Kategoria: RODO

Informacje na temat RODO

Opublikowane w

NARUSZENIE, KIEDY KONIECZNE POWIADOMIENIE. WAŻNY WYROK NSA

Jak podaje UODO „Naczelny Sąd Administracyjny potwierdził zarzuty Prezesa UODO do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie związanego z karą w wysokości 159 176 zł, jaką Prezes UODO nałożył na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej. Sprawa trafi więc ponownie do rozpatrzenia przez WSA. Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową, zawierającą dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe do niewłaściwej osoby.”

Młotek sąd

Rys.1 Grafika „uodo kara wyrok” Źródło: Designed by Freepik

NSA wskazał, jak należy interpretować obowiązek notyfikacji naruszenia wskazany w RODO (art. 34 ust. 1 w związku z art. 33 ust. 1):

  • Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f RODO. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego.
  • Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych.
  • Żeby nie trzeba było zgłaszać naruszenia do PUODO, musimy mówić o małym prawdopodobieństwie, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności.
  • Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia.

Definicje i dobre praktyki.

Naruszenie ochrony danych osobowych to sytuacja, w której dochodzi do przypadkowego lub bezprawnego :

  • zniszczenia, utraty, zmodyfikowania albo ujawnienia danych osobowych;
  • albo dostępu do danych osobowych przez osobę nieuprawnioną.

Definicję znajdziesz w Rozporządzenie (UE) 2016/679 – RODO (art. 4 pkt 12).

Podejmij działania bez zbędniej zwłoki.

Gdy nastąpi naruszenie, może to oznaczać ryzyko dla praw lub wolności osób, których dane dotyczą – np. kradzież tożsamości, utrata poufności, szkoda finansowa lub naruszenie dobrego imienia.
Reagując szybko:

  • ograniczasz szkody dla tych osób;
  • realizujesz obowiązki prawne jako administrator danych;
  • pokazujesz, że administrujesz danymi odpowiedzialnie – co w administracji ma duże znaczenie wizerunkowe.

Jeśli zwlekasz, narażasz jednostkę na karę lub utratę zaufania.

 

Kiedy musisz zgłosić naruszenie do organu nadzorczego

Jeśli jako administrator danych stwierdzisz naruszenie, to:

  • musisz podjąć analizę okoliczności zdarzenia – co się stało, jakie dane, ile osób, jakie mogą być skutki;
  • jeśli z tej analizy wynika, że naruszenie „może skutkować ryzykiem dla praw lub wolności osób fizycznych”, to musisz zgłosić je do Urząd Ochrony Danych Osobowych (UODO) „bez zbędnej zwłoki” – w praktyce nie dłużej niż 72 godziny od momentu stwierdzenia naruszenia.
  • jeśli uznasz, że po tej analizie ryzyko jest mało prawdopodobne, to zgłoszenie do UODO nie jest obowiązkowe, ale musisz wpisać zdarzenie do wewnętrznego rejestru naruszeń.

Przykład: W Twojej jednostce doszło do wycieku danych zdrowotnych pracownika (np. wrażliwe dane – „dane dotyczące zdrowia”). Taki typ danych sam w sobie wskazuje na wysokie ryzyko, więc musisz zgłosić naruszenie do UODO.

Inny przykład: Utrata dysku służbowego zawierającego dane pracowników, ale dane były w pełni zaszyfrowane i nie było możliwości odszyfrowania – po analizie stwierdziłeś, że ryzyko jest bardzo niskie. W takim przypadku zgłoszenia do UODO możesz nie dokonać, ale wpisujesz incydent do rejestru.

Co musi zawierać zgłoszenie do UODO

W zgłoszeniu musisz podać:

  • charakter naruszenia – co się stało; jeśli możliwe, kategorie danych, przybliżoną liczbę osób, których dane dotyczą;
  • dane kontaktowe – np. imię i nazwisko IOD-a lub innego punktu kontaktowego;
  • przewidywane skutki naruszenia dla osób;
  • opis działań podjętych lub planowanych przez Ciebie – co zrobiłeś, żeby zminimalizować szkody.

Jeśli nie masz wszystkich informacji w momencie zgłoszenia – możesz przesłać zgłoszenie wstępne, a resztę uzupełnić później, ale w terminie 72 godzin.

Praktyczna wskazówka: Zadbaj, by Twoje procedury incydentu przewidywały szybkie zebranie tych danych – kto zgłosił, kiedy, jakie dane dotknięte, jakie osoby mogły mieć dostęp, jakie środki ochrony były zastosowane.

Kiedy trzeba zawiadomić osoby, których dane dotyczą

Osoby (np. uczniowie, pracownicy, klienci), których dane zostały naruszone, muszą być zawiadomione wtedy, gdy naruszenie „może powodować wysokie ryzyko dla praw lub wolności tych osób”.
Zawiadomienie powinno być napisane prostym językiem. W treści wskaż:

  • co się stało;
  • jakie dane zostały naruszone;
  • jakie mogą być skutki;
  • co robisz, by ograniczyć szkody;
  • dane kontaktowe, gdzie można uzyskać więcej informacji.
    Jeśli natomiast dane zostały np. zaszyfrowane i ryzyko jest bardzo małe – zawiadomienie osób może nie być wymagane.

Przykład: W Twojej organizacji e-mailem wysłano listę z nr PESEL i adresami domowymi 50 pracowników do nieuprawnionej osoby. To jest wysokie ryzyko – należy zawiadomić te osoby.

Przykładowa procedura obsługi incydentu.

  1. Natychmiast po wykryciu incydentu:
    • zbierz początkowe informacje: co się stało, kiedy, jakie dane, ile osób;
    • odizoluj źródło naruszenia (np. wyłącz dostęp, zmień hasła, zabezpiecz system).
  1. Przeprowadź analizę ryzyka:
  • jakie dane naruszono (np. wrażliwe dane, dane zwykłe);
  • jaka jest liczba osób poszkodowanych;
  • czy dane są zaszyfrowane lub w jaki sposób zabezpieczone;
  • czy możliwe są konsekwencje (kradzież tożsamości, szkoda finansowa, naruszenie dobrego imienia).
  1. W ciągu maksymalnie 72 godzin od stwierdzenia naruszenia (jeśli ryzyko nie zostało wykluczone):
  • złóż zgłoszenie do UODO za pomocą formularza elektronicznego.
  • jeśli potrzebujesz więcej czasu na szczegółowe dane, wyślij zgłoszenie wstępne.
  1. Zdecyduj i jeśli trzeba – zawiadom osoby, których dane dotyczą:
  • ułóż prostą wiadomość (lub listę) z wyjaśnieniem;
  • podaj informacje kontaktowe;
  • doradź, co te osoby mogą zrobić same (np. zmiana hasła, czujność na podejrzane e-mail).
  1. Prowadź rejestr naruszeń: wpisz każdy przypadek – nawet jeśli nie musiałeś zgłaszać. Rejestr powinien zawierać okoliczności zdarzenia, ocenę ryzyka i podjęte działania.
  2. Zrewiduj procedury: po incydencie zweryfikuj, czy Twoje mechanizmy ochrony były wystarczające. Upewnij się, że masz plan wykrywania naruszeń i reagowania na nie.

Typowe błędy, które widuję i które Ty możesz uniknąć

  • Brak lub opóźnione zgłoszenie do UODO – termin 72 godzin jest kluczowy.
  • Ocena „ryzyko = niski” bez uzasadnienia – jeżeli nie udokumentujesz decyzji, organ może uznać to za naruszenie przepisów.
  • Zawiadomienie osób w sposób niewłaściwy – użycie trudnego języka, pominięcie informacji o tym, co mogą zrobić sami.
  • Brak odizolowania incydentu – przysłowiowe „zasypanie sprawy” bez działań naprawczych.
  • Nieprowadzenie rejestru naruszeń – co utrudnia wykazanie, że działasz zgodnie z zasadą rozliczalności.

Zastanów się teraz – czy Twoja jednostka ma procedurę zgłaszania naruszeń? Czy masz wzór rejestru incydentów? Czy każda osoba odpowiedzialna wie, co robić, gdy wykryje wyciek danych? Jeżeli nie – koniecznie to uzupełnij. Jeśli już masz – sprawdź, czy uwzględnia wszystkie powyższe kroki i wskazówki.

 

Źródła:

