Będziesz musiał zgłaszać GIODO naruszenia ochrony danych osobowych

blog-121

Na gruncie aktualnie obowiązujących przepisów administrator danych nie ma obowiązku informowania GIODO o zaistniałych w organizacji incydentach z zakresu ochrony danych osobowych, z zastrzeżeniem że taki obowiązek ma jedynie przedsiębiorca telekomunikacyjny, co wynika z Ustawy prawo telekomunikacyjne. To się jednak zmieni.

Na gruncie Ogólnego rozporządzenia o ochronie danych (RODO) obowiązek notyfikacji naruszenia ochrony danych osobowych będzie spoczywał na każdym administratorze danych osobowych. W przypadku naruszenia ochrony danych osobowych w organizacji, administrator danych bez zbędnej zwłoki, w terminie 72 godzin po stwierdzeniu naruszenia, będzie zobowiązany zgłosić takie naruszenie organowi nadzorczemu, tj. GIODO, chyba że jest mało prawdopodobne, by takie naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Sformułowanie: „naruszenie praw lub wolności osób fizycznych” jest dość tajemnicze, spróbujmy je wyjaśnić.

Naruszeniem praw lub wolności osób fizycznych zgodnie z motywami RODO, będzie m.in. powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Co istotne, to administrator będzie musiał ocenić, (na nim będzie spoczywał ciężar dowodu) czy jest mało prawdopodobne, że dane naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Za niezgłoszenie w terminie 72 godzin organowi nadzorczemu naruszenia będzie groziła kara administracyjna w wysokości do 10.000.000 Euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego – zastosowanie będzie miała wyższa kara. W razie zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin, administrator danych zobowiązany będzie do wyjaśnienia przyczyny opóźnienia.

Wzór zgłoszenia:

Informowanie ABI

Należy również podkreślić, iż obowiązkiem zgłaszania naruszeń ochrony danych osobowych został objęty także podmiot przetwarzający, czyli „procesor”. Będzie on bowiem musiał zgłosić każde naruszenie ochrony danych bezpośrednio administratorowi. W aktualnym stanie prawnym przepisy prawa nie nakładają obowiązku na „procesora” w zakresie informowania administratora o ewentualnych incydentach. Oczywiście taki obowiązek może wynikać już obecnie z umowy powierzenia, która została zawarta pomiędzy administratorem danych, a „procesorem”.

RODO wprowadza wiele zmian i nowości w stosunku do aktualnie obowiązujących przepisów. Chcesz wiedzieć więcej? Zachęcam do lektury książki „Unijna reforma ochrony danych osobowych. Analiza zmian.”

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. Marcin Zadrożny
01 lutego 2017

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu