Jak szczegółowo wskazać możliwe konsekwencje naruszenia ochrony danych osobowych osobie, której dane dotyczą?
ODPOWIEDŹ
Obowiązkiem administratora danych jest zawiadomienie osoby, której dane dotyczą, o naruszeniu, jeśli zachodzi wysokie ryzyko naruszenia praw lub wolności. Zawiadomienie, zgodnie z treścią art. 34 ust. 2 RODO, powinno zawierać elementy wymienione w art. 33 ust. 3 lit. b, c i d RODO. Zalicza się do nich m.in. opis możliwych konsekwencji naruszenia oraz środków zastosowanych lub proponowanych przez ADO w celu zaradzenia naruszeniu.
W zależności od tego, jakie dane zostały zagubione/utracone, należy opisać możliwe konsekwencje naruszenia. Sama informacja, że nastąpiła utrata poufności danych, nie będzie wystarczająca. Jeśli w dokumentacji medycznej znajdowały się dane osobowe w postaci numeru PESEL, adresu zamieszkania, daty urodzenia, możliwe konsekwencje naruszenia to m.in.: ryzyko zaciągnięcia pożyczki w instytucjach pozabankowych, wydanie przez firmy ubezpieczeniowe polis ubezpieczeniowych bez weryfikacji dokumentów, zawarcie różnych umów z dostawcami usług bez okazywania dokumentów tożsamości, np. na telewizję czy internet. Są również systemy rejestracji pacjenta tylko po podaniu numeru PESEL itd. To są możliwe konsekwencje dla osoby, której dane dotyczą. Obowiązkiem ADO jest je wskazać, w zależności od tego, jakie dane osobowe zostały utracone.