Obowiązek notyfikacji naruszeń ochrony danych osobowych

Do 24 maja 2018 roku

  • Ustawa o ochronie danych osobowych
  • Rozporządzenia wykonawcze

Od 25 maja 2018 roku

  • Ogólne rozporządzenie o ochronie danych
  • Nowa ustawa krajowa

Nowe podejście do ochrony danych osobowych

  • Dostosowanie zasad ochrony danych do aktualnego stanu wiedzy
  • Podejście oparte na ryzyku
  • Rozliczalność – wykazanie przestrzegania przepisów o ochronie danych
  • Zgłaszanie naruszeń danych
  • Odpowiedzialność finansowa

Dostosowanie zasad ochrony do aktualnego stanu wiedzy – motyw 18, 81, 83, art. 25, 32, 97)

Administrator danych osobowych zobowiązany jest zawsze działać w zgodzie z aktualnym stanem wiedzy technicznej:

  • realizując obowiązek uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochronie danych;
  • zapewniając techniczne i organizacyjne bezpieczeństwo ochrony danych osobowych;
  • powierzając przetwarzanie danych osobowych innemu podmiotowi.

Opinia Grupy Art. 29  nr 03/2014 „Personal Data Breach Notification – WP 213”

Zgłoszenie naruszenia danych osobowych było przedmiotem Opinii Grupy Art. 29  nr 03/2014 „Personal Data Breach Notification – WP 213”, która przedstawiała informacje pomocne w podejmowaniu decyzji dotyczącej notyfikowania osób, których dane dotyczą, w kontekście dyrektywy 2002/58/WE. Opinia ta również poruszała kwestie notyfikacji w świetle projektu RODO.

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

Bezpieczeństwo przetwarzania

  • Artykuł 32
  • 1. Uwzględniając stan wiedzy technicznej, ……… aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
  • a) pseudonimizację i szyfrowanie danych osobowych;
  • b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Zasady przetwarzania danych

  • przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
  • odpowiedni poziom bezpieczeństwa
Tomasz Soczyński