Fajgielski Paweł, Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Obowiązek zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych, podobnie jak obowiązek zgłaszania naruszeń organowi nadzorczemu, stanowi nowe rozwiązanie wprowadzone do ogólnych przepisów o ochronie danych w unijnym rozporządzeniu o ochronie danych. Prawodawca unijny w art. 33 r.o.d.o. zdefiniował pojęcie naruszenia ochrony danych osobowych i nałożył na administratora obowiązek zgłoszenia naruszenia organowi nadzorczemu, natomiast w art. 34 wprowadził dodatkowy obowiązek zawiadamiania osoby, której dane dotyczą, o naruszeniu. Obowiązek ten nie ma jednak charakteru powszechnego, gdyż ciąży na administratorze jedynie wówczas, gdy naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw i wolności osób. Prawodawca unijny wskazał wymogi dotyczące treści zawiadomienia, przewidział wyjątki od obowiązku zawiadamiania oraz przyznał organowi nadzorczemu uprawnienie do nakazania administratorowi spełnienia obowiązku zawiadomienia.
Niedopełnienie omawianego obowiązku może pociągnąć za sobą odpowiedzialność w postaci nałożenia na administratora przez organ nadzorczy administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 r.o.d.o.
Procedury prawne pokazane w formie interaktywnych schematów, dzięki którym sprawdzisz, jak krok po kroku przebiega postępowanie w danej sprawie.
Dowiedz się więcej o LEX Navigator.
Zamów bezpłatną prezentację zdalną , podczas której przedstawimy Ci to narzędzie.
Krok: uzyskanie informacji o naruszeniu przepisów o ochronie danych osobowych
Administrator może uzyskać informacje o naruszeniu przepisów o ochronie danych z różnych źródeł. Najbardziej typowe przypadki uzyskania tego rodzaju informacji, to poinformowanie o tym przez osobę zatrudnioną przy przetwarzaniu danych oraz uzyskanie informacji od podmiotu przetwarzającego dane, który na mocy art. 33 ust. 2 r.o.d.o. ma obowiązek bez zbędnej zwłoki zgłosić naruszenie administratorowi.
Krok: ocena, czy naruszenie przepisów stanowi naruszenie ochrony danych osobowych w rozumieniu r.o.d.o.
Po uzyskaniu informacji o naruszeniu przepisów o ochronie danych administrator powinien ocenić, czy naruszenie to stanowi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 r.o.d.o., a więc czy jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Prawodawca unijny zawęził pojęcie naruszenia ochrony danych osobowych jedynie do tych przypadków, w których występuje tzw. incydent bezpieczeństwa pociągający za sobą skutki wskazane w przepisach. Oznacza to, że w przypadku innego rodzaju naruszeń przepisów o ochronie danych (np. naruszenia zasad, obowiązków informacyjnych itp.) administrator nie ma obowiązku zgłaszania tego faktu organowi nadzorczemu ani zawiadamiania o tym osób, których dane dotyczą.