Zgodnie z RODO, administrator nie musi informować urzędu o naruszeniu wtedy, gdy jest mało prawdopodobne, żeby incydent ten skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Przepisy nie wskazują żadnego katalogu naruszeń, które należy zgłosić do organu nadzorczego. Nie da się więc zautomatyzować podejmowania decyzji o zgłaszaniu w danym przypadku naruszenia - każdą sytuację należy rozpatrywać indywidualnie.

Akademia Ochrony Danych Osobowych

Zgłaszanie naruszeń łączy się nierozerwalnie z niełatwym zagadnieniem oceny ryzyka naruszenia. Jak przeprowadzić je tak, aby organ nadzorczy go nie zakwestionował? To pytanie zadają sobie administratorzy danych niemalże za każdym razem, gdy stwierdzą, że w ich organizacji doszło do incydentu związanego z ochroną danych osobowych.

Wskazówki w tym temacie umieściliśmy w e-booku, pt.:
"Kiedy należy zgłaszać naruszenie do Prezesa UODO?"

Dla kogo nasz ebook?
E-book skierowany jest w szczególności do:

  • inspektorów ochrony danych osobowych,
  • administratorów danych i podmiotów przetwarzających,
  • pracowników, którzy na co dzień uczestniczą w procesie organizacji monitoringu pracowników,
  • prawników zainteresowanych tematyką ochrony danych osobowych.

Nie zwlekaj, zamów już teraz bezpłatnego e-booka pt.: "Kiedy należy zgłaszać naruszenie do Prezesa UODO?".

Wypełnij formularz, aby pobrać ebooka

Zawartość e-booka "Kiedy należy zgłaszać naruszenie do Prezesa UODO?"

Z e-booka dowiesz się:


  • dowiesz się, jak ocenić charakter naruszenia i konieczność zgłoszenia go do Prezesa UODO;
  • poznasz przypadek firmy ubezpieczeniowej, która została ukarana administracyjną karą pieniężną za niezgłoszenie naruszenia i dowiesz się, jak można było uniknąć tej kary;
  • poznasz metody minimalizacji ryzyka związanego z wystąpieniem naruszenia ochrony danych osobowych.

Ponadto do e-booka dołączyliśmy 2 bardzo praktyczne wzory:


  • łatwy do wypełnienia formularz analizy prawdopodobieństwa zaistnienia ryzyka naruszenia praw i wolności osób fizycznych
  • przykładowy wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.
Akademia Ochrony Danych Osobowych
Bądź krok przed innymi – pobierz e-booka i zyskaj praktyczne wskazówki dla administratorów danych
Wypełnij formularz i pobierz e-booka
Fragment e-booka "Kiedy należy zgłaszać naruszenie do Prezesa UODO? Praktyczna wskazówkidla administratorów danych"

Nieprawidłowy adres e-mail wskazany przez klienta
W przedmiotowej sprawie dotyczącej przekazania danych nieuprawnionemu odbiorcy przez agenta firmy ubezpieczeniowej bezpośrednią przyczyną było podanie przez klienta błędnego adresu poczty elektronicznej. Do tego konkretnego zdarzenia najprawdopodobniej nie doszłoby, gdyby został wprowadzony mechanizm weryfikowania adresu e-mail, np. konieczność powtórzenia adresu w formularzu plus link potwierdzający tożsamość wysłany na wskazany adres e-mail.

Jednakże należy pamiętać, że nawet gdyby klient podał poprawny adres e-mail, mogłoby dojść do omyłkowego przekazania jego danych innemu odbiorcy. Ze sprawozdania z działalności Prezesa UODO wynika, że najczęstszą przyczyną naruszeń jest błąd ludzki. Należy zatem uznać, że są formy działalności administratorów, które wiążą się z podwyższonym ryzykiem dla ochrony danych osobowych. Naruszenia w większości przypadków dotyczyły przetwarzania danych osobowych jednej lub kilku osób spowodowanych błędem ludzkim, np.:

  • przesłanie danych osobowych do niewłaściwego odbiorcy, na niewłaściwy adres poczty elektronicznej/adres do korespondencji,
  • omyłkowe wysyłania dokumentacji do innego odbiorcy,
  • zagubienia przez pracowników dokumentów zawierających dane osobowe klientów.

Oznacza to, że do naruszenia przyczyniły się bezpośrednio wadliwe procedury gromadzenia i przesyłania danych osobowych.

W związku z nałożoną na Wartę S.A. karą pieniężną pojawiły się głosy, że podawanie błędnego adresu e-mail może być metodą na szantażowanie administratora w celu uzyskania korzyści finansowych, pod groźbą zgłoszenia naruszenia do Prezesa UODO. W omawianym przypadku nie pojawił się motyw umyślnego wskazania przez klienta błędnego adresu e-mail, ale oczywiście takiej praktyki nie można wykluczyć. Jednakże zgodnie z art. 5 ust. 1 lit. d RODO obowiązkiem administratora jest zapewnienie, aby przetwarzane przez niego dane były prawidłowe. Oznacza to, że powinien wprowadzić procedury weryfikacji danych kontaktowych wskazywanych przez klienta. Podsumowując, dla oceny omawianego naruszenia nie miał znaczenia fakt, że dane korespondencyjne były nieprawidłowe, gdyż administrator powinien zapewnić procedury ich weryfikacji, a także procedury poufne przekazania na wskazany adres elektronicznych dokumentów zawierających dane osobowe.

Chcesz wiedzieć więcej? Pobierz e-booka !

Skorzystaj ze wskazówek, które pomogą Ci zgłosić naruszenie do Prezesa UODO
Wypełnij formularz i pobierz e-booka
Autor
Sylwia-Czub-Kielczewska
Sylwia Czub-Kiełczewska
Ekspert do spraw ochrony danych osobowych i bezpieczeństwa informacji, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych. Jest to nie tylko jej praca, ale także pasja: prowadzi popularnego bloga Sylwia Czub bloguje o danych osobowych (sylwiaczub.pl).
Zobacz bio
Polecane rozwiązania
LEX Ochrona Danych Osobowych
Poznaj LEX Ochrona Danych Osobowych
LEX Ochrona Danych Osobowych to serwis prawny, który pomoże Ci wdrożyć i należycie stosować przepisy RODO oraz innych aktów (w tym sektorowych), które dotyczą ochrony danych osobowych. Z LEX ODO przeprowadzisz także kompleksową analizę ryzyka.
Więcej o LEX Ochrona Danych Osobowych
Back To Top