Obowiązek informacyjny

Obowiązek informacyjny

Artykuły 13 i 14 RODO przewidują dwa warianty obowiązków informacyjnych. Artykuł 13 reguluje obowiązek informacyjny spełniany w przypadku pierwotnego pozyskiwania danych od osoby, której dane dotyczą. Natomiast artykuł 14 odnosi się do obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.

Adresatem obowiązku informacyjnego jest administrator. Nie realizuje go natomiast podmiot przetwarzający, chyba że robi to w imieniu administratora. Obowiązek ten musi realizować administrator aktywnie, bez wniosku lub jakiegokolwiek innego żądania czy inicjatywy osoby, której dane dotyczą.

Administrator, dokonując oceny, który z obowiązków informacyjnych realizować, musi uwzględnić źródło danych osobowych. Jeżeli źródłem tym jest sam podmiot danych, wówczas obowiązkiem administratora jest przekazanie temu podmiotowi informacji obejmujących:

  • tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe jego przedstawiciela;
  • dane kontaktowe inspektora ochrony danych, jeżeli został powołany;
  • cele przetwarzania danych osobowych;
  • podstawę prawną przetwarzania, a jeżeli podstawą tą jest art. 6 ust. 1 lit. f RODO – także informację o prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli występują w ramach danego przetwarzania;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, 47 lub 49 ust. 1 ak. 2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych, o ile do takich transferów ma dochodzić w ramach danego przetwarzania;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem – jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania, i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Prawodawca unijny w pierwszej kolejności wymaga od administratora podania danych wskazanych w lit. a–f powyżej. Podkreśla jednocześnie, że informacje wymienione w lit. g–l mają być podane poza tymi podstawowymi jako inne, niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania. Jeżeli w ocenie administratora podmiot danych powinien dysponować także innymi informacjami niż wymienione w przepisie art. 13 RODO, należy rekomendować przekazanie takich informacji.

Ponadto jeżeli administrator planuje przetwarzać dane w celu innym niż cel, dla którego te dane zostały zebrane, przed podjęciem takiego dalszego przetwarzania powinien poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich informacji niezbędnych do zapewnienia przejrzystości przetwarzania wskazanych w art. 13 ust. 2 lit. a-f RODO.

Obowiązek informacyjny w świetle art. 13 RODO jest więc szerszy niż obowiązek realizowany na gruncie art. 24 ustawy z 29.08.1997 r. o ochronie danych osobowych. Nowością dla administratora jest informowanie o: podstawach prawnych przetwarzania (w tym wyjaśnienia dotyczące uzasadnionych interesów), transferach danych do państw trzecich lub organizacji międzynarodowej, okresach przechowywania danych, uprawnieniach podmiotu danych (w tym o możliwości i skutkach cofnięcia zgody), prawie wniesienia skargi do organu nadzorczego, zautomatyzowanym podejmowaniu decyzji. Zakres klauzul informacyjnych ulega także zmianie ze względu na szersze niż w ustawie o ochronie danych osobowych z 1997 r. rozumienie pojęcia odbiorcy i objęcie nim także podmiotu przetwarzającego.

Nie ulega wątpliwości, że przekazanie osobie, której dane dotyczą, tak dużego pakietu informacji na etapie zbierania od niej danych osobowych wymaga gruntownego przemyślenia oraz osadzenia w praktyce danego administratora i kontekście danego przetwarzania. Administrator musi także pamiętać, że obowiązek informacyjny powinien być spełniany w czasie pozyskiwania danych, podczas tej czynności, nie następczo, kiedy dane zostaną już zebrane.

Przygotowując klauzule informacyjne, należy mieć na uwadze zasadę przejrzystości. Obowiązek informacyjny powinien być realizowany w sposób klarowny, zrozumiały dla podmiotu danych. Klauzula powinna być więc konstruowana jasnym i prostym językiem. Oznacza to, że sposób realizacji obowiązku informacyjnego, w tym sposób formułowania klauzuli, będzie zależeć od kilku czynników, w tym tego, kim jest podmiot danych, w jakiego rodzaju relacji występuje względem administratora, w jaki sposób, z wykorzystaniem jakich środków zbierane są dane od osoby, której dotyczą. Inaczej należy realizować obowiązek informacyjny np. względem dziecka, a inaczej względem dorosłego pacjenta lub też wobec klienta będącego profesjonalistą i występującego w relacji z administratorem właśnie w takim, zawodowym charakterze. Inne będą także możliwości realizacji obowiązku informacyjnego w ramach tradycyjnego, papierowego formularza, w przypadku formularza online, polityki prywatności lub regulaminu, a inne jeżeli obowiązek będzie realizowany w aplikacji mobilnej lub ustnie, np. w czasie rozmowy telefonicznej.

Niezależnie od tego, w jaki sposób administrator decyduje się przekazać podmiotowi danych informacje wymagane zgodnie z art. 13 RODO, powinien pamiętać, że realizacja obowiązku informacyjnego ma służyć osobie, której dane dotyczą, oraz zapewnieniu rzetelności i przejrzystości przetwarzania. Ma więc sprzyjać:

  • uzyskaniu przez podmiot danych informacji niezbędnych do zrozumienia kontekstu i konsekwencji przetwarzania jego danych osobowych,

  • podjęciu stosownej decyzji co do przekazania danych administratorowi,
  • sprawowaniu faktycznej kontroli nad przetwarzanymi na temat podmiotu danymi,
  • wspieraniu korzystania przez podmiot danych z przysługujących mu praw.

Przepisy rozporządzenia nie wymagają od administratora stosowania prawniczego lub informatycznego języka. Istotne, aby klauzula informacyjna stanowiła jasny komunikat o przetwarzaniu danych dla osoby, której te dane dotyczą.

Prawodawca unijny przewiduje jedno wyłączenie obowiązku informacyjnego określonego w art. 13 RODO. Obowiązuje ono tylko wówczas, gdy osoba, której dane dotyczą, dysponuje informacjami, które miałby przekazać administrator zgodnie z wyżej powołanym przepisem. Ponadto wyłączenie to obowiązuje jedynie w takim zakresie, w jakim podmiot danych już posiada określone informacje. Możliwa jest więc całościowa lub częściowa rezygnacja z obowiązku informacyjnego, w zależności od konkretnych okoliczności. W każdym przypadku kluczowa dla możliwości skorzystania z wyłączenia z art. 13 ust. 4 RODO będzie dokonywana przez administratora ocena poziomu świadomości podmiotu danych w określonym kontekście przetwarzania.

