Reklama

Co zrobić, gdy doszło do naruszenia bezpieczeństwa danych osobowych

Reforma ochrony danych osobowych (Rozporządzenie Parlamentu Europejskiego i Rady zacznie obowiązywać 25 maja 2018 r.; RODO) nakłada na administratorów danych nowe obowiązki.

Aktualizacja: 17.12.2017 10:29 Publikacja: 16.12.2017 23:01

Co zrobić, gdy doszło do naruszenia bezpieczeństwa danych osobowych

Foto: 123RF

RODO zdefiniował pojęcie „naruszenia ochrony danych osobowych" jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Postać naruszenia może mieć charakter zewnętrzny i wewnętrzny oraz dotyczyć danych w formie papierowej czy elektronicznej. Brak adekwatnej i niezwłocznej reakcji administratora może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych (kradzież, sfałszowanie tożsamości, strata finansowa, naruszenie poufności, szkody gospodarcze). Administrator powinien upewnić się, czy w związku z przetwarzaniem danych wdrożył techniczne i organizacyjne środki ochrony, a następnie dokonać oceny, czy naruszenie miało miejsce. Pozytywna weryfikacja skutkować powinna niezwłocznym powiadomieniem przez administratora organu nadzorczego. To nowum w stosunku do regulacji obowiązującej. O tym, czy zgłoszenia dokonano bez zbędnej zwłoki podlegać będzie ocenie z uwzględnieniem kryterium charakteru i wagi ochrony danych oraz niekorzystnych skutków dla osoby, której naruszenie dotyczy. Administrator powinien poinformować organ nie później niż w ciagu 72 godzin od stwierdzenia naruszenia chyba, że będzie w stanie wykazać małe prawdopodobieństwo ryzyka naruszenia praw lub wolności osób fizycznych. W przypadku przekroczenia terminu zgłoszenia na administratorze ciążyć będzie obowiązek udzielenia wyjaśnień, co do jego przyczyn. RODO nie pozostawia dowolności, co do formy zgłoszenia naruszenia, określając jego minimalne wymogi. I tak, administrator musi: opisać charakter naruszenia ochrony danych, wskazać kategorie i przybliżoną liczbę osób, których dane dotyczą, kategorie i przybliżoną liczbę wpisów danych, których dotyczy naruszenie; podać dane oraz kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opisać konsekwencje naruszenia; wskazać zastosowane lub proponowane przez administratora środki w celu zaradzenia naruszeniu ochrony danych. Obowiązek informowania o naruszeniach spoczywa też na podmiocie przetwarzającym, któremu na mocy umowy lub innego aktu powierzono przetwarzanie danych. To administrator ponosi odpowiedzialność za właściwą ochronę danych.

PRO.RP.PL i The New York Times w pakiecie!

Podwójna siła dziennikarstwa w jednej ofercie.

Kup roczny dostęp do PRO.RP.PL i ciesz się pełnym dostępem do The New York Times na 12 miesięcy.

W pakiecie zyskujesz nieograniczony dostęp do The New York Times, w tym News, Games, Cooking, Audio, Wirecutter i The Athletic.

Prawo w firmie
Więcej zamówień z wolnej ręki. Zmiany w zamówieniach publicznych
Materiał Promocyjny
Sieci kampusowe – łączność skrojona dla firm
Prawo w firmie
Czy skargę do sądu na decyzję skarbówki można złożyć przez e-Doręczenia?
Prawo w firmie
AI Act. Zaczęła obowiązywać jedna z najbardziej kontrowersyjnych części rozporządzenia
Prawo w firmie
Nowa ustawa sankcyjna nie pozwoli spryciarzom na zakazany handel z Rosji
Materiał Promocyjny
Bieszczady to region, który wciąż zachowuje aurę dzikości i tajemniczości
Prawo w firmie
Paradoks deregulacji: produkcja prawa rośnie, firmy mają kłopot
Materiał Promocyjny
Jak sfinansować rozwój w branży rolno-spożywczej?
Reklama
Reklama
Reklama