Obowiązek informacyjny rodo

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych

Naruszenie to dotyczy najczęściej art. 33 i 34 RODO

Przejrzyj kary nałożone w krajach Unii Europejskiej oraz w Polsce za to naruszenie

DataKrajOrgan nadzorczy wydający decyzjęPodmiot kontrolowanyKaraKompas
26.03.2019PolskaPrezes Urzędu Ochrony Danych OsobowychPrywatna spółka zajmująca się dostarczaniem i analizą danych207.039 EUR - sąd anulował karę
z powodu błędów proceduralnych
Zobacz KOMPAS
12.11.2020PolskaPrezes Urzędu Ochrony Danych OsobowychU. Sp. z o.o.
z siedzibą w G.
UPOMNIENIEZobacz KOMPAS
09.12.2020 PolskaPrezes Urzędu Ochrony Danych OsobowychTUiR WARTA S.A.18.790 EURZobacz KOMPAS
10.12.2020HolandiaDutch Supervisory Authority for Data Protection (AP)Booking.com B.V.475.000 EURZobacz KOMPAS
11.01.2021PolskaPrezes Urzędu Ochrony Danych OsobowychENEA S.A.29.953 EURZobacz KOMPAS

Jak zapobiegać takim naruszeniom?

1. Opracuj i wdróż procedurę zgłaszania naruszeń bezpieczeństwa danych osobowych, które będą uwzględniały kwestie związane ze sprawnym i szybkim stwierdzeniem naruszenia ochrony danych.

2. Nie ignoruj informacji o potencjalnym naruszeniu ochrony danych osobowych otrzymanych od osoby fizycznej lub z innego źródła. Każdy sygnał o ewentualnych nieprawidłowościach powinien być przedmiotem wnikliwej analizy.

3. Wykonaj ocenę naruszenia ochrony danych osobowych pod kątem wystąpienia ryzyka dla praw i wolności osób fizycznych. Dokonując oceny weź pod uwagę:

  • konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia,
  • czy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykładami takich szkód są: utrata kontroli nad własnymi danymi osobowymi, nieuprawnione odwrócenie pseudonimizacji, dyskryminacja, kradzież lub sfałszowanie tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne,
  • liczbę osób fizycznych, na które naruszenie wywiera wpływ.

4. Gdy ocenisz, że naruszenie ochrony danych osobowych może powodować ryzyko dla naruszenia praw lub wolności osób fizycznych, dokonaj zgłoszenia naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Na zgłoszenie masz 72 godziny od momentu stwierdzenia naruszenia.

5. Jeśli masz wątpliwości co do oceny ryzyka dla naruszenia praw lub wolności osób fizycznych, dokonaj zgłoszenia naruszenia bezpieczeństwa danych osobowych, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

6. Gdy ocenisz, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dokonaj zawiadomienia osób fizycznych, których dane dotyczą, o zaistniałym naruszeniu. Zawiadomienia należy wykonać bez zbędnej zwłoki.

7. Realizuj szkolenia dla osób zaangażowanych w przetwarzanie danych osobowych z tematyki cyberbezpieczeństwa, w tym ataków socjotechnicznych oraz metod obrony przed nimi.

8. Nie stosuj jednego hasła do logowania w różnych miejscach. Tam, gdzie jest to możliwe wykorzystuj weryfikację wieloskładnikową.

9. Wykonaj analizę ryzyka, gdy w związku z naruszeniem ochrony danych osobowych zostanie ujawnione ryzyko nie rozpatrywane we wcześniejszej analizie.

WRÓĆ DO KOMPASU FORSAFE