy i podjęcie decyzji o zgłoszeniu naruszenia do organu nadzorczego, ale przede wszystkim o każdego pracownika, który ma do czynienia z przetwarzaniem danych osobowych, np. w sekretariacie, w dziale HR czy dziale handlowym. Z doświadczenia wiemy, że najbardziej skutecznym środkiem podnoszenia kompetencji pracowników w tej dziedzinie będą dedykowane szkolenia, poświęcone głównie albo wyłącznie zagadnieniom zgłaszania naruszeń ochrony danych osobowych. Takie szkolenia również oferuje Kancelaria.

Źródło statystyk: https://uodo.gov.pl/pl/134/1029

Autor:
Szymon Goździk
Prawnik, specjalista ds ochrony danych osobowych