Powrót do strony głównej „Wytyczne dotyczące ochrony danych dla organizatorów”
Wytyczne dotyczące ochrony danych – pytanie 11
Jak się zachować w przypadku naruszenia ochrony danych osobowych?
Dotyczy scenariusza 2, z wyjątkiem korzystania z opracowanej przez Komisję usługi wymiany plików
Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Powiadamianie o naruszeniu ochrony danych
W przypadku naruszenia ochrony danych osobowych przedstawiciel grupy organizatorów musi bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je właściwemu organowi ochrony danych, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych.
Takie powiadomienie musi zawierać co najmniej:
- opis naruszenia ochrony danych, w tym liczbę sygnatariuszy, których naruszenie dotyczy, oraz kategorię danych, których naruszenie dotyczy
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (lub inne istotne punkty kontaktowe)
- możliwe konsekwencje naruszenia ochrony danych po rozważeniu przedmiotu
- wszelkie środki wprowadzone przez administratora e celu zaradzenia naruszeniu lub złagodzenia skutków naruszenia.
Jeżeli informacji nie da się udzielić w tym samym czasie, można ich udzielać sukcesywnie i bezzwłocznie.
Przedstawiciel musi również udokumentować fakty, ich skutki i już podjęte działania zaradcze (lub takie, które należy pilnie podjąć, z uwzględnieniem planu ich wdrożenia).
Ryzyko dla praw i wolności
Ponadto, jeżeli naruszenie może spowodować wysokie ryzyko naruszenia praw i wolności sygnatariuszy, należy ich o tym powiadomić, z wyjątkiem sytuacji, gdy:
- wdrożone środki (takie jak szyfrowanie, o ile klucz nie został ujawniony) uniemożliwiły odczytanie danych lub zapewniły, aby ryzyko nie mogło się już urzeczywistnić bądź
- bezpośrednia komunikacja z sygnatariuszami wymagałaby niewspółmiernie dużego wysiłku. W takim przypadku można poinformować sygnatariuszy w drodze publicznego powiadomienia o naruszeniu.
UWAGA:
W przypadku przetwarzania danych w ramach współadministrowania z Komisją i pod warunkiem, że naruszenia ochrony danych nie można przypisać działaniom członków grupy organizatorów, powyższe zobowiązania wypełnia Komisja. Grupa organizatorów powinna wspierać Komisję w razie potrzeby i w możliwie największym stopniu w zarządzaniu naruszeniami ochrony danych osobowych.
Odniesienia:
- art. 33 i 34 RODO.
- Komisja – FAQ dotyczące ochrony danych –„Co stanowi naruszenie ochrony danych i co należy w takim przypadku zrobić?”.