W sytuacji gdy administrator wykryje naruszenie ochrony danych osobowych, w pierwszej kolejności musi dokonać analizy pod kątem możliwości wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczą. Jeżeli w wyniku przeprowadzonej analizy okaże się, że ryzyko nie występuje, administrator zwolniony jest z obowiązku poinformowania organu nadzorczego o naruszeniu. Pomimo braku obowiązku zgłoszenia naruszenia, administrator musi pamiętać, aby zgodnie z art. 33 ust. 5 RODO udokumentować wszelkie naruszenia ochrony danych osobowych w wewnętrznej ewidencji naruszeń. Ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. 4 pkt 12 RODO.
Poprawnie prowadzona ewidencja powinna zawierać informacje o naruszeniu obejmujące:
• okoliczności naruszenia,
• przebieg naruszenia,
• informację o danych osobowych,
• skutki naruszenia,
• konsekwencje naruszenia,
• działania naprawcze.
Grupa Robocza w art. 29 podkreśla również, że w przypadku podjęcia decyzji o niezgłoszeniu naruszenia, wskazane jest udokumentowanie takiego faktu w ewidencji wraz z podaniem przyczyny. Dotyczy to sytuacji, w której administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne. Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.
Ryzyko naruszenia praw i wolności osób fizycznych jest obecne, w sytuacji gdy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są, np.:
• dyskryminacja,
• kradzież tożsamości,
• oszustwo dotyczące tożsamości,
• nadużycia finansowe,
• straty finansowe,
• nieuprawnione cofnięcie pseudonimizacji,
• utrata poufności danych osobowych chronionych tajemnicą zawodową,
• naruszenie dobrego imienia,
• inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.
Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego należy uznać, że występuje duże prawdopodobieństwo takiej szkody. W powyższych sytuacjach naruszenie należy zgłosić do organu nadzorczego.
Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!
The post Naruszenie ochrony danych osobowych – o jakich naruszeniach trzeba powiadomić Prezesa UODO appeared first on RODOprotektor.