Podstawowym obowiązkiem administratora ochrony danych osobowych, a więc każdego przedsiębiorcy, jest zgodne z prawem przetwarzanie danych osobowych. W pojęciu tym mieści się prawidłowe przechowywanie danych osobowych oraz zabezpieczenie ich przed dostępem osób nieuprawnionych. RODO określa też obowiązki w przypadku naruszenia ochrony danych osobowych, dlatego procedury dotyczące ochrony danych osobowych powinny obejmować także takie zgłoszenie.
Administrator danych osobowych, jako podmiot odpowiedzialny za ich prawidłowe przetwarzanie, powinien zastosować odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. W tym celu należy dokonać inwentaryzacji posiadanych danych osobowych, ich należytego zabezpieczenia, audytu stosowanych procedur, a następnie, po przeprowadzeniu analizy ryzyka, zastosować dodatkowe zabezpieczenia tam, gdzie ochrona nie jest należyta. Jednak nawet w przypadku prawidłowej realizacji tych obowiązków może dojść do naruszenia ochrony danych osobowych np. poprzez kradzież laptopa zawierającego dane osobowe klientów.
W przypadku naruszenia ochrony danych osobowych obowiązkiem administratora jest powiadomienie o naruszeniu organu nadzorczego, jakim w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Powiadomienie powinno nastąpić bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Wyjątkiem jest sytuacja, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zatem obowiązek zgłoszenia naruszenia nie będzie zachodził np. w sytuacji, gdy dane zgromadzone na skradzionym laptopie nie stanowiły danych osobowych, lecz np. jedynie dane innych przedsiębiorców lub jeżeli na skutek zastosowanych zabezpieczeń dane były zabezpieczone w sposób uniemożliwiający dostęp do nich. Przy czym ocena w tym zakresie należy do administratora. Jeżeli natomiast zgłoszenie zostało dokonane po upływie 72 godzin, konieczne jest wyjaśnienie przyczyn opóźnienia. Artykuł 33 ust. 3 RODO reguluje niezbędne cechy zgłoszenia, nie określa jednak jego urzędowego wzoru. Wzór taki został udostępniony na stronie internetowej Urzędu Ochrony Danych Osobowych i powinien być przesłany do UODO w formie elektronicznej.
W tabeli zamieszczono przykładowy sposób wypełnienia najbardziej istotnych elementów formularza zgłoszenia naruszenia ochrony danych osobowych dla naruszenia w postaci kradzieży laptopa firmowego, w którym znajdują się dane osobowe zawarte na fakturach.
Treść zgłoszenia naruszenia ochrony danych
| Data stwierdzenia naruszenia | 12.08.2018 r. |
| Sposób stwierdzenia naruszenia | Powiadomienie przez pracownika o włamaniu do jego domu, w którym znajdował się laptop. |
| Komentarz do czasu naruszenia | Przez czas weekendu, pracownik od 10.08.2018 r. przebywał poza domem, a o włamaniu dowiedział się dopiero po powrocie wieczorem w dniu 12.08.2018 r. |
| Charakter naruszenia | Naruszenie poufności danych. |
| Na czym polegało naruszenie? | Nieuprawnione przejęcie urządzenia (laptopa), w którym znajdują się dane osobowe. |
| Przyczyna naruszenia | Kradzież z włamaniem do domu pracownika, w którym znajdował się laptop służbowy. |
| Kategorie danych osobowych | Dane osobowe zawarte na fakturach wystawianych zarówno na rzecz osób fizycznych, jak i przedsiębiorców: imię nazwisko, adres, NIP, REGON, adres e-mail. |
| Rodzaj danych osobowych | Dane identyfikacyjne, dane kontaktowe. |
| Środki bezpieczeństwa zastosowane przed naruszeniem | Zabezpieczenie dostępu do laptopa hasłem. Zabezpieczenie dostępu do programu fakturującego hasłem. Szyfrowanie plików znajdujących się na dysku. |
| Możliwe konsekwencje | Zapoznanie się z danymi osobowymi przez osoby postronne. |
| Czy osoby, których dane dotyczą, zostały powiadomione o naruszeniu? | TAK |
| Środki w celu zaradzenia naruszeniu ochrony danych osobowych | Poinformowanie osób, których dane dotyczą. Blokada dostępu do poczty elektronicznej oraz blokada dostępu do programów, do których dostęp posiadał użytkownik skradzionego laptopa. |
autor: Łukasz Wilmiński
Gazeta Podatkowa nr 65 (1522) z dnia 2018-08-13
Przychody ze sprzedaży i zrównane z nimi koszty – zasady ewidencji. Wszystko na ten temat w poradniku na GOFIN.pl