Ważne! Należy zwrócić szczególną uwagę na możliwość realizacji obowiązku informacyjnego częściowo, tj. w zakresie, w jakim podmiot danych nie dysponuje informacjami, do których przekazania zobowiązany jest administrator. Jeżeli więc z okoliczności zbierania danych bezsprzecznie wynika, że osoba, której dane dotyczą, wie, kim jest administrator i jak się z nim skontaktować, zna cel przetwarzania (np. sama go determinuje) oraz podstawę (np. korzysta z uprawnienia wynikającego z przepisu, składając ustalone w odpowiednich przepisach prawa dokumenty i dostarczając dane na urzędowych formularzach zawierających precyzyjne wskazanie podstaw każdego z elementów danego wniosku), ale nie dysponuje pozostałymi informacjami, np. nie wie, czy administrator powołał inspektora ochrony danych osobowych i jak się z nim skontaktować, nie wie, jakie przysługują jej prawa w związku z konkretnym przetwarzaniem ani też czy dane mogą być w ramach tego przetwarzania przekazywane do państwa trzeciego itd., to administrator ma obowiązek przedstawić jej te informacje.

W art. 14 RODO uregulowany jest drugi z obowiązków informacyjnych, który powstaje, jeżeli administrator pozyskuje dane z innego źródła niż od samego podmiotu tych danych. W takim przypadku poza informacjami opisanymi powyżej musi wskazać, jakie dane (jakie kategorie danych) i skąd pozyskał. Pełen katalog informacji, których przekazanie może być konieczne, obejmuje więc:

  • tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;
  • dane kontaktowe inspektora ochrony danych, jeżeli został wyznaczony;
  • cele przetwarzania, do których mają posłużyć dane osobowe;

  • podstawę prawną przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46 , 47  lub 49 ust. 1  ak. 2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;

  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f  RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a  lub art. 9 ust. 2 lit. a  RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • informacje o prawie wniesienia skargi do organu nadzorczego;

  • źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1  i 4  RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Przepis art. 14 ust. 3 RODO wskazuje, w jakim terminie należy zrealizować obowiązek informacyjny. Administrator ma obowiązek przekazać wszystkie informacje w rozsądnym terminie po pozyskaniu danych osobowych, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Przekazanie to musi nastąpić najpóźniej w ciągu miesiąca od pozyskania danych. Jeżeli natomiast dane mają być stosowane do komunikacji z podmiotem danych, obowiązek informacyjny należy zrealizować najpóźniej przy pierwszej takiej komunikacji. Jeżeli z kolei administrator planuje ujawnić dane innemu odbiorcy, obowiązek ten należy zrealizować najpóźniej przy pierwszym ujawnieniu danych temu odbiorcy.

Obowiązek informacyjny określony w art. 14 RODO należy więc realizować w terminie wskazanym na grafie poniżej:

 

 

Jeżeli z kolei administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji wskazanych w lit. h–n powyżej.

Artykuł 14 ust. 5 RODO przewiduje wyjątki od obowiązku przekazania podmiotowi danych informacji wskazanych powyżej. Z realizacji obowiązku informacyjnego można zrezygnować, gdy:

  • osoba, której dane dotyczą, dysponuje już informacjami wymaganymi zgodnie z art. 14  RODO;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1  RODO, lub o ile obowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, aby chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W przypadku analizy możliwości skorzystania z jakichkolwiek zwolnień z obowiązków informacyjnych należy także brać pod uwagę przepis art. 11 RODO, zgodnie z którym jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetwarzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, aby zastosować się do wymogów RODO.

Naruszenie ochrony danych osobowych, a obowiązki administratora

Naruszenie ochrony danych osobowych, a obowiązki administratora

Pojęcie naruszenia ochrony danych osobowych

Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).

Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

  • naruszenie musi dotyczyć danych  osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp  do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa  danych.

Jednocześnie – jak wskazuje Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) – można wyróżnić trzy typy naruszeń ochrony danych osobowych:

1. NARUSZENIE POUFNOŚCI – polega na ujawnieniu danych osobowych nieuprawnionej osobie

Przykład I

Przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej.

Przykład II

System informatyczny administratora został zainfekowany złośliwym oprogramowaniem. Po przeprowadzeniu wstępnej analizy administrator stwierdził, że w wyniku działania tego oprogramowania osoba nieupoważniona uzyskała dostęp do danych osobowych.

2.  NARUSZENIE DOSTĘPNOŚCI – polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych

Przykład I

Zgubienie lub kradzież nośnika zawierającego bazy danych klientów administratora przy braku kopii zapasowej.

Przykład II

Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane ze zbioru. Administrator próbuje odzyskać dane z kopii zapasowej,jednak jego działania nie przynoszą rezultatu.

Przykład III

W wyniku przerwy w dostawie prądu lub ataku typu „odmowa usługi” (tzw. DDoS), administrator tymczasowo lub trwale traci dostęp do danych osobowych.W powyższym przykładzie III mamy do czynienia ze zdarzeniem skutkującym utratą dostępności danych osobowych przez pewien czas. Jest to naruszenie, ponieważ brak dostępu do danych może mieć znaczący wpływ na prawa lub wolności osób fizycznych. Jednak nie każda czasowa niedostępność danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych, np. w przypadku szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować jako wysokie ryzyko dla praw lub wolności osób fizycznych. W przypadku kilkugodzinnego braku dostępu spółki medialnej do swoich systemów i niemożliwości wysyłania newslettera do abonentów, istnieje natomiast niskie prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. Podobnie w przypadku planowanej konserwacji systemu, dane osobowe mogą być niedostępne przez pewien czas i nie należy traktować tego jako naruszenia bezpieczeństwa.

3. NARUSZENIE INTEGRALNOŚCI – polega na zmianie treści danych osobowych w sposób nieautoryzowany.Przykład„Pracownik dla żartu zmienia nazwiska klientów poprzez dopisanie litery „s” na końcu każdego z nich.

Jakie obowiązki w związku z naruszeniami ochrony danych osobowych przewiduje RODO?

RODO przewiduje następujące obowiązki administratora związane z naruszeniem ochrony danych osobowych:

  • wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
  • prowadzenie wewnętrznej ewidencji naruszeń;
  • zgłaszanie naruszeń organowi nadzorczemu;
  • powiadamianie osoby, której dane dotyczą, o naruszeniu;
  • podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

Ważnym, jeśli nie najważniejszym, elementem całego procesu związanego ze zgłaszaniem naruszenia ochrony danych, jest szybkość podjęcia niezbędnych działań, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą.

