→ Wysłanie maila do niewłaściwego adresata,
→ zgubienie dokumentów,
→ zgubienie laptopa,
→ zgubienie pendrive’a,
→ kradzież danych w wyniku ataku hakerskiego,
→ utrata dostępu do danych w wyniku działania złośliwego oprogramowania,
to tylko przykłady zdarzeń, które na gruncie RODO mogą być zakwalifikowane jako naruszenia ochrony danych osobowych.
Trudno jest znaleźć organizację, w której nigdy nie zdarzyłoby się chociaż jedno z powyższych. Często jednak zaniedbuje się obowiązki, które RODO nakłada w związku z występowaniem takich zdarzeń.
Obowiązki te polegają m.in. na:
1) zgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
2) zawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.
Od powyższych istnieją wyjątki.
1) Naruszenia nie trzeba zgłaszać, jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
2) Osób, których dane dotyczą nie trzeba zawiadamiać, jeśli naruszenie nie powoduje wysokiego ryzyka naruszenia praw lub wolności tych osób.
Aby stwierdzić, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności lub, że nie powoduje ono wysokiego ryzyka ich naruszenia należy przeprowadzić ocenę wagi takiego naruszenia dla osób, których dane dotyczą. Pomocne w tym zakresie mogą być wytyczne Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) – Recommendations for a methodology of the assessment of severity of personal data breaches (https://www.enisa.europa.eu/publications/dbn-severity).
Co jakiś czas dochodzą do nas informacje o kolejnych nakładanych przez PUODO karach. W myśl zasady, że lepiej jest uczyć się na błędach innych, warto śledzić te doniesienia, a w szczególności analizować zaniedbania, które spowodowały nałożenie kary.
Przykłady poniżej:
→ Decyzją z dnia 12 marca 2024 r.(DKN.5131.59.2022) nałożono karę 1 440 549,00 PLN (słownie: jeden milion czterysta czterdzieści tysięcy pięćset czterdzieści dziewięć złotych), za: 1) niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz 2) niezawiadomienie o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.
→ Decyzją z dnia 12 marca 2024 r.(DKN.5131.28.2023) nałożono karę w wysokości 78.575,40 PLN za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
→ Decyzją z dnia 18 października 2023 r.(DKN.5131.55.2022) nałożono karę w wysokości 103.752,00 PLN za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Jak widać nie warto jest bagatelizować obowiązków, które RODO nakłada w związku z naruszeniami. Należy pamiętać, że nie każde naruszenie ochrony danych osobowych od razu kwalifikuje się na zgłoszenie lub konieczne jest zawiadomienie osób, których dane dotyczą. Warto jest jednak trzymać rękę na pulsie i być świadomym tych obowiązków. Odpowiednia reakcja pozwoli uniknąć kary.
