Do czasu obowiązywania przepisów RODO, przedsiębiorcy oraz podmioty publiczne nie były zobligowane do dokonywania zgłoszeń naruszeń ochrony danych osobowych. Wyjątek stanowili operatorzy telekomunikacyjni, przed którymi w 2012 roku na mocy Prawa Telekomunikacyjnego postawiono obowiązek zgłaszania wszystkich naruszeń ochrony danych.
RODO wprowadziło nowy obowiązek, którego realizacja przysparzać może wiele trudności polskim organizacjom. Mamy nadzieję, że informacje zawarte w poniższym artykule okażą się pomocne przy jego realizacji.
Artykuł dostarcza odpowiedzi na następujące pytania:
- Czy zawsze należy zgłaszać naruszenie do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych?
- W jaki sposób dokonuje się zgłoszenia naruszenia ochrony danych osobowych?
- Jakie dokumenty należy wypełnić, aby dokonać zgłoszenia naruszenia ochrony danych osobowych?
- Co robić w przypadku, gdy naruszenie dotyczy danych osób pochodzących z różnych krajów europejskich lub dotyczy przetwarzania danych w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie UE?
- Jakie są rodzaje zgłoszeń naruszeń ochrony danych osobowych?
- Kto może dokonać zgłoszenia naruszenia ochrony danych osobowych?
- W jaki sposób można wyznaczyć pełnomocnika w sprawach administracyjnych?
- Ile wynosi koszt uzyskania pełnomocnictwa oraz na jaki rachunek bankowy należy dokonać płatności?
- W jakim terminie należy zrealizować obowiązek zgłoszenia i jakie są konsekwencje przekroczenia tego terminu?
Czy zawsze należy zgłaszać naruszenie do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych?
W przeciwieństwie do Prawa Telekomunikacyjnego, RODO wskazuje wyjątek od realizacji obowiązku zgłoszenia naruszenia ochrony danych osobowych (art. 33 ust. 1 RODO). Podstawą zaniechania poinformowania organu nadzorczego tj. Prezesa Ochrony Danych Osobowych będzie sytuacja, w której niepożądane zdarzenie oraz jego możliwe konsekwencje nie będą stanowiły ryzyka dla osób, do których dane należą.
Oceniając ryzyko należy sprawdzić z jakim prawdopodobieństwem potencjalne zagrożenia mogą negatywnie wpłynąć na swobody osób fizycznych (takie jak np. prawo do życia, prawo do prywatności, zakaz dyskryminacji, ochrona własności prywatnej).
Jeżeli wyniki analizy będą wskazywały na małe prawdopodobieństwo wystąpienia ryzyka dla praw i wolności osób, których dane dotyczą to zasadnym będzie powołanie się na wyłączenie obowiązku zgłoszenia naruszenia do organu nadzorczego. UWAGA! Organizacja musi być w stanie wykazać, słuszność przeprowadzonej oceny.
Warto pamiętać, iż w przypadku wyników wskazujących na występowanie wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, należy zawiadomić o naruszeniu również te osoby. W przypadku dużej liczby osób, gdy poinformowanie wymagałoby niewspółmiernego wysiłku, dopuszczalne jest powiadomienie za pośrednictwem ogólnodostępnego komunikatu – np. komunikat w mediach.
W jaki sposób dokonuje się zgłoszenia naruszenia ochrony danych osobowych?
Organizacja może dokonać zgłoszenia na cztery sposoby:
- Elektronicznie za pośrednictwem wypełnionego online formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl (https://www.biznes.gov.pl/pl/e-uslugi/00_0889_00).
- Elektronicznie poprzez wysłanie uzupełnionego formularza (Pobierz formularz: Zgłoszenie naruszenia ochrony danych osobowych) na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP (https://epuap.gov.pl/wps/portal).
- Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl (https://www.biznes.gov.pl/pl/e-uslugi/00_0000_00).
- Pocztą tradycyjną wysyłając wypełniony formularz na adres Urzędu (ul. Stawki 2, 00-193 Warszawa).
Jakie dokumenty należy wypełnić, aby dokonać zgłoszenia naruszenia ochrony danych osobowych?
Zgłoszenie będzie realizowane za pośrednictwem tylko jednego dokumentu: formularza zgłoszenia, jeżeli będzie realizowane bezpośrednio przez Administratora.
W przypadku dokonywania zgłoszenia przez pełnomocnika Administratora, oprócz wyżej wymienionego formularza należy również pamiętać o dołączeniu „Pełnomocnictwa w sprawach administracyjnych” oraz „Dowodu dokonania opłaty skarbowej za pełnomocnictwo”.
