Aktualnie jesteś: Gazeta Podatkowa (strona główna)  »  Dodatek do Gazety Podatkowej nr 55 (1617) z dnia 11.07.2019  »  Zalecenia UODO w przypadku naruszeń ochrony danych

Wkrótce dodatki:

Gazeta Podatkowa
e-wydanie

Gazeta Podatkowa w formacie PDF

A A A
Gazeta Podatkowa nr 55 (1617) z dnia 11.07.2019, strona 18
dział: Wskazówki dla przedsiębiorcy
Autor: Marta Stefanowicz - Wasilewska

Zalecenia UODO w przypadku naruszeń ochrony danych

Rejestrowanie oraz zgłaszanie organowi nadzorczemu naruszeń ochrony danych osobowych to jeden z podstawowych obowiązków, jakie nakłada na administratorów danych unijne rozporządzenie o ochronie danych. Oprócz tego RODO wymaga prowadzenia wewnętrznego rejestru takich naruszeń oraz wdrażania zabezpieczeń, które mają zapobiegać takim naruszeniom, a w razie ich zaistnienia wymaga wdrożenia działań naprawczych. Urząd Ochrony Danych Osobowych przygotował pewne wskazówki, którymi warto się kierować odnośnie tych obowiązków.

Czym jest naruszenie ochrony danych?

Naruszeniem ochrony danych zgodnie z art. 4 pkt 12 RODO jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie. Natomiast skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.

UODO w publikacji "Obowiązki administratorów związane z naruszeniami ochrony danych osobowych" wskazuje trzy główne grupy naruszeń:

  • naruszenie poufności - polega na ujawnieniu danych osobowych nieuprawnionej osobie, np. przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej,
     
  • naruszenie dostępności - polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych, np. zgubienie lub kradzież nośnika zawierającego bazy danych klientów administratora przy braku kopii zapasowej;

w tym miejscu należy wspomnieć, że UODO zwraca uwagę, iż nie każda czasowa niedostępność danych jest od razu naruszeniem ochrony danych. Będzie nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych. Jako przykład podaje np. brak dostępu do danych pacjentów w szpitalu, który może prowadzić do uniemożliwienia przeprowadzenia pilnej operacji,

  • naruszenie integralności - polega na zmianie treści danych osobowych w sposób nieautoryzowany, np. pracownik zmienia nazwiska klientów poprzez dopisanie innej litery na końcu każdego z nich.

Naruszenie i co dalej?

W związku z zaistnieniem naruszenia ochrony danych RODO przewiduje różne obowiązki, które obciążają administratorów danych. Ich zakres zależy od stopnia takiego naruszenia i skutków dla osób, których danych dotyczył incydent.

Przede wszystkim każdy administrator danych musi wprowadzić w swojej jednostce takie procedury, które będą umożliwiać szybkie wykrycie takiego naruszenia i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Ponadto administrator musi prowadzić wewnętrzną ewidencję naruszeń, zgłaszać zaistniałe naruszenia organowi nadzorczemu, powiadamiać osoby, których dane dotyczą, o naruszeniu oraz wreszcie podejmować działania mające na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości. Zgłoszenia do UODO należy dokonać nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Właśnie dlatego po zaistnieniu naruszenia ochrony danych administrator danych musi przeprowadzić analizę, której celem jest ustalenie, czy w wyniku naruszenia doszło do ryzyka naruszenia praw i wolności osób fizycznych, czy też nie.

Natężenie ryzyka szkód

Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Jak tłumaczy UODO w swoim opracowaniu, szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Jeśli w wyniku dokonania takiej analizy administrator danych uzna, że takie prawdopodobieństwo jest małe, wówczas nie ma obowiązku zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jednak wpisać do wewnętrznej ewidencji naruszeń. Co istotne, niezależnie od poziomu ryzyka, obowiązkiem administratora jest wprowadzenie środków zaradczych i naprawczych mających na celu zminimalizowanie ryzyka i zabezpieczenie danych osobowych w przyszłości.

Jeżeli ryzyko wystąpienia naruszenia praw i wolności osób fizycznych jest wysokie, to oprócz wpisu w ewidencji naruszeń i zgłoszenia naruszenia ochrony danych do PUODO, w niektórych przypadkach konieczne będzie powiadomienie o naruszeniu osób, których dane dotyczą. Jak informuje UODO opis charakteru naruszenia jest istotnym elementem informacji przekazywanej osobom, których dane dotyczą. Powinien on być na tyle szczegółowy i jasny, aby osoby, do których jest kierowany, mogły zrozumieć, co się stało z ich danymi osobowymi, dlaczego oraz co to dla nich oznacza.

