Warszawa, 04 grudnia 2017 r.
Informacja prasowa
Raportowanie do Urzedu Ochrony Danych Osobowych (dalej UODO) o wlasnych naruszeniach to konstrukcja prawna wywodzaca sie z art. 33 Rozporzadzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO) i w stosunku do przepis?w ustawy o ochronie danych osobowych jest ona calkowicie nowa.
Od 25 maja 2018r. bedzie to obowiazek powszechny, nalozony na kazdego administratora danych osobowych oraz kazdy podmiot przetwarzajacy dane czyli procesora. Polegac on bedzie na informowaniu, przez te podmioty, UODO o naruszeniu przepis?w ochrony danych osobowych. Termin jaki wyznacza europejski Ustawodawca zostal ustalony na 72h. Jezeli w przeciagu tego czasu administrator nie powiadomi organu nadzorczego o naruszeniu w dalszym ciagu jest zobligowany to zrobic, podajac przyczyne op?znienia. Oczywiscie termin biegnie od momentu w kt?rym administrator lub procesor dowie sie o zaistnialym naruszeniu.
Czy warto ukrywac przed organem naruszenie przepis?w o ochronie danych osobowych?
Uchylanie sie od obowiazku poinformowania organu nadzorczego wiaze sie z nalozeniem przez Urzad, okreslonych w art. 83. Ust. 4 RODO, kar. Sankcje finansowe beda bardzo odczuwalne dla administrator?w danych, gdyz moga wynosic nawet 100 tys. euro lub 2% calkowitego rocznego swiatowego obrotu z poprzedniego roku obrotowego przedsiebiorstwa. Nie warto r?wniez liczyc na poblazliwe traktowanie przez UODO w chwili, gdy nie zglosi sie do niego wystapienia incydentu. Kara nalozona po zaraportowaniu naruszenia do UODO bedzie na pewno nizsza niz ta nalozona przez Urzad w przypadku wykrycia zatajenia nieprawidlowosci.
W jaki spos?b bedzie mozna informowac organ?
Zgodnie z zapisami przedstawionymi w projekcie ustawy z dnia 12 wrzesnia 2017 r. o ochronie danych osobowych, Prezes UODO bedzie prowadzil system teleinformatyczny za pomoca, kt?rego bedzie mozna informowac go o naruszeniach. Prawdopodobnie bedzie to formularz elektroniczny na stronie Urzedu. Warto pamietac, iz istotnym bedzie wprowadzenie odpowiednich rozwiazan organizacyjnych. Pracownik, kt?ry dowie sie o incydencie musi wiedziec do kogo zglosic zaistniala sytuacje. Dobrym rozwiazaniem bedzie wiec stworzenie wewnetrznej polityki dzialania na wypadek wystapienia incydent?w.
O jakich incydentach nalezy poinformowac UODO?
Pomocne, w ocenie jakie incydenty nalezy zglaszac, moze okazac sie zdefiniowanie, zawartego w art. 4 pkt 12 RODO, terminu „naruszenia danych osobowych”. Moze byc ono przypadkowe lub bezprawne (tj. naruszajace przepisy). Moze ono polegac na dzialaniu albo zaniechaniu, kt?rego skutkiem jest zniszczenie badz usuniecie danych, modyfikacja (zmiana tresci); ujawnienie danych lub uzyskanie dostepu do nich przez osobe nieuprawniona. Naruszenia moga wiec odnosic sie do r?znych czynnosci przetwarzania danych – m?wi Adam Lipinski, Specjalista ds. ochrony danych, ODO 24.
Czy tylko UODO musi zostac poinformowany?
W sytuacji, w kt?rej naruszenie niesie ze soba wysokie „ryzyko naruszenia praw lub wolnosci os?b fizycznych”, administrator powinien r?wniez, bez zbednej zwloki, zawiadomic osobe, kt?rej danych osobowych dotyczylo naruszenie. Powyzsza wiadomosc powinna byc zakomunikowana prostym i przejrzystym jezykiem.
Dla wielu administrator?w danych najbardziej uciazliwym, w procesie raportowania naruszen do UODO, moze okazac sie kr?tki termin – 72h. Nie sa to godziny robocze, wiec czas w jakim nalezy zawiadomic organ nadzorczy o incydencie jest bardzo kr?tki. Podstawowym sposobem na wywiazanie sie z tego obowiazku prawnego bedzie wdrozenie w organizacji odpowiednich procedur administracyjnych i technicznych aby incydent m?gl byc jak najszybciej zauwazony i w razie koniecznosci zgloszony do Urzedu – wskazuje, Adam Lipinski, Specjalista ds. ochrony danych, ODO 24. Nie zapominajmy, iz gl?wnym zadaniem RODO jest ochrona danych osobowych os?b fizycznych, nie zas wygoda przedsiebiorc?w. Mimo, iz instytucja zawarta w art. 33 rozporzadzenia moze wydawac sie z punktu widzenia szeroko rozumianych firm kuriozalna, to zapewnia ona odpowiednie warunki ochronne osobom, kt?rych dane sa przez nie przetwarzane – dodaje.
ODO 24 sp. z o. o. oferuje kompleksowe rozwiazania w zakresie ochrony danych osobowych i bezpieczenstwa informacji. Dzieki doswiadczonemu zespolowi ekspert?w z zakresu m.in. prawa, informatyki, zarzadzania kryzysowego oraz ciaglosci dzialania dostarcza organizacjom praktyczne rozwiazania, pozwalajace skutecznie zabezpieczyc posiadane zasoby informacyjne.