Administrator

Żeby zapewnić działania bez zbędnej zwłoki, administratorzy powinni opracować i wdrożyć procedury postępowania na wypadek wystąpienia naruszenia ochrony danych. Taka procedura pomoże ujednolicić, usprawnić oraz przyśpieszyć działania w przypadku wykrycia naruszenia ochrony danych. W tej procedurze powinno się zawrzeć m.in.:

  • cel, w jakim procedura została opracowana;
  • zakres jej stosowania;
  • katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
  • opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
  • opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych.

Zdolność do zapobiegania naruszeniom w przypadkach, w których jest to możliwe, oraz zdolność do niezwłocznego reagowania na naruszenia w sytuacjach, w których mimo to dojdzie do ich wystąpienia, stanowi kluczowy element każdej polityki w zakresie bezpieczeństwa danych.

Dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO). Niezależnie od poziomu ryzyka, administrator zobowiązany jest do wprowadzenia środków zaradczych mających na celu zminimalizowanie ryzyka i zabezpieczenie danych osobowych.

Współadministratorzy

Współadministratorzy, zgodnie z art. 26 RODO, w ramach realizowanego wspólnie przedsięwzięcia, określają zakresy swojej odpowiedzialności, dotyczącej wypełniania obowiązków wynikających z RODO. Wiąże się to z koniecznością ustalenia, która strona będzie odpowiedzialna za wywiązywanie się ze zobowiązań ustanowionych w art. 33 i 34 RODO oraz jakie będą obowiązki pozostałych stron w zakresie wymiany informacji dotyczących naruszeń ochrony danych osobowych. Ważne jest, aby podjęte uzgodnienia zapewniały efektywne wywiązywanie się z obowiązków wynikających z przepisów prawa. Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) zaleca, aby uzgodnienia umowne między współadministratorami uwzględniały postanowienia wskazujące administratora, który będzie zajmował się dbaniem o wypełnianie ustanowionych w RODO obowiązków w zakresie zgłaszania naruszeń lub który będzie odpowiedzialny za wypełnianie tych obowiązków.

Podmiot przetwarzający

Administrator ponosi odpowiedzialność prawną za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu (motyw 74 RODO). Podmiot przetwarzający odgrywa istotną rolę w zapewnianiu administratorowi możliwości wywiązania się ze spoczywających na nim obowiązków. Zgodnie z art. 28 ust. 3 lit. f RODO, umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO, a zatem również obowiązków określonych w art. 33 i 34 RODO.

Zgodnie z art. 33 ust. 2 RODO, podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Bez zbędnej zwłoki oznacza najszybciej jak to możliwe i taki termin wywiązywania się z tego obowiązku powinien być nałożony na podmioty przetwarzające w umowach powierzenia. Jeżeli podmiot przetwarzający świadczy usługi na rzecz wielu administratorów, a dany incydent wywiera wpływ na wszystkich z nich, podmiot przetwarzający będzie zobowiązany do zgłoszenia naruszenia bez zbędnej zwłoki każdemu z tych administratorów.

Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniaj’ą wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania (motyw 81 RODO).

Oznacza to na przykład, że gdy naruszenie ochrony danych osobowych wymaga podjęcia działań mających na celu jak najszybsze zablokowanie nieuprawnionego dostępu do danych osobowych, a dotyczy to danych przetwarzanych w ramach powierzenia, administrator powinien wydać odpowiednie polecenie podmiotowi przetwarzającemu i zadbać o to by żądanie organu nadzorczego zostało jak najszybciej i skutecznie zrealizowane. Pamiętać należy, że brak odpowiedniego działania po stronie podmiotu przetwarzającego w sytuacji naruszenia ochrony danych osobowych może skutkować zastosowaniem przez organ wobec podmiotu przetwarzającego uprawnień określonych w art. 58 RODO. Dotychczasowe doświadczenia Urzędu Ochrony Danych Osobowych wskazują, że nie wszystkie podmioty, przy pomocy których administratorzy przetwarzają dane osobowe, gwarantują odpowiednie bezpieczeństwo danych osobowych oraz szybkie i skuteczne rozwiązania służące prawidłowemu wywiązywaniu się z obowiązków określonych w art. 33 i 34 RODO.

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Trzeba jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Więcej informacji na temat oceny ryzyka można znaleźć w dwuczęściowym poradniku Prezesa UODO, w którym odpowiedziano na pytania: Jak rozumieć podejście oparte na ryzyku według RODO? oraz Jak stosować podejście oparte na ryzyku?

W jaki sposób powiadomić Prezesa UODO o naruszeniu?

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Zgłoszenia można dokonać za pomocą formularza dostępnego na stronie uodo.gov.pl na 4 sposoby:

  1. Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl.
  2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP.
  3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl.
  4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia ochrony danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy.

Jakie informacje musi zawierać zgłoszenie naruszenia kierowane do Prezesa UODO?

Zgodnie z art. 33 ust. 3 RODO, administrator powinien wskazać w zgłoszeniu naruszenia następujące informacje:

  • wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych  lub oznaczenia innego punktu kontaktowego , od którego można uzyskać więcej informacji;
  • opis możliwych konsekwencji  naruszenia ochrony danych osobowych;
  • wskazanie środków, jakie zostały zastosowane lub proponowane  przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania  jego ewentualnych negatywnych skutków.

Istotne jest, aby opis charakteru naruszenia był na tyle szczegółowy i jasny, aby organ nadzorczy mógł ocenić całość zdarzenia i podjąć skuteczne działania, takie jak np. skierowanie wystąpienia do administratora o zawiadomienie bądź ponowne prawidłowe zawiadomienie osób, których dane dotyczą (gdy administrator zrezygnował z zawiadomienia bądź dokonał zawiadomienia osób w sposób nieprawidłowy). Zbyt lakoniczna informacja nie spełnia tej funkcji, a tym samym nie pozwala organowi nadzorczemu na podjęcie szybkich i właściwych działań mających na celu ochronę praw i wolności osób fizycznych. Przede wszystkim należy pamiętać, aby poinformować organ nadzorczy o zastosowanych środkach zaradczych (np. czy stosowano metody szyfrowaniu w utraconym nośniku elektronicznym zawierającym dane osobowe, a jeśli tak, to jakie to były metody).

W jakim terminie należy zgłosić naruszenie Prezesowi UODO?

Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

To czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej Art. 29, administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.

Należy pamiętać, że podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zobowiązany jest do zgłoszenia go administratorowi (art. 33 ust. 2 RODO). Administrator, dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych, decyduje czy zgłosić takie naruszenie organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?

