Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).
Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:
- naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
- skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
- naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Jak wskazuje Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) – można wyróżnić trzy typy naruszeń ochrony danych osobowych:
- NARUSZENIE POUFNOŚCI – polega na ujawnieniu danych osobowych nieuprawnionej osobie
- NARUSZENIE DOSTĘPNOŚCI – polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych
- NARUSZENIE INTEGRALNOŚCI – polega na zmianie treści danych osobowych w sposób nieautoryzowany.
W przypadku stwierdzenia wystąpienia incydentu, Administrator wraz z Inspektorem Ochrony Danych, prowadzi postępowanie wyjaśniające w toku którego ustala zakres i przyczyny incydentu oraz jego ewentualne skutki (mogą wówczas stwierdzić, że nie jest to incydent, a naruszenie).
W przypadku zbadania i potwierdzenia się naruszenia po przeprowadzeniu oceny naruszenia (rekomendacje/kalkulator zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches). Dla naszych klientów – dostępna zakładka w systemie rodo-online.eu) Administrator, nie później niż w terminie 72 godzin – zgłasza je organowi nadzorczemu – Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli zgłoszenie do Prezesa UODO nastąpiło powyżej 72 godzin trzeba dołączyć wyjaśnienie przyczyn opóźnienia (zgłoszenie musi opisywać co najmniej charakter naruszenia, kategorie i przybliżoną ilość osób, których dane dotyczą, kategorię i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, imię, nazwisko i dane kontaktowe IOD’a lub oznaczenie innego punktu kontaktowego, opis możliwych konsekwencji, zastosowane środki w celu zaradzenia naruszeniu i minimalizowania jego skutków). Warto skorzystać w gotowego formularza interaktywnego do zgłoszenia naruszenia ochrony danych osobowych przygotowanego przez UODO (https://uodo.gov.pl/pl/134/233).
Jeżeli naruszenie danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Warto zauważyć, że zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych i zawierać przynajmniej imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie innego punktu kontaktowego, opisywać możliwe konsekwencje naruszenia, opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzeniu naruszeniu i jego skutków.
Zgłoszenia można dokonać na 4 sposoby:
- Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza zgłoszenia naruszenia ochrony danych osobowych (udostępnionego przez PUODO)
- Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
- Elektronicznie poprzez wysłanie wypełnionego formularza (udostępnionego przez PUODO) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl lub platformie epuap.gov.pl
- Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.
Administrator w celu rozliczalności powinien dokumentować powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności incydentów / naruszeń ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze w prowadzonym Rejestrze incydentów/naruszeń.
Przykłady kar za brak zgłoszenia naruszenia do Prezesa Ochrony Danych Osbowych:
- Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.- 85 588 zł
- Śląski Uniwersytet Medyczny w Katowicach – 25 000 zł
- Anwara Sp. z o.o. – 21 tyś zł.
- Cyfrowy Polsat S.A. – 1 136 975 zł (przeprowadzona przez UODO analiza naruszeń wykazała, że administrator zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o incydentach osoby, których one dotyczyły, po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia)
- P4 Sp. z o. o. (Play) – 100 000 zł(za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych, zgodnie z przepisami Prawa telekomunikacyjnego)
- Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. – 159.176 zł (brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz brak zawiadomienia o naruszeniu ochrony danych osobowych osoby).