Zawiadomienie osób fizycznych nie będzie wymagane, gdy:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki, takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
     
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, np. administrator zorientował się, że przesyłka zawierająca dane osobowe została zaadresowana na niewłaściwy adres i skontaktował się z operatorem pocztowym, który nie dopuścił do dostarczenia jej wskazanemu początkowo adresatowi,
     
  • wymagałoby ono niewspółmiernie dużego wysiłku; w takim jednak przypadku będzie musiał zostać wydany publiczny komunikat lub inny podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób, np. dokumentacja zawierająca dane osobowe była prowadzona jedynie w wersji papierowej i uległa zalaniu. W takim przypadku administrator musi wydać publiczny komunikat, w którym osoby fizyczne zostaną poinformowane o naruszeniu.

Zgłoszenie naruszenia do PUODO

Zgłoszenia naruszenia ochrony danych administrator danych może dokonać za pomocą formularza dostępnego na stronie www.uodo.gov.pl, na cztery sposoby:

1. Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl.
2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP.
3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego, dostępnego na platformie biznes.gov.pl.
4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.
Najpopularniejsze w dziale „Wskazówki dla przedsiębiorcy”

Kolejna ustawa redukująca obciążenia przedsiębiorców

Gazeta Podatkowa nr 49 (1611) z dnia 21.06.2019

Nowe przepisy zakazujące plastiku

Gazeta Podatkowa nr 53 (1615) z dnia 4.07.2019

Kiedy umowa może zostać uznana za zatrudnienie?

Gazeta Podatkowa nr 51 (1613) z dnia 27.06.2019

Zakupy w sieci i zwrot rozpakowanego towaru

Gazeta Podatkowa nr 52 (1614) z dnia 1.07.2019

Problem bezpłatnej umowy zlecenia

Gazeta Podatkowa nr 57 (1619) z dnia 18.07.2019

PPK w jednostkach sektora finansów publicznych

Gazeta Podatkowa nr 56 (1618) z dnia 15.07.2019

Zmiany w ustawie o PPK

Gazeta Podatkowa nr 54 (1616) z dnia 8.07.2019

Przycisk "zamówienie z obowiązkiem zapłaty" w sklepie internetowym

Gazeta Podatkowa nr 53 (1615) z dnia 4.07.2019

Los podatku od sprzedaży detalicznej rozstrzygnął Sąd UE

Gazeta Podatkowa nr 53 (1615) z dnia 4.07.2019

Koniec z profilowaniem bezrobotnych

Gazeta Podatkowa nr 52 (1614) z dnia 1.07.2019

Likwidacja działalności a wyprzedaż zapasów alkoholu

Gazeta Podatkowa nr 49 (1611) z dnia 21.06.2019

Możliwość stosowania skonta w rozliczeniach przedsiębiorców

Gazeta Podatkowa nr 53 (1615) z dnia 4.07.2019

RODO w studiu fotograficznym

Gazeta Podatkowa nr 54 (1616) z dnia 8.07.2019

Wyposażenie stanowiska stażysty

Gazeta Podatkowa nr 50 (1612) z dnia 24.06.2019

Finansowanie wypoczynku pracowników ze środków ZFRON

Gazeta Podatkowa nr 51 (1613) z dnia 27.06.2019

Odszkodowanie w związku z opóźnionym lotem w najnowszym orzecznictwie

Gazeta Podatkowa nr 50 (1612) z dnia 24.06.2019

Problem określenia statusu jednoosobowego przedsiębiorcy

Gazeta Podatkowa nr 53 (1615) z dnia 4.07.2019

Szkolenia i modernizacja stanowisk pracy z dofinansowaniem z EFS

Gazeta Podatkowa nr 51 (1613) z dnia 27.06.2019

Opodatkowanie gruntów rolnych i leśnych należących do przedsiębiorcy

Gazeta Podatkowa nr 52 (1614) z dnia 1.07.2019

Badania sanitarno-epidemiologiczne pracownika zatrudnionego w gastronomii

Gazeta Podatkowa nr 52 (1614) z dnia 1.07.2019

Obowiązki pracodawcy delegującego pracownika na terytorium RP

Gazeta Podatkowa nr 51 (1613) z dnia 27.06.2019

Budowa parkingu bez pozwolenia na budowę

Gazeta Podatkowa nr 50 (1612) z dnia 24.06.2019

Okres, na jaki wydawana jest decyzja o wsparciu przy zwolnieniu z podatku dochodowego