Administratorzy nie zawsze będą dysponować wszystkimi wymaganymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia. W związku z tym, zgodnie z art. 33 ust. 4 RODO, administrator może udzielać informacji sukcesywnie. W takim przypadku administrator powinien przekazać brakujące informacje, jak tylko wejdzie w ich posiadanie. Zawiadamianie „sukcesywne” jest dopuszczalne, pod warunkiem że administrator poda organowi nadzorczemu przyczyny opóźnienia.

Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) również niejednokrotnie podkreśla, że np. brak dostępu do szczegółowych informacji (np. informacji o dokładnej liczbie osób, których dane dotyczą, na które naruszenie wywarło wpływ) nie powinien stanowić przeszkody dla terminowego zgłoszenia naruszenia. Przepisy RODO dopuszczają możliwość wskazywania przybliżonej liczby osób fizycznych, na które dane naruszenie wywarło wpływ, oraz przybliżonej liczby wpisów danych osobowych, których dotyczy to naruszenie.

Najczęściej popełniane błędy podczas zgłaszania naruszeń

Administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.

Najczęściej popełniane błędy przy zgłaszaniu naruszeń:

1.Brak niektórych wymaganych w art. 33 ust. 3 RODO informacji (przekazane w zgłoszeniu informacje są niekompletne). Prawidłowo wypełnione zgłoszenie naruszenia ochrony danych powinno zawierać co najmniej:

  • opis charakteru naruszenia ochrony danych osobowych – w tym w miarę możliwości wskazywanie kategorii i przybliżonej liczby osób, których dane dotyczą oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisanie możliwych konsekwencji naruszenia ochrony danych osobowych;
  • opisanie środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosowanych przypadkach środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Przekazanie wszystkich wymaganych informacji ułatwia elektroniczny formularz, który nie jest obowiązkowy, lecz jego usystematyzowany układ pozwala administratorom na sporządzenie prawidłowego zgłoszenia, które zawiera wszystkie wymagane informacje.

Prawidłowo wypełnione zgłoszenie pozwoli organowi nadzorczemu ocenić skalę i charakter naruszenia i – w razie potrzeby – podjąć odpowiednie i szybkie działania naprawcze w związku z jego zaistnieniem. Jeżeli z jakichś względów administrator nie może skorzystać z formularza, powinien zawrzeć wszystkie informacje wskazane w art. 33 ust. 3 RODO w piśmie kierowanym do Prezesa UODO.

Zgłoszenie naruszenia powinno nastąpić w terminie do 72 godzin od jego stwierdzenia. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Gdy w chwili zgłaszania naruszenia administrator nie dysponuje wszystkimi wymaganymi informacjami, to w terminie 72 godzin od wykrycia naruszenia powinien przekazać organowi nadzorczemu te informacje, które na temat naruszenia posiada. Jeśli zgłoszenie następuje na formularzu, należy zaznaczyć pole „Zgłoszenie wstępne” w pkt 1 formularza. W takim przypadku, zgodnie z art. 33 ust. 4 RODO, administrator powinien przekazać brakujące informacje po ich uzyskaniu, bez zbędnej zwłoki.

2. Niedokładne wypełnianie zgłoszeń (informacje przekazywane w zgłoszeniu są lakoniczne i nierzetelne).

Brak rzetelnego opisu (np. wpisanie jedynie sformułowania „zagubiono dokument”) rodzi konieczność podejmowania przez organ dodatkowych czynności w celu ustalenia np. rodzaju dokumentu i zakresu danych, jaki on zawiera. Po skontaktowaniu się z inspektorem ochrony danych lub innym wskazanym przez administratora punktem kontaktowym w tej sprawie okazuje się, że dany dokument był np. oryginałem umowy zawierającym podstawowe dane identyfikacyjne wraz z numerem PESEL, adresem zamieszkania, numerem dokumentu tożsamości oraz szczegółowymi informacjami finansowymi wskazującymi na status materialny danej osoby fizycznej. „Charakter naruszenia” powinien więc zawierać szczegółowy opis stanu faktycznego oraz okoliczności naruszenia.

Nierzetelne, zdawkowe przekazywanie informacji uniemożliwia ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Jednym z najważniejszych celów zgłaszania naruszeń ochrony danych jest ograniczenie szkód dla osób fizycznych. Uzyskanie przez organ nadzorczy pełnych, wymaganych w art. 33 ust. 3 RODO informacji o określonym naruszeniu, pozwala mu na właściwą ocenę naruszenia i odpowiednią reakcję polegającą np. na zażądaniu od administratora powiadomienia osób, których dane dotyczą, w sytuacji, gdy jest to konieczne, a administrator nie uczynił tego z własnej inicjatywy. Brak odpowiedniej i szybkiej reakcji na naruszenia ochrony danych osobowych zwiększa ryzyko urzeczywistnienia się związanych z nimi szkód.

W przypadku braku w zgłoszeniu wymaganych informacji, konieczne jest wezwanie administratora do ich uzupełnienia. Brak reakcji administratora na takie wezwanie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e RODO.

3. Wypełnianie zgłoszeń w sposób rutynowy, prowadzący do błędów.

W przypadku administratorów kierujących do urzędu znaczne ilości zgłoszeń, zauważalna jest tendencja do niedbałego i szablonowego sposobu wypełniania formularza zgłoszenia naruszenia. To powoduje, że w zgłoszeniach od tych administratorów często obecne są błędy wynikające z automatycznego przenoszenia informacji dotyczących innych zdarzeń, np. wcześniej zgłoszonych naruszeń. Takie błędne, nieścisłe przekazywanie informacji powoduje konieczność prowadzenia z administratorem dalszej korespondencji lub innej formy kontaktu, a tym samym ponoszenia niepotrzebnych nakładów czasu i pracy zarówno po stronie administratora, jak i organu nadzorczego.

4. Zgłaszanie naruszeń ochrony danych osobowych przez podmiot przetwarzający bądź inny podmiot nie będący administratorem zobowiązanym do zgłoszenia naruszenia.

Podmiot przetwarzający nie zgłasza naruszeń ochrony danych osobowych organowi nadzorczemu. Obowiązek ten ciąży na administratorze. Zgodnie z art. 33 ust. 2 RODO podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Również art. 28 ust. 3 lit. f RODO zobowiązuje podmiot przetwarzający do pomagania administratorowi w wywiązaniu się z obowiązków określonych w art. 33 RODO (np. poprzez udzielenie dostępnych mu w danej sprawie informacji). Na podstawie zgromadzonych informacji administrator stwierdza naruszenie ochrony danych i podejmuje decyzję o właściwym zaklasyfikowaniu naruszenia w zależności od poziomu ryzyka dla praw lub wolności osób, których dane dotyczą, a tym samym o konieczności zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osób, których dane dotyczą.

