Przejdź do treści głównej
Europejska inicjatywa obywatelska

Wytyczne dotyczące ochrony danych – pytanie 11

Powrót do strony głównej „Wytyczne dotyczące ochrony danych dla organizatorów”

 

Wytyczne dotyczące ochrony danych – pytanie 11

Jak się zachować w przypadku naruszenia ochrony danych osobowych?  

Dotyczy scenariusza 2, z wyjątkiem korzystania z opracowanej przez Komisję usługi wymiany plików

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Powiadamianie o naruszeniu ochrony danych

W przypadku naruszenia ochrony danych osobowych przedstawiciel grupy organizatorów musi bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je właściwemu organowi ochrony danych, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych.

Takie powiadomienie musi zawierać co najmniej:

  • opis naruszenia ochrony danych, w tym liczbę sygnatariuszy, których naruszenie dotyczy, oraz kategorię danych, których naruszenie dotyczy
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (lub inne istotne punkty kontaktowe)
  • możliwe konsekwencje naruszenia ochrony danych po rozważeniu przedmiotu
  • wszelkie środki wprowadzone przez administratora e celu zaradzenia naruszeniu lub złagodzenia skutków naruszenia.

Jeżeli informacji nie da się udzielić w tym samym czasie, można ich udzielać sukcesywnie i bezzwłocznie.

Przedstawiciel musi również udokumentować fakty, ich skutki i już podjęte działania zaradcze (lub takie, które należy pilnie podjąć, z uwzględnieniem planu ich wdrożenia).

Ryzyko dla praw i wolności

Ponadto, jeżeli naruszenie może spowodować wysokie ryzyko naruszenia praw i wolności sygnatariuszy, należy ich o tym powiadomić, z wyjątkiem sytuacji, gdy:

  • wdrożone środki (takie jak szyfrowanie, o ile klucz nie został ujawniony) uniemożliwiły odczytanie danych lub zapewniły, aby ryzyko nie mogło się już urzeczywistnić bądź
  • bezpośrednia komunikacja z sygnatariuszami wymagałaby niewspółmiernie dużego wysiłku. W takim przypadku można poinformować sygnatariuszy w drodze publicznego powiadomienia o naruszeniu.

UWAGA: 

W przypadku przetwarzania danych w ramach współadministrowania z Komisją i pod warunkiem, że naruszenia ochrony danych nie można przypisać działaniom członków grupy organizatorów, powyższe zobowiązania wypełnia Komisja. Grupa organizatorów powinna wspierać Komisję w razie potrzeby i w możliwie największym stopniu w zarządzaniu naruszeniami ochrony danych osobowych.

Odniesienia:

Chcesz wiedzieć więcej i współpracować z innymi?