Co robić w przypadku, gdy naruszenie dotyczy danych osób pochodzących z różnych krajów europejskich lub dotyczy przetwarzania danych w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie UE?
W przypadku, gdy naruszenie ochrony danych dotyczy tzw. transgranicznego przetwarzania danych osobowych, należy ocenić, do jakiego organu nadzorczego należy dokonać zgłoszenia (Prezes UODO może, ale nie musi być właściwym organem nadzorczym).
Pomocnym przy dokonywaniu analizy, który organ nadzorczy będzie wiodącym organem w odniesieniu do czynności przetwarzania będą wytyczne grupy roboczej art. 29.
Jakie są rodzaje zgłoszeń naruszeń ochrony danych osobowych?
W zależności od sytuacji, w jakiej organizacja dokonuje zgłoszenia o wystąpieniu naruszenia ochrony danych osobowych, można wymienić następujące rodzaje zgłoszeń:
- kompletne / jednorazowe – kiedy organizacja jest w posiadaniu kompletnego obrazu naruszenia oraz wszystkich niezbędnych informacji z nim związanych;
- wstępne – w sytuacji, gdy organizacja nie posiada jeszcze wszystkich danych związanych z naruszeniem, a wymagany termin 72 godzin na dokonanie zgłoszenia jest bliski przekroczenia;
- uzupełniające / zmieniające – jeżeli po wysłaniu zgłoszenia wstępnego, organizacja skompletowała brakujące informacje i zamierza je wysłać do urzędu lub w sytuacji, gdy informacje udzielone we wcześniej wysłanym zgłoszeniu okazały się błędne i organizacja zamierza je zaktualizować.
Kto może dokonać zgłoszenia naruszenia ochrony danych osobowych?
Zawiadomienia o powstałym naruszeniu ochrony danych osobowych może dokonać:
- Administrator tj. przedsiębiorca lub jednostka publiczna przetwarzająca dane, a konkretnie osoba / osoby uprawnione do jej reprezentacji
- lub wyznaczony przez Administratora pełnomocnik.
Dokument zgłoszenia (lub pełnomocnictwo) musi być podpisany (elektronicznie lub odręcznie na dokumencie papierowym) zgodnie z reprezentacją osoby prawnej.
W przypadku zgłoszenia elektronicznego osoba / osoby zgłaszające muszą dysponować podpisem kwalifikowanym bądź Profilem Zaufanym. Dokument powinien być kolejno podpisany przez reprezentantów.
W jaki sposób można wyznaczyć pełnomocnika w sprawach administracyjnych?
Pełnomocnictwo można złożyć w UODO osobiście lub przez swojego pełnomocnika składając wypełniony formularz.
Możliwe jest również sporządzenie pełnomocnictwa w formie elektronicznej – jednakże, należy pamiętać, iż taki dokument musi być podpisany podpisem kwalifikowanym bądź Profilem Zaufanym. Zgłoszenia elektronicznego można dokonać tutaj (https://www.biznes.gov.pl/pl/firma/sprawy-urzedowe/chce-zalatwic-sprawe-w-urzedzie/proc_848-pelnomocnik-administracyjny).
Ile wynosi koszt uzyskania pełnomocnictwa oraz na jaki rachunek bankowy należy dokonać płatności?
Koszt jaki poniesie Administrator wyznaczając pełnomocnika wynosi 17 zł. Płatności należy dokonać na konto Urzędu Dzielnicy Śródmieście m. st. Warszawy.
Osoby z grona rodziny (mąż, żona, rodzice, dzieci, rodzeństwo) są zwolnione z opłaty skarbowej za pełnomocnictwo.
Numery rachunków bankowych znaleźć można w wykazie rachunków bankowych Urzędu m. st. Warszawy dla poszczególnych dzielnic (http://www.um.warszawa.pl/zalatw-sprawe-w-urzedzie/artykuly-sprawy-urzedowe/wykaz-rachunkow-bankowych-urzedu-m-st-warszawy-dla).
W jakim terminie należy zrealizować obowiązek zgłoszenia i jakie są konsekwencje przekroczenia tego terminu?
Organizacje mają obowiązek dokonania zgłoszenia ochrony danych osobowych w ciągu 72 godzin. Jeżeli termin ten może zostać lub został przekroczony (np. z powodu nieskompletowania wszystkich informacji niezbędnych do przesłania pełnego zgłoszenia) organizacja może dokonać zgłoszenia po terminie lub w częściach. Jednakże należy pamiętać o wyjaśnieniu przyczyny wystąpienia opóźnień.