Naruszenia nie zgłasza również podmiot, który np. w wyniku pomyłki otrzymał od innego podmiotu korespondencję z danymi osobowymi nie kierowaną do niego. W takim przypadku należy niezwłocznie powiadomić ten podmiot o zaistniałym zdarzeniu, który to, będąc administratorem, jest zobowiązany dokonać analizy i podjąć decyzję o ewentualnym zgłoszeniu naruszenia Prezesowi UODO.

Jak oceniać ryzyko naruszenia praw lub wolności osób fizycznych na wypadek stwierdzenia naruszenia?

Uzyskanie informacji przez administratora o zaistnieniu incydentu mającego znaczenie dla ochrony danych osobowych, obliguje go do dokonania rzeczowej analizy w celu stwierdzenia czy doszło do naruszenia ochrony danych osobowych, w rozumieniu art. 4 pkt 12 RODO. Według Grupy Roboczej Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.

Konsekwencją stwierdzenia naruszenia j’est konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta pozwoli stwierdzić, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić osoby, których dane dotyczą o naruszeniu).

Podczas oceny ryzyka naruszenia praw lub wolności osób fizycznych powstałego w wyniku wystąpienia naruszenia, kładzie się nacisk na inne kwestie, niż uwzględniane w ocenie skutków dla ochrony danych. W ocenie skutków dla ochrony danych bierze się pod uwagę zarówno ryzyko dla planowego przetwarzania danych, jak i ryzyko powstałe w przypadku wystąpienia naruszenia. Badając możliwe naruszenie, rozpatruje się w ujęciu ogólnym prawdopodobieństwo jego wystąpienia oraz szkody dla osób, których dane dotyczą, jakie mogą z niego wyniknąć. Innymi słowy, jest to ocena wydarzenia hipotetycznego. W przypadku faktycznego naruszenia zdarzenie już nastąpiło, więc nacisk kładzie się w całości na powstałe ryzyko, że naruszenie będzie skutkowało wpływem na osoby fizyczne.

Zgodnie z motywem 76 RODO, mówiąc o ocenie ryzyka naruszenia praw i wolności osób fizycznych konieczne jest uwzględnienie:

  • powagi  tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą oraz
  • prawdopodobieństwa  wystąpienia tego zdarzenia będącego skutkiem naruszenia.

Urzeczywistnienie się określonego zagrożenia może nie spowodować skutków dla praw lub wolności osób, których dane są przetwarzane, spowodować znikome skutki lub skutki katastrofalne. W skrajnych przypadkach, np. w systemach przetwarzania informacji medycznej, nieuprawniona modyfikacja danych lub niedostępność danych w wyniku złego ich zabezpieczenia może skutkować utratą zdrowia, a nawet życia. Dlatego oceniając ryzyko naruszenia praw i wolności osób, których dane dotyczą, osoby odpowiedzialne za przeprowadzenie tego procesu powinny przyjąć perspektywę osób, których dane są przetwarzane i właśnie z tej perspektywy oceniać stopień dotkliwości w przypadku zmaterializowania się zagrożenia.

Nie jest konieczne, aby ryzyko się zmaterializowało (by faktycznie doszło do naruszenia praw lub wolności). Administrator, który ocenił wielkość potencjalnej szkody, które naruszenie może spowodować, biorąc pod uwagę kontekst i okoliczności całego zdarzenia, powinien ocenić prawdopodobieństwo jego zaistnienia.

Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma ryzyka naruszenia praw lub wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu.

Należy jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Do każdej sytuacji należy jednak podchodzić z dużą rozwagą i ostrożnością. Zmiana choćby jednego z kluczowych elementów zdarzenia może bowiem doprowadzić do odmiennych wniosków, np. jeżeli w przypadku opisanym w przykładzie II po czasie okaże się, że naruszono bezpieczeństwo klucza lub, że oprogramowanie narażone jest na ataki, wówczas zmieni się ryzyko naruszenia praw i wolności osób, a w związku z tym może powstać obowiązek zgłoszenia naruszenia Prezesowi UODO. Podobna sytuacja może gdy w sytuacji zaistnienia naruszenia administrator nie będzie dysponował kopią zapasową danych osobowych. W takim przypadku będziemy mieli do czynienia z naruszeniem dostępności, stanowiącym ryzyko dla praw i wolności osób fizycznych i w związku z tym sytuacja ta będzie wymagała zgłoszenia naruszenia organowi nadzorczemu.

Uwaga

W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Ryzyko naruszenia praw lub wolności osób fizycznych powstaje, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.:

  • dyskryminacja,
  • kradzież tożsamości lub oszustwo dotyczące tożsamości,
  • nadużycia finansowe,
  • straty finansowe,
  • nieuprawnione cofnięcie pseudonimizacji,
  • utrata poufności danych osobowych chronionych tajemnicą zawodową,
  • naruszenie dobrego imienia,
  • lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Jeżeli naruszenie dotyczy danych osobowych ujawniających:

  • pochodzenie etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane dotyczące zdrowia,
  • dane dotyczące życia seksualnego,

należy uznać, że występuje duże prawdopodobieństwo takiej szkody. Niemniej jednak każde z takich zdarzeń należy rozpatrywać indywidualnie.

Praktyka organu nadzorczego

Według części administratorów zgłaszających naruszenia Prezesowi UODO, wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą nie występuje, np. w przypadku zagubienia bądź wręczenia niewłaściwej osobie dokumentacji zawierającej imię i nazwisko oraz nr PESEL. W większości takich sytuacji organ nadzorczy uznaje jednak, że tego typu naruszenie powoduje takie wysokie ryzyko. W takich przypadkach dane mogą być wykorzystane w sposób nieuprawniony np. w celu:

  • uzyskania przez osoby trzecie kredytów w instytucjach pozabankowych, na szkodę osoby, której dane dotyczą;
  • uzyskania dostępu do danych o stanie zdrowia osoby, której dane dotyczą w przypadku przełamania zabezpieczeń do systemu świadczeń opieki zdrowotnej lub korzystania ze świadczeń opieki zdrowotnej przysługujących tej osobie;
  • korzystania z praw obywatelskich osoby, której dane naruszono, np. wykorzystania danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
  • zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia;
  • zawarcia umów cywilno-prawnych, np. najmu nieruchomości;
  • posłużenia się fałszywymi danymi, np. przy otrzymywaniu mandatu.