Opublikowane w

Polityka prywatności i plików cookies

Flaga UE

Polityka Prywatności

  1. Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (RODO), informujemy, iż Administratorem Pani/Pana danych osobowych jest COMWIT WITOLD BZDĘGA z siedzibą w miejscowości Lechlin pod numerem 3, kontakt z Administratorem możliwy jest za pośrednictwem adresu e-mail: comwit/{at}/comwit.pl oraz numeru telefonu +48606648004.
  2. W sprawie przetwarzania danych osobowych prosimy o kontakt pod dane kontaktowe podane w punkcie 1.
  3. Pani/Pana dane osobowe przetwarzane będą w zakresie podanym przez Panią/Pana za pośrednictwem formularzy zgłoszeniowych i innych form kontaktu z COMWIT WITOLD BZDĘGA, w celu:
    • realizacji usług świadczonych drogą elektroniczną na podstawie art. 6 ust. 1 lit. b RODO;
    • dochodzenia możliwych roszczeń wobec Usługobiorcy na podstawie art. 6 ust. 1 lit. f RODO;
    • oraz, w razie wyrażenia dodatkowych zgód – na podstawie art. 6 ust. 1 lit. a RODO – w zakresie i w celach wskazanych w treści tych zgód.
  4. Pani/Pana dane osobowe mogą być ujawnione:
    • podmiotom publicznym uprawnionym na podstawie odrębnych przepisów, na potrzeby prowadzonych przez nie postępowań,
    • innym zewnętrznym podmiotom wspierającym COMWIT WITOLD BZDĘGA w zakresie usług informatycznych, księgowych lub współpracujących z COMWIT WITOLD BZDĘGA w ramach kampanii marketingowych, przy czym takie podmioty będą przetwarzać dane na podstawie umowy z COMWIT WITOLD BZDĘGA i wyłącznie zgodnie z jego poleceniami.
  5. Pani/Pana dane osobowe nie będą przekazywane do państw trzecich lub organizacji międzynarodowych.
  6. Pani/Pana dane osobowe będą przetwarzane do czasu wykonania umowy, a także po jej zakończeniu w celach związanych z:
    • dochodzeniem roszczeń w związku z wykonywaniem umowy (tj. co o zasady maksymalnie przez okres 6 lat od dnia zakończenia wykonania umowy),
    • wykonaniem obowiązków wynikających z przepisów prawa, w tym w szczególności podatkowych i rachunkowych (tj. 5 lat),
    • dane dla celów marketingowych: – w przypadku przetwarzania danych na podstawie zgody – do czasu trwania akcji marketingowych bądź do momentu wycofania zgody; – w przypadku przetwarzania danych na podstawie prawnie uzasadnionego celu COMWIT WITOLD BZDĘGA – do czasu trwania akcji marketingowych bądź do momentu wniesienia sprzeciwu;
    • w przypadku wyrażenia przez Panią/Pana zgody na przetwarzanie danych osobowych w innych celach, Pani/Pana dane osobowe będą przetwarzane do momentu wycofania przedmiotowej zgody.
  7. Przysługuje Pani/Panu prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, a w razie wyrażenia dodatkowej zgody, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
  8. Jeśli uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO, przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
  9. Podanie przez Panią/Pana danych osobowych jest warunkiem korzystania z usług świadczonych drogą elektroniczną przez COMWIT WITOLD BZDĘGA. W razie niepodania danych osobowych, COMWIT nie będzie w stanie świadczyć wskazanych usług.
  10. Pani/Pana dane nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pani/Pana skutki prawne lub w podobny sposób istotnie na Panią/Pana wpływa.
  11. Zgodnie z art. 21 ust. 4 RODO informuję, iż przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania dotyczących Pani/Panu danych osobowych. Sprzeciw należy złożyć za pośrednictwem danych kontaktowych wskazanych w pkt 2. Zgodnie z art. 21 ust. 1 RODO, składając sprzeciw, należy wskazać jego przyczyny związane z Pani/Pana szczególną sytuacją.

Polityka Cookies

  1. Wykonując obowiązki nałożone przez ustawę z dnia 16 lipca 2004 r. Prawo telekomunikacyjne poniżej wskazuje się sposób przechowywania informacji lub uzyskiwania dostępu do informacji już przechowywanej w urządzeniu końcowym Użytkownika. Poprzez informacje zawarte w niniejszym dokumencie Użytkownik zostaje poinformowany o:
    • celu przechowywania i uzyskiwania dostępu do tej informacji,
    • możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
  2. Serwis prowadzony przez Administratora wykorzystuje pliki Cookies. Przez „pliki Cookies” należy rozumieć porcje informacji zapisane w formie tekstu, wysyłane przez serwer na którym znajduje się Serwis i zapisywane w pamięci urządzenia końcowego Użytkownika.
  3. Informacje zgromadzone na podstawie plików Cookies wykorzystywane są przez Administratora w celu dostarczenia usługi świadczonej drogą elektroniczną, a także w celach statystycznych i marketingowych. Informacje te nie zawierają danych osobowych ani informacji poufnych.
  4. Użytkownik w każdej chwili może przejrzeć i usunąć pliki Cookies zapisane na swoim urządzeniu końcowym w sposób wskazany przez producenta swojej przeglądarki internetowej.
  5. Użytkownik w każdej chwili może wyłączyć obsługę przyjmowania plików Cookies w sposób wskazany przez producenta swojej przeglądarki internetowej, jednak może to uniemożliwić świadczenie usług drogą elektroniczną przez Administratora.
  6. Umiejscowienie cookies:

Różne

Cel w toku sprawdzania

Consent to service różne

  1. Administrator informuje, że przechowuje zapytania HTTP kierowane serwera obsługującego Serwis w celu analizy i optymalizacji pracy tego serwera oraz Serwisu. Odwiedzane zasoby są identyfikowane poprzez adresy URL, a informacje przechowywane w plikach logów serwera są następujące:
    • publiczny adres IP komputera z którego nadeszło zapytanie w tym może to być bezpośrednio komputer użytkownika;
    • nazwę stacji klienta;
    • identyfikacja realizowana przez protokół http o ile jest możliwa;
    • czas nadejścia zapytania;
    • kod żądania http;
    • kod odpowiedzi http;
    • adres URL strony poprzednio odwiedzanej przez użytkownika (tzw referer link);
    • w przypadku gdy przejście do strony Serwisu nastąpiło przez odnośnik;
    • informacje o przeglądarce użytkownika;
    • informacje o błędach jakie nastąpiły przy realizacji transakcji HTTP.
  2. Dane przechowywane w plikach logów serwera są anonimowe i nie są kojarzone z konkretnymi osobami odwiedzającymi Serwis.