Gazeta Podatkowa nr 50 (1612) z dnia 24.06.2019

Zezwolenie na pobyt czasowy w celu wykonywania pracy w zawodzie wymagającym wysokich kwalifikacji

Gazeta Podatkowa nr 51 (1613) z dnia 27.06.2019

Wadium w przetargu ustnym nieograniczonym

Gazeta Podatkowa nr 51 (1613) z dnia 27.06.2019

Siła wyższa nie zablokuje wypłaty wsparcia dla grupy producentów

Gazeta Podatkowa nr 51 (1613) z dnia 27.06.2019

Oświadczenia i dokumenty w procedurze przetargowej

Gazeta Podatkowa nr 50 (1612) z dnia 24.06.2019

Nowa inwestycja jako wdrożenie strategii wzorniczej

Gazeta Podatkowa nr 54 (1616) z dnia 8.07.2019

Opodatkowanie gruntu rolnego

Gazeta Podatkowa nr 54 (1616) z dnia 8.07.2019

Jeden organizm gospodarczy i limit pomocy de minimis

Gazeta Podatkowa nr 55 (1617) z dnia 11.07.2019
PRZYDATNE LINKI

Portal Podatkowo-Księgowy

GOFIN.pl

Gofin.pl/PIT

Gofin.pl/Prawnik-Radzi

Gofin.pl/Rachunkowosc

Gofin.pl/Bilans

Gofin.pl/Podatki

Gofin.pl/Prawo-Pracy

Gofin.pl/Skladki-Zasilki

       
POMOCNIKI Księgowego

Aplikacja GOFIN NEWS

Indeks Księgowań BUDŻET

Orzecznictwo dla firm

Pytania Czytelników

Aplikacja GOFIN SGK

Indeks Księgowań FIRMA

Przepisy Prawne

Terminy

Asystent Gofin

Interpretacje Urzędowe

Przewodnik Kadrowego

Wideopomocniki

Druki Gofin

Kalkulatory

Przewodnik Księgowego

Wskaźniki

Forum

Newslettery

Przewodnik VAT

Wszystko dla Księgowych

       
Serwisy specjalistyczne

Czas Pracy

Podatek Dochodowy

Rozliczenie Delegacji

Vademecum Księgowego

Kalkulatory Podatkowe

Podatek VAT

Rozliczenia Podatkowe

Vademecum Podatnika

Kasa Fiskalna

Poradnik Księgowego

Rozliczenie Wynagrodzenia

Zakładamy Firmę

Kodeks Pracy

Porady Podatkowe

Vademecum Kadrowego

Zasiłki

więcej serwisów specjalistycznych
 
  szczegółowy spis treści
bieżącego numeru
pokazuj fragmenty artykułów 
Strona tytułowa
Aktualności i sygnały
O czym Czytelnik wiedzieć powinien
Rozliczamy podatek dochodowy
VAT i akcyza
Prawo pracy w praktyce
Składki ZUS
Emerytury, renty, zasiłki
Postępowanie przed fiskusem
Poradnik podatkowo-kadrowy
Rachunkowość dla każdego
Przewodnik Gazety Podatkowej
Orzecznictwo i interpretacje prawne
Spółki i wspólnicy
Wskazówki dla przedsiębiorcy
Kompleksowe opracowania podatkowo-księgowe
Firma dla początkujących
Z dyskusji na www.forum.gofin.pl
Prawnik radzi
 Dodatki
 
Sklep internetowy - sklep.gofin.pl

Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • zapewnienia prawidłowego działania serwisów (utrzymania sesji),

  • analizy statystyk ruchu i reklam w serwisach,

  • zbierania i przetwarzania danych osobowych w celu wyświetlenia personalizowanych reklam.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z serwisu, w celu administrowania serwisem, dostosowania treści serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania behawioralnego reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o.

Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam jest partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. (SDO). Odbiorcą informacji z plików cookies są Netsprint S.A., Google LLC oraz spółki zlecające SDO realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię. Dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych SDO.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora w serwisie internetowym.

  • Dobrowolna zgoda

    Aby móc wyświetlać spersonalizowane reklamy dopasowane do Pani/Pana zainteresowań, partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. musi mieć możliwość przetwarzania Pani/Pana danych. Udzielenie takiej zgody jest całkowicie dobrowolne (nie ma obowiązku jej udzielenia).

Zgoda

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na przetwarzanie Pani/Pana danych osobowych w związku z możliwością wyświetlenia reklam dopasowanych do Pani/Pana zainteresowań poprzez kliknięcie w przycisk „Zgadzam się” lub „Nie teraz” w przypadku braku zgody.