Warszawa, 04 grudnia 2017 r.
Informacja prasowa
Raportowanie do Uredu Ochrony Danych Osobowych (dalej UODO) o wlasnych naruszeniach to konstrukcja prawna wywodzaca sie z art. 33 Rozporadzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO) i w stosunku do przepis?w ustawy o ochronie danych osobowych jest ona calkowicie nowa.
Od 25 maja 2018r. bedzie to obowiazek powszechny, nalozony na kazdego administratora danych osobowych oraz kazdy podmiot pretwarajacy dane czyli procesora. Polegac on bedzie na informowaniu, przez te podmioty, UODO o naruszeniu przepis?w ochrony danych osobowych. Termin jaki wyznacza europejski Ustawodawca zostal ustalony na 72h. Jezeli w preciagu tego czasu administrator nie powiadomi organu nadzorczego o naruszeniu w dalszym ciagu jest zobligowany to zrobic, podajac przyczyne op?znienia. Oczywiscie termin biegnie od momentu w ktm administrator lub procesor dowie sie o zaistnialym naruszeniu.
Czy warto ukrywac przed organem naruszenie przepis?w o ochronie danych osobowych?
Uchylanie sie od obowiazku poinformowania organu nadzorczego wiaze sie z nalozeniem przez Urad, okreslonych w art. 83. Ust. 4 RODO, kar. Sankcje finansowe beda bardzo odczuwalne dla administrator?w danych, gdyz moga wynosic nawet 100 tys. euro lub 2% calkowitego rocznego swiatowego obrotu z popredniego roku obrotowego predsiebiorstwa. Nie warto r?wniez liczyc na poblazliwe traktowanie przez UODO w chwili, gdy nie zglosi sie do niego wystapienia incydentu. Kara nalozona po zaraportowaniu naruszenia do UODO bedzie na pewno nizsza niz ta nalozona przez Urad w przypadku wykrycia zatajenia nieprawidlowosci.
W jaki spos bedzie mozna informowac organ?
Zgodnie z zapisami predstawionymi w projekcie ustawy z dnia 12 wresnia 2017 r. o ochronie danych osobowych, Prezes UODO bedzie prowadzil system teleinformatyczny za pomoca, ktgo bedzie mozna informowac go o naruszeniach. Prawdopodobnie bedzie to formular elektroniczny na stronie Uredu. Warto pamietac, iz istotnym bedzie wprowadzenie odpowiednich rozwiazan organizacyjnych. Pracownik, kt dowie sie o incydencie musi wiedziec do kogo zglosic zaistniala sytuacje. Dobrym rozwiazaniem bedzie wiec stworenie wewnetrnej polityki dzialania na wypadek wystapienia incydent?w.
O jakich incydentach nalezy poinformowac UODO?
Pomocne, w ocenie jakie incydenty nalezy zglaszac, moze okazac sie zdefiniowanie, zawartego w art. 4 pkt 12 RODO, terminu „naruszenia danych osobowych”. Moze byc ono przypadkowe lub bezprawne (tj. naruszajace przepisy). Moze ono polegac na dzialaniu albo zaniechaniu, ktgo skutkiem jest zniszczenie badz usuniecie danych, modyfikacja (zmiana tresci); ujawnienie danych lub uzyskanie dostepu do nich przez osobe nieuprawniona. Naruszenia moga wiec odnosic sie do rnych czynnosci pretwarania danych – m Adam Lipinski, Specjalista ds. ochrony danych, ODO 24.
Czy tylko UODO musi zostac poinformowany?
W sytuacji, w ktj naruszenie niesie ze soba wysokie „ryzyko naruszenia praw lub wolnosci os?b fizycznych”, administrator powinien r?wniez, bez zbednej zwloki, zawiadomic osobe, ktj danych osobowych dotyczylo naruszenie. Powyzsza wiadomosc powinna byc zakomunikowana prostym i prejrystym jezykiem.
Dla wielu administrator?w danych najbardziej uciazliwym, w procesie raportowania naruszen do UODO, moze okazac sie kr?tki termin – 72h. Nie sa to godziny robocze, wiec czas w jakim nalezy zawiadomic organ nadzorczy o incydencie jest bardzo kr?tki. Podstawowym sposobem na wywiazanie sie z tego obowiazku prawnego bedzie wdrozenie w organizacji odpowiednich procedur administracyjnych i technicznych aby incydent m?gl byc jak najszybciej zauwazony i w razie koniecznosci zgloszony do Uredu – wskazuje, Adam Lipinski, Specjalista ds. ochrony danych, ODO 24. Nie zapominajmy, iz gl?wnym zadaniem RODO jest ochrona danych osobowych os?b fizycznych, nie zas wygoda predsiebiorc?w. Mimo, iz instytucja zawarta w art. 33 rozporadzenia moze wydawac sie z punktu widzenia szeroko rozumianych firm kuriozalna, to zapewnia ona odpowiednie warunki ochronne osobom, ktch dane sa przez nie pretwarane – dodaje.
ODO 24 sp. z o. o. oferuje kompleksowe rozwiazania w zakresie ochrony danych osobowych i bezpieczenstwa informacji. Dzieki doswiadczonemu zespolowi ekspert?w z zakresu m.in. prawa, informatyki, zaradzania kryzysowego oraz ciaglosci dzialania dostarcza organizacjom praktyczne rozwiazania, pozwalajace skutecznie zabezpieczyc posiadane zasoby informacyjne.
