Jak postępować w przypadku naruszenia RODO?

Dane osobowe to bardzo ważne zasoby, które podlegają ścisłej ochronie. Na przestrzeni ostatnich lat skala zbierania i przetwarzania danych osobowych znacząco wzrosła. Z pewnością duży wpływ miał na to rozwój nowoczesnych technologii oraz stale zwiększająca się popularność handlu i marketingu internetowego. W związku z tym pozyskiwanie i udostępnianie danych osobowych stało się obecnie bardzo łatwe, co wiąże się z koniecznością ich lepszej ochrony. 

RODO a dane osobowe

General Data Protection Regulation (GDPR), czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) to zbiór przepisów, które zostały przyjęte w kwietniu 2016 r. przez Parlament Europejski i Radę Unii Europejskiej i od 24 maja 2016 r. zastępuje polską ustawę o ochronie danych osobowych. Regulacja ta miała za zadanie ujednolicić przepisy obowiązujące na terenie całej Unii Europejskiej, w szczególności w odniesieniu do przedsiębiorców

Przepisy zawarte w RODO dotyczą kwestii związanych z ochroną danych osobowych osób fizycznych w związku z ich przetwarzaniem. RODO nie określa jednoznacznie, kogo dotyczą zawarte w tym rozporządzeniu przepisy, ale z pewnością można uznać, że obowiązek stosowania się do tych regulacji mają wszystkie firmy, które gromadzą, a później wykorzystują do różnych celów dane osobowe osób fizycznych. 

Co może być uznawane za naruszenie ochrony danych osobowych RODO?

W celu określenia tego, co może być uznawane za naruszenie ochrony danych osobowych, trzeba najpierw określić, czym są te dane. Dane osobowe to różnego rodzaju informacje o osobie fizycznej, które pozwalają na określenie jej tożsamości. Z pewnością jest to imię, nazwisko, numer PESEL, dane o lokalizacji, identyfikator internetowy i inne dane, które w prosty sposób pozwalają zidentyfikować daną osobę. RODO określa także kategorię danych wrażliwych, do których należą m.in. informacje o stanie zdrowia, o poglądach politycznych, orientacji seksualnej itp.

Według RODO naruszeniem ochrony danych osobowych jest „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. W praktyce oznacza to, że do naruszenia dochodzi zarówno w przypadku, gdy jest to świadome działanie, jak i wtedy gdy doprowadzi do tego niezamierzone działanie.  

Z jakimi karami wiąże się naruszenie ochrony danych osobowych?

Każda firma, która przetwarza dane osobowe swoich klientów, pracowników czy innych osób, musi stosować się do przepisów zawartych w RODO, w przypadku naruszenia ochrony danych osobowych musi za to odpowiadać. Karą za nieprzestrzeganie przepisów zawartych w RODO, jest kara finansowa w wysokości:

  • 10 mln euro lub 2% rocznego światowego obrotu firmy osiągniętego w poprzednim roku, w przypadku naruszeń w zakresie zasad ochrony danych, przetwarzania danych, rejestracji czynności przetwarzania, zasad współpracy z organem nadzorczym, zasad bezpieczeństwa danych.
  • 20 mln euro lub 4% rocznego światowego obrotu firmy osiągniętego w poprzednim roku, w sytuacji, gdy dojdzie do naruszeń zasad przetwarzania danych osobowych, warunków wyrażania zgody na przetwarzanie danych, naruszenia dostępu danych, dla osób, których dane są przetwarzane, naruszeń prawa osób do korygowania i usuwania przetwarzanych danych.

Przy nakładaniu kary brana jest pod uwagę szkodliwość naruszenia, to czy było ono umyślne, czy nie, jakie działania zostały podjęte w celu zminimalizowania szkody, czy istniały wcześniejsze naruszenia i czy były próby usunięcia naruszenia. 

Jakie kroki powinna podjąć organizacja w sytuacji, gdy dojdzie do naruszenia ochrony danych osobowych?

W przypadku naruszenia ochrony danych osobowych bardzo ważny jest czas reakcji. Administrator ma 72 godziny na to, aby ustalić okoliczności naruszenia i podjąć decyzję o tym, czy ten incydent podlega obowiązkowi zgłoszenia go do UODO oraz powiadomienia osoby, której te dane dotyczą. Decyzję tą podejmuje się, określając poziom ryzyka, jaki wiąże się z tym incydentem.

Kolejną ważną sprawą jest dokładne udokumentowanie tego zdarzenia, jego okoliczności, skutków oraz podjętych działań zaradczych. Jeśli naruszenie ma wysoki poziom ryzyka musi jak najszybciej zostać zgłoszone do Prezesa UODO oraz osoby, której te dane osobowe dotyczą.