Jak wskazuje Grupa Robocza Art. 29 w swoich wytycznych, to, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Nie budzi więc żadnych wątpliwości, że np. naruszenie poufności danych będące wynikiem kradzieży dokumentów wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. W każdym przypadku, rozpatrując zgłoszone naruszenie, organ nadzorczy przyjmuje perspektywę osób, których dane dotyczą i właśnie z tej perspektywy ocenia stopień dotkliwości w przypadku zmaterializowania się zagrożenia. W ocenie Prezesa UODO, sytuacja, w której wspomniana w przykładzie korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. Można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, że nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnych z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące.

Jednym z największych zagrożeń nieuprawnionego wykorzystywania numeru PESEL wraz z imieniem i nazwiskiem jest możliwość łatwego uzyskania dowodu kolekcjonerskiego. Dowód taki trudno na pierwszy rzut oka odróżnić od dowodu będącego autentycznym dokumentem tożsamości i umożliwia on szybkie wyrządzenie szkód i krzywd osobie, której dane dotyczą. Dowód kolekcjonerski może zostać wykorzystany np. do przejęcia karty SIM, co z kolei może poskutkować uzyskaniem dostępu do konta bankowego bądź innych usług powiązanych z numerem (poczta e-mail, serwisy społecznościowe – odzyskiwanie haseł do kont bardzo często opiera się na kodach/hasłach przesyłanych na numer telefonu komórkowego). Za pomocą dowodu kolekcjonerskiego można wyłudzić kredyt bądź sprzedać czyjąś nieruchomość.

Mając świadomość zagrożeń, jakie niesie ze sobą posługiwanie się numerem PESEL wraz z imieniem i nazwiskiem, oraz w związku z tym, że art. 87 RODO upoważnia państwa członkowskie do określenia szczególnych warunków przetwarzania krajowego numeru identyfikacyjnego, jakim w Polsce jest numer PESEL, Prezes UODO podejmuje działania mające na celu ograniczenie dostępu do nr PESEL np. osób pełniących funkcje w organach osób prawnych ujawnionych w rejestrach publicznych (KRS).

Podejście oparte na takiej ocenie należy więc odzwierciedlać w przyjmowanej przez administratora metodologii oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Jakie naruszenia należy wpisywać do wewnętrznej ewidencji?

Art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie „wszelkich naruszeń” oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. 4 pkt 12 RODO. W ewidencji powinny zatem znaleźć się zarówno naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na to,że mało prawdopodobne jest, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora.

Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art.24 RODO. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie tych obowiązków.

Grupa Robocza Art. 29 podkreśla również, że w przypadku podjęcia decyzji o niezgłoszeniu naruszenia, wskazane jest udokumentowanie takiego faktu w ewidencji wraz z podaniem przyczyny, dla której administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne.

Jeżeli chodzi o sposób prowadzenia ewidencji, Grupa Robocza Art. 29 podkreśla, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, jeżeli informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie.

Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.

Kiedy i w jakim celu trzeba zawiadamiać o naruszeniu osoby, których dane dotyczą?

Zgodnie z art. 34 pkt 1 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.

Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się, czyli faktycznie doszło do naruszenia praw lub wolności osoby fizycznej.

RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Oznacza to, że administrator powinien zrealizować ów obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO.

Jedynie w pewnych okolicznościach, gdy jest to uzasadnione, oraz zgodnie z zaleceniami organów ścigania administrator może opóźnić wysłanie zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ, do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom. Sytuacja taka jest wprost przewidziana w art. 45 ust. 6 ustawy z 14 grudnia o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Jaki jest cel zawiadomienia?

Poinformowanie na czas osób fizycznych o zaistniałym naruszeniu ma na celu umożliwienie im podjęcia niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia.

Zgodnie z zaleceniami Grupy Roboczej Art. 29 dotyczącymi zgłaszania naruszeń, administratorzy powinni wybierać metody pozwalające zapewnić jak najszybszą i jak największą szansę właściwego przekazania informacji o naruszeniu wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. W związku z powyższym administrator nie może zwlekać z zawiadomieniem osób, zwłaszcza kiedy żąda tego od niego organ nadzorczy.

Kiedy można zrezygnować z zawiadomienia?

W art. 34 ust. 3 RODO określono trzy sytuacje, w których nie ma konieczności zawiadomienia osób fizycznych w przypadku wystąpienia naruszenia.

1.Administrator zastosował przed wystąpieniem naruszenia odpowiednie techniczne i organizacyjne środki w celu ochrony danych osobowych, w szczególności środki uniemożliwiające odczyt danych osobom, które nie są uprawnione do dostępu do tych danych.

Przykład

Dane zabezpieczono za pomocą najnowocześniejszego szyfrowania lub tokenizacji.

2.Natychmiast po wystąpieniu naruszenia administrator podjął działania w celu wyeliminowania prawdopodobieństwa powstania wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej.

Przykład I

Administrator natychmiast zidentyfikował osobę fizyczną, która uzyskała dostęp do danych osobowych, i podjął wobec niej działania, zanim mogła ona w jakikolwiek sposób wykorzystać te dane. Mimo to należy odpowiednio uwzględnić możliwe skutki każdego naruszenia poufności, również w tym wypadku biorąc pod uwagę charakter przedmiotowych danych.

Przykład II

Administrator zorientował się, że przesyłka zawierająca dane osobowe została zaadresowana na niewłaściwy adres i skontaktował się operatorem pocztowym, który nie dopuścił do dostarczenia jej wskazanemu początkowo adresatowi.

3.Skontaktowanie się z danymi osobami fizycznymi wymagałoby niewspółmiernie dużego wysiłku.

Przykład

Dokumentacja administratora uległa zalaniu, a dokumenty zawierające dane osobowe przechowywano tylko w formie papierowej. W takim przypadku administrator musi wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby fizyczne zostaną poinformowane o naruszeniu w równie skuteczny sposób. Jeżeli wykonanie tego działania wymagałoby niewspółmiernie dużego wysiłku, można również uzgodnić, że informacje na temat naruszenia będą dostępne na żądanie, co może okazać się przydatne dla osób, na które naruszenie mogło wywrzeć wpływ, lecz z którymi administrator nie mógł się w inny sposób skontaktować.

Jakie informacje należy przekazać osobom, których dane dotyczą w związku z naruszeniem?

