Obowiązek informowania Prezesa UODO o własnych naruszeniach
Administrator danych osobowych, w przypadku wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych zobowiązany jest do zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych Osobowych. W przypadku zaś stwierdzenia naruszenia nieistotnego, administrator danych wpisuje je wyłącznie do rejestru naruszeń, bez konieczności zgłaszania Prezesowi UODO.
Podmiot przetwarzający, wszelkie naruszenia – niezależnie od ich kategorii – zgłaszasz wyłącznie administratorowi tychże danych osobowych. Administrator natomiast podejmuje decyzję w przedmiocie ewentualnego zgłoszenia incydentu Prezesowi UODO.
Ocena ryzyka i wagi naruszenia to jeden z istotniejszych elementów Polityki Ochrony Danych, którego forma jest indywidualnie uzależniona od struktury organizacji, kategorii i ilości przetwarzanych danych. Zarzut niewłaściwej oceny i lekceważenia naruszeń przez administratorów jest jednym z częstszych powodów nakładania kar pieniężnych przez nasz organ nadzoru.
Z obowiązku tzw. „samodonosu” w uzasadnionej sytuacji nie są zwolnione również urzędy obsługujące organy nadzoru. Z naruszeniem poufności danych będziemy mieć w przypadku sytuacji, która miała miejsce na stronie internetowej PUODO, gdzie udostępniono skan wyroku WSA wraz z uzasadnieniem w sprawie kary nałożonej na SGGW. Skan częściowo zanonimizowany, bo pozostawiono tam dane osobowe pewnej osoby, pracownika SGGW, istotne z punktu widzenia przebiegu postępowania i materiału dowodowego. Mniej więcej po 24 godzinach błąd został dostrzeżony i wyrok podmieniono, ale ponieważ „w sieci nic nie ginie”, do naruszenia doszło. Informacje dotyczące konkretnej osoby fizycznej, zawarte w uzasadnieniu, stawiają ją w mało korzystnym świetle, co generuje istotne ryzyko dla praw i wolności tej osoby (przykładowo, może jej znacznie utrudnić znalezienie pracy mającej jakikolwiek związek z bezpieczeństwem danych osobowych, a także rodzi uzasadnioną podstawę do pozwania jej przez studentów).
Z obowiązku podjęcia oceny naruszenia i poinformowania o naruszeniu w krótkim bo 72 godzinnym czasie od stwierdzenia naruszenia nie jest zwolniony żaden Administrator. Podobnie UODO, ale i innym urzędom obsługującym organ nadzoru zdarzały się i zdarzać się będą incydenty i naruszenia ochrony danych osobowych. Z naruszeniem „u siebie” musiał zmierzyć się w sierpniu 2020 r. duński organ nadzorczy z zakresu ochrony danych – Datatilsynet. Sprawa dotyczyła papierowej dokumentacji, która ze względu na zawarte dane osobowe powinna była być objęta inną procedurą niszczenia. Organ po prostu zgłosił naruszenie tym samym sposobem co inni administratorzy danych informujący go o naruszeniach. Co ciekawe duński organ spóźnił się ze zgłoszeniem o 24 godziny za co upomniano pracownika dokonującego zgłoszenia.
źródło:
strona internetowa PUODO [puodo.gov.pl]
strona internetowa Datatilsynet [datatilsynet.dk]