Załóżmy, że w Twojej firmie doszło do wycieku danych osobowych. Czy zawsze musisz o tym informować Prezesa Urzędu Ochrony Danych Osobowych? Niekoniecznie. Pomimo rygorystycznych wymogów nakładanych przez przepisy RODO, istnieją sytuacje, w których nie musisz informować organu nadzorczego o naruszeniu ochrony danych. Poniżej dowiesz się, kiedy jest to możliwe.
Analiza naruszenia
W artykule „Naruszenie ochrony danych osobowych w pigułce” pisaliśmy o rodzajach naruszeń danych osobowych oraz o procedurze postępowania w przypadku wystąpienia naruszenia. W skrócie, w przypadku wystąpienia wycieku danych musisz przeprowadzić dochodzenie wewnętrzne w firmie, które pozwoli ustalić okoliczności i kontekst tego naruszenia. Każde naruszenie musi być raportowane wewnętrznie w rejestrze naruszeń, niezależnie od tego, czy w zostało zgłoszone do organu nadzorczego. Ponadto po stwierdzeniu naruszenia powinieneś wdrożyć odpowiednie środki zaradcze.
Kiedy zgłoszenie nie jest konieczne?
Zgodnie z art. 33 RODO, kluczowym czynnikiem weryfikacji czy wyciek danych podlega zgłoszeniu do organu nadzorczego jest ocena ryzyka dla osób, których dane zostały naruszone. Ocenę tego ryzyka przeprowadza administrator. Jeżeli jest mało prawdopodobne, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych to administrator nie jest zobligowany do zgłoszenia tego naruszenia organowi nadzorczemu. Przykładowo nie podlega obowiązkowi zgłoszenie naruszenie ochrony danych polegające na utracie danych osobowych wskutek awarii sprzętu komputerowego, w sytuacji, gdy dane udało się odzyskać z kopii zapasowej.
Niezgłoszenie wycieku danych podlegającego obowiązkowi zgłoszenia
Pamiętaj jednak, że niezgłoszenie naruszenia danych osobowych podlegającego obowiązkowi zgłoszenia, może mieć dla Twojej firmy poważne konsekwencje. Zatajanie zaistniałych naruszeń jest ryzykowne i wiąże się z możliwością nałożenia kar pieniężnych w wysokości nawet do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Na wysokość nałożonej przez organ nadzorczy kary będzie miał wpływ sposób, w jaki organ nadzorczy dowiedział się o naruszeniu.
W Twojej firmie stwierdzono wyciek danych i nie wiesz czy należy dokonać zgłoszenia do organu nadzorczego? Skontaktuj się z nami! Pomożemy Ci ocenić wagę takiego naruszenia i zaproponujemy dalsze kroki.