Zgodnie z art. 34 ust. 2 RODO, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator, bez zbędnej zwłoki, jasnym i prostym językiem zawiadamia osoby, których naruszenie dotyczy. Zawiadomienie takie powinno zawierać wymagane przez przepisy elementy, wskazane poniżej:

  1. charakter naruszenia ochrony danych osobowych,
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  3. opis możliwych konsekwencji naruszenia ochrony danych osobowych;
  4. opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym w stosownych przypadkach – środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie powinno być napisane przejrzystym, łatwo zrozumiałym językiem zgodnie z art. 12 ust. 1 RODO. Najlepiej zatem używać zwrotów bezpośrednich, np. „Podajemy informacje o krokach, które może Pani podjąć w związku z incydentem”; Następstwem naruszenia ochrony Pana danych osobowych może być: założenie na Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej)”

Najważniejsze, aby osoby, których dane dotyczą, zrozumiały charakter naruszenia i wiedziały, co muszą zrobić, aby się zabezpieczyć.Dlatego komunikat kierowany do osoby musi być jasny i zrozumiały oraz zawierać spójne i logiczne zalecenia dostosowane do konkretnej sytuacji. Taki, aby osoby, do których kierowane jest zawiadomienie, mogły zrozumieć, co się stało z ich danymi osobowymi, dlaczego oraz co to dla nich oznacza. Informacje, które tych cech nie posiadają, są wewnętrznie sprzeczne, nie spełniają tej funkcji, a tym samym nie pozwalają osobom na właściwe zastosowanie się do wskazówek administratora.

Administrator powinien mieć na względzie grupę odbiorców, do której zawiadomienie będzie skierowane i dostosować do niej jego treść. Tytułem przykładu: jeżeli określony podmiot posiada klientów w zbliżonym wieku i poziomie wykształcenia to język komunikatu powinien uwzględniać te okoliczności. Jeżeli natomiast adresaci są zróżnicowani lub administrator nie posiada wystarczających danych dla dokładniejszego określenia grupy odbiorców zawiadomienia, to w takim przypadku punktem odniesienia powinien być przeciętny adresat takiej wiadomości. Celem jest przekazanie odbiorcy komunikatu łatwego do zrozumienia. Ponadto komunikat nie powinien być nadmiernie rozbudowany, gdyż długa informacja z reguły utrudnia zrozumienie istoty przekazu.

By zapewnić przejrzystość zawiadomienia zalecane jest uwzględnienie oddzielenia opisu i charakteru naruszenia od możliwych konsekwencji, środków zaradczych czy danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.

 

Korzystanie z praw gwarantowanych przez RODO

Korzystanie z praw gwarantowanych przez RODO

Urząd Ochrony Danych Osobowych opracował 10 wskazówek, jak korzystać z praw gwarantowanych przez RODO.

Masz prawo wiedzieć, co będzie się działo z Twoimi danymi

Powinieneś wiedzieć, kto, na jakiej podstawie i po co przetwarza Twoje dane osobowe. Firma bądź instytucja, która nimi dysponuje, powinna Cię o tym poinformować. Ma też obowiązek wskazać, jakie prawa daje Ci RODO. A masz prawo m.in. do: dostępu do swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu czy do tego, by być poinformowanym o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu. Realizując obowiązek informacyjny, administrator musi też wskazać, jak długo będzie przechowywał Twoje dane, oraz podać dane kontaktowe inspektora ochrony danych (IOD), jeśli go wyznaczył.

Masz prawo w każdej chwili wycofać zgodę

Jeśli podstawą przetwarzania Twoich danych jest wyrażona przez Ciebie – świadomie i dobrowolnie – zgoda,masz prawo w dowolnym momencie ją wycofać i nie może to rodzić dla Ciebie żadnych negatywnych konsekwencji (np. podwyższenia opłaty za usługi). Pamiętaj, że cofnięcie zgody powinno być równie łatwe jak jej udzielenie.

Powinieneś być informowany w sposób dla Ciebie zrozumiały

Wszelkie przekazywane Ci informacje związane z przetwarzaniem Twoich danych powinny być sformułowane jasnym i prostym, zrozumiałym dla Ciebie językiem. Dotyczy to również komunikatów informacyjnych związanych z korzystaniem z usług internetowych czy aplikacji mobilnych. Jeśli ich nie rozumiesz lub nie są dla Ciebie wystarczająco zrozumiałe, zwracaj się do administratora o przekazanie dodatkowych wyjaśnień.

Nie zawsze masz z prawo do bycia zapomnianym

Wprawdzie RODO przyznało Ci prawo do bycia zapomnianym (usunięcia danych), ale pamiętaj, że nie jest ono bezwzględne. Możesz żądać jego realizacji np. wówczas, gdy: dane stały się zbędne do realizacji zakładanych celów, dane były przetwarzane niezgodnie z prawem albo wycofałeś swoją zgodę i nie ma innej przesłanki legalizującej ich wykorzystywanie. Pamiętaj jednak, że nie w każdej sytuacji masz prawo do bycia zapomnianym. Tak jest choćby wtedy, gdy dany podmiot (np. szkoła, gmina czy przychodnia) musi wykorzystywać Twoje dane, by zrealizować nałożony na niego obowiązek prawny.

Masz prawo do informacji o naruszeniu Twoich danych

Wyciek danych, ich zagubienie czy udostępnienie osobom niepowołanym – to się zdarza. I jeżeli rodzi to dla Ciebie poważne zagrożenie, to nie dziw się, że administrator Cię o tym informuje – taki ma obowiązek. Zastosuj się więc do jego wskazówek, dzięki którym możesz zminimalizować zagrożenie. Czasami np. zmiana hasła w systemie internetowym czy zastrzeżenie dokumentów pozwoli Ci zabezpieczyć swoje dane i uniknąć np. kradzieży tożsamości i związanych z tym konsekwencji, jak np. zaciągnięcie w Twoim imieniu pożyczki. W razie wątpliwości kontaktuj się z administratorem lub z wyznaczonym przez niego inspektorem ochrony danych osobowych, który ma Ci w takiej sytuacji pomóc.

Jeśli wniesiesz sprzeciw – marketing nie może być prowadzony

Jeżeli Twoje dane są wykorzystywane w celach marketingowych, a więc do przedstawiania Ci oferty towarów czy usług, w dowolnym momencie możesz się temu sprzeciwić. Jeżeli to zrobisz, Twoich danych nie wolno już wykorzystywać do takich celów.

