Czy muszę zgłosić naruszenie ochrony danych osobowych we własnej firmie?

Zgubienie pendrive z bazą kontrahentów lub przesłanie maila z danymi klientów pod niewłaściwy adres to w myśl RODO złamanie ustalonych zasad. Wielu przedsiębiorców zastanawia się, czy w takiej sytuacji trzeba zgłosić naruszenia ochrony danych osobowych we własnej firmie? Niestety tak. Należy to zrobić w ciągu 72 godzin. Można to zrobić drogą elektroniczną.

Czy muszę zgłosić naruszenie ochrony danych osobowych we własnej firmie?
  • Anna Malinowska
  • /
  • 4 lutego 2021

Kiedy dochodzi do naruszenia ochrony danych osobowych?

Odkąd pojawiło się Ogólne Rozporządzenie Ochrony Danych Osobowych (RODO), baczniej przyglądamy się tej kwestii w naszych firmach. Niestety, czasem mimo największej staranności może dojść do naruszenia ochrony danych osobowych. Dzieje się tak np. gdy doszło do zniszczenia, utraty, modyfikacji czy nieuprawnionego ujawnienia bądź dostępu do danych osobowych.

Pierwszym przykładem może być naruszenie poufności. Dochodzi do niego np. gdy któryś z pracowników, przez przypadek wyśle plik z danymi klientów do przypadkowego adresata, a nawet do niewłaściwego działu w firmie. Innym przypadkiem jest naruszenie dostępności jeśli zgubimy telefon, pendrive czy dysk przenośny z bazą klientów. Problemem jest także złamanie zasady integralności, gdy ktoś w ramach głupiego żartu zmieni nazwisko lub nazwę ulicy w danych któregoś z klientów. Jak widać, takich sytuacji jest bardzo wiele!

Kto zgłasza naruszenie ochrony danych osobowych?

Po pierwsze, takiego zgłoszenia może dokonać administrator, czyli ogólnie rzecz ujmując przedsiębiorca lub organizacja publiczna, która przetwarza dane osobowe. Po drugie, może być to pełnomocnik administratora, czyli np. nasz prawnik.

Dni wolne na poszukiwanie pracy. Kiedy mogę skorzystać?Dni wolne na poszukiwanie pracy. Kiedy mogę skorzystać?Martyna Kowalska

Kiedy zgłoszenie naruszenia danych osobowych jest zbędne?

KUPON RABATOWY

Jeżeli stwierdzimy, że ryzyko naruszenia praw i wolności osób fizycznych jest małe, nie trzeba zawiadamiać o tym Prezesa Urzędu Ochrony Danych Osobowych. Trzeba jednak dokładnie przeanalizować sytuację. Czasem z pozoru błahe historie mogą być źródłem poważnych problemów!

To jak dokonać trafnej oceny? Pozostańmy przy przykładzie zagubionego telefonu, pendrive czy dysku. Jeśli nośnik danych został zaszyfrowany, a znalazca nie może znać hasła, możemy odetchnąć z ulgą. Podstaw do zgłoszenia nie będzie. Podobnie jest w sytuacji, w której pracownik nieumyślnie zabrał ze sobą segregator zawierający niezabezpieczone dane. Jeśli zorientował się w porę i wrócił do pracy, również nie ma zagrożenia złamania zasad RODO.

Niestety, nie zawsze mamy taką pewność. Jeżeli istnieje ryzyko strat materialnych lub niematerialnych, jakie mogą ponieść nasi klienci, musimy zgłosić sprawę do Urzędu Ochrony Danych Osobowych.

Gdzie można zgłosić naruszenie ochrony danych osobowych?

Właściwą instytucją do przyjęcia takiego zgłoszenia jest Urząd Ochrony Danych Osobowych, znajdujący się przy ul. Stawki 2 w Warszawie (00-193). Można również dopełnić formalności drogą elektroniczną, klikając TUTAJ.

Jak zgłosić naruszenie ochrony danych osobowych?

Jak wspomnieliśmy wcześniej, nasze zgłoszenie powinna poprzedzić analiza, czy sytuacja, jaka miała miejsce w firmie, może zagrozić prawom i wolnościom osobistym osób, których dane przetwarzamy. Jeżeli prawdopodobieństwo złego scenariusza jest małe, nie ma konieczności zawiadamiania UODO. Jeśli jednak dostrzegamy takie niebezpieczeństwo, powinniśmy przystąpić do formalności. System dokładnie poprowadzi nas, wskazując, jak powinno wyglądać zgłoszenie i jakie dokumenty musimy do niego załączyć.

Najpopularniejsze imiona dla dzieci w 2020 rokuNajpopularniejsze imiona dla dzieci w 2020 roku Anna Malinowska

Czy należy poinformować osoby, których dotyczy naruszenie ochrony danych?

Jeśli istnieje wysokie ryzyko naruszenia praw, należy po wysłaniu zgłoszenia poinformować osobę lub osoby, których ten problem może dotyczyć. Jeśli lista nazwisk jest długa, przepisy dopuszczają publikację ogólnodostępnego komunikatu np. na stronie internetowej o wycieku danych, lub niebezpieczeństwie takiego incydentu.

Środki zaradcze po naruszeniu ochrony danych osobowych

Podmiot, u którego doszło do naruszenia ochrony danych osobowych, jest zobowiązany wprowadzić w firmie środki zaradcze, czyli podjąć takie działania, aby zredukować do minimum niebezpieczeństwo wystąpienia podobnych incydentów w przyszłości.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Czy ten artykuł był przydatny?

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!