Zawartość strony

Odpowiedź

Naruszenie ochrony danych występuje, gdy dane, za które odpowiada Twoja firma/organizacja, ucierpiały w wyniku incydentu zagrażającego bezpieczeństwu, wskutek którego naruszona została poufność, dostępność lub integralność danych. Gdy do niego dojdzie – i prawdopodobnie naruszenie to stwarza ryzyko dla praw i wolności osób fizycznych –Twoja firma/organizacja powinna zgłosić je organowi nadzorczemu bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia. Podmiot przetwarzający musi zgłaszać każde naruszenie ochrony danych administratorowi danych.

Jeżeli może ono powodować wysokie ryzyko dla osób poszkodowanych, także muszą one zostać powiadomione (chyba że wdrożono skuteczne środki techniczne i organizacyjne w zakresie ochrony lub inne środki gwarantujące, że ryzyko już raczej nie wystąpi).

Kluczowe dla organizacji jest wdrożenie odpowiednich środków technicznych i organizacyjnych zapobiegających możliwym naruszeniom ochrony danych.

Przykłady

Organizacje muszą powiadomić OOD i osoby, których dane dotyczą
Dane pracowników firmy włókienniczej zostały ujawnione. Dane zawierały prywatne adresy, skład rodziny, miesięczne wynagrodzenie i roszczenia medyczne każdego pracownika. Wówczas firma włókiennicza musi zgłosić naruszenie do organu nadzorczego. Ponieważ dane obejmują dane wrażliwe, takie jak dane dotyczące zdrowia, firma musi poinformować także pracowników.

Pracownik szpitala postanowił skopiować dane pacjentów na nośnik CD i opublikować je w internecie. Szpital dowiaduje się o tym kilka dni później. Wówczas ma 72 godziny na zgłoszenie naruszenia organowi nadzorczego. Poza tym są to dane wrażliwe, np. informacje o tym, czy dana osoba cierpi na nowotwór lub czy jest w ciąży itd., więc szpital ma obowiązek powiadomić także pacjentów. W tym przypadku wątpliwe jest, aby szpital wdrożył odpowiednie środki techniczne i organizacyjne. Gdyby odpowiednie środki ochrony były wdrożone (np. szyfrowanie danych), ryzyko raczej by się nie pojawiło i szpital byłby zwolniony z obowiązku powiadomienia pacjentów.

Firma ma obowiązek powiadomić klientów, a następnie oni powiadamiają OOD i osoby, których dane dotyczą
Dostawca usługi w chmurze stracił kilka dysków zawierających dane osobowe należące do części klientów. Musi zatem powiadomić o tym swoich klientów, jak tylko stwierdzi naruszenie. Jego klienci muszą zgłosić to do OOD oraz poinformować osoby prywatne, w zależności od danych, które były przetwarzane przez podmiot przetwarzający.

Odnośniki