Chroń dzieci przed nieuczciwymi praktykami

Jeśli jesteś rodzicem lub opiekunem prawnym osoby poniżej 16. roku życia, pamiętaj, że gdy korzysta ona z tzw. usług społeczeństwa informacyjnego (świadczonych drogą elektroniczną), a więc portali społecznościowych, aplikacji czy gier, to Ty decydujesz o udzieleniu zgody na przetwarzanie jej danych osobowych. To ważne, bo dzieci często są mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. RODO wskazuje, że należy im zapewnić szczególną ochronę, gdy ich dane są wykorzystywane do celów marketingowych czy tworzenia profili osobowych. Zwracaj uwagę, czy komunikaty kierowane do nich przez administratora są sformułowane językiem, który są one w stanie zrozumieć.

Realizacji swoich praw żądaj najpierw od administratora

Jeżeli uważasz, że ktoś nieprawidłowo postępuje z Twoimi danymi, to z nim (lub z wyznaczonym przez niego IOD) skontaktuj się w pierwszej kolejności i zażądaj wyjaśnień lub spełnienia Twojego żądania, np. sprostowania danych, odnotowania sprzeciwu, usunięcia danych.

Możesz dochodzić odszkodowania przed sądem

Pamiętaj! Jeśli podmiot, który dysponuje Twoimi danymi, wykorzystuje je niezgodnie z RODO, a Ty poniosłeś przez to szkodę majątkową lub niemajątkową, możesz dochodzić od niego odszkodowania, wszczynając postępowanie przed sądem. Masz do tego prawo niezależnie od tego, czy zamierzasz złożyć skargę do Prezesa UODO.

Masz prawo złożyć skargę do Prezesa UODO

Niezależnie od wskazanych wyżej praw, możesz też złożyć na administratora skargę do Prezesa Urzędu Ochrony Danych Osobowych. Pamiętaj, aby było to skuteczne, wskaż: Twoje imię i nazwisko, adres zamieszkania. Podaj też pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania, tego, kogo skarżysz oraz dokładnie opisz naruszenie. Określ, jakich działań oczekujesz od Prezesa UODO. Nie zapomnij też o podpisie! Szczegółowe informacje dotyczące składania skarg są dostępne na stronie internetowej urzędu www.uodo.gov.pl w zakładce „Skargi”.

Słownik RODO

Słownik RODO

„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określa­jących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

„Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

„Ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

„Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

„Pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

„Zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

„Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

„Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

„Strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.

„Zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

„Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

„Dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

„Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

„Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

„Główna jednostka organizacyjna” oznacza:

  • jeżeli chodzi o administratora posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organi­zacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje;
  • jeżeli chodzi o podmiot przetwarzający posiadający jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostkę organizacyjną podmiotu przetwarza­jącego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organiza­cyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia.

„Przedstawiciel” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z RODO.

„Przedsiębiorca” oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą.

„Grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.

„Wiążące reguły korporacyjne” oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarza­jącemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

„Organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO.

„Organ nadzorczy, którego sprawa dotyczy” oznacza organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:

  • administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkow­skiego tego organu nadzorczego;
  • przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub
  • wniesiono do niego skargę.

„Transgraniczne przetwarzanie” oznacza:

  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiada­jącego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organi­zacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.

„Mający znaczenie dla sprawy i uzasadniony sprzeciw” oznacza sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z niniejszym rozporządzeniem, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma to zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii.

„Usługa społeczeństwa informacyjnego” oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535.

„Organizacja międzynarodowa” oznacza organizację i organy jej podlegające działające na podstawie prawa między­narodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.

 

Zasady RODO

Zasady RODO

Legalność –  dane osobowe muszą być przetwarzane zgodnie z prawem. Dla każdego rodzaju danych i każdego celu przetwarzania administrator danych musi zatem wykazać, że owo przetwarzanie spełnia przynajmniej jeden warunek:

  • jest niezbędne do zawarcia lub wykonania umowy, której stroną jest osoba, której dane dotyczą;
  • osoba, której dane dotyczą, wyraziła na to (jednoznaczną i dobrowolną) zgodę;
  • jest niezbędne do wypełnienia obowiązku wynikającego z prawa UE lub państwa członkowskiego (które jest niezbędnym i proporcjonalnym środkiem, zapewniającym realizację ważnych celów leżących w interesie publicznym);
  • jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
  • ma podstawę w prawnie uzasadnionym interesie administratora lub strony trzeciej, chyba że nad tym interesem przeważają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (jest to oceniane w kontekście rozsądnych oczekiwań osób, których dane dotyczą, i ich powiązań z administratorem).

Ograniczenie celem – dane osobowe mogą być przetwarzane tylko w konkretnym, wyraźnie określonym i zgodnym z prawem celu. Administrator musi ten cel określić, zanim pozyska dane, i nie może go jednostronnie modyfikować. Raz pozyskanych danych nie można przetwarzać w celach niezgodnych z pierwotnie określonym (np. danych zebranych w celu realizacji umowy wykorzystać do marketingu).

Adekwatność, niezbędność i minimalizacja – dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są przetwarzane. To kryterium przekłada się na rodzaj i zakres danych. Nie można zatem zbierać danych osobowych, które nie mają związku z celem przetwarzania (np. dane na temat zdrowia w kontekście usług finansowych), są bezużyteczne dla jego realizacji albo nadmiarowe. Mówiąc najprościej wolno zbierać tylko to, co jest rzeczywiście niezbędne.

Prawidłowość – przetwarzane dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Administrator powinien niezwłocznie usunąć albo sprostować dane, które okazały się nieprawidłowe w świetle celów ich przetwarzania. W praktyce ta zasada oznacza, że nie warto zbierać danych, które szybko się starzeją lub pochodzą z niepewnych źródeł, ponieważ mogą się okazać dla organizacji większym ciężarem niż korzyścią.

Maksymalny czas przetwarzania – dane osobowe można przetwarzać nie dłużej, niż to niezbędne do celów, w których te dane są przetwarzane. W szczególności chodzi tu o dane umożliwiające identyfikację osoby, której dotyczą. Na przykład granicą przechowywania archiwalnych danych o transakcjach z klientami powinien być moment przedawnienia roszczeń lub wygaśnięcia obowiązków prawnych. Granicą dla przetwarzania aktualnych danych o zakupach klientów w celach marketingowych (uzasadniony interes administratora) jest moment, w którym te dane tracą aktualność  lub cel marketingowy zostaje zrealizowany.

Poufność i integralność – dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo o poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu  oraz przed nieuprawnionym ich wykorzystaniem. W praktyce ta zasada oznacza nie tylko konieczność zabezpieczenia systemów informatycznych, ale też wprowadzenia procedur, które ograniczą ryzyko związane z tzw. czynnikiem ludzkim.

     

error: Zawartość jest chroniona!!!