Jak zawiadamiać. UODO podpowiada jak zawiadamiać o naruszeniu ochrony danych
1 września 2019Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony danych osobowych, musi odnosić się do konkretnej sytuacji i być zgodne z zasadą przejrzystości – przypomina Centrum Szkoleniowe Graficom.
Bazując na zgłaszanych UODO przypadkach, Urząd publikuje wskazówki dla administratorów danych osobowych, a takimi – zgodnie z RODO – mogą być np. gminy oraz ich organy czyli np. wójtowie, burmistrzowie, rady miast i gmin. Wskazówki dotyczą praktyki zgłaszania przypadków naruszenia ochrony danych osobowych (np. ich wycieku, zagubienia czy przypadkowego udostępnienia osobie nieuprawnionej).
„Analiza wpływających do Urzędu Ochrony Danych Osobowych zgłoszeń naruszenia ochrony danych osobowych dowodzi, że jedynie część administratorów starannie wywiązuje się z obowiązku zawiadamiania o takich sytuacjach osoby, których naruszenia dotyczą, i robi to w sposób przejrzysty i zrozumiały” – zauważa UODO.
Dlatego Urząd przypomina: „w sytuacji gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, administrator – zgodnie z art. 34 ust. 1 RODO – zobowiązany jest bez zbędnej zwłoki zawiadomić ją o takim naruszeniu”.
Zawiadomienie musi obejmować:
- opis charakteru naruszenia (np. przedstawienie okoliczności wystąpienia naruszenia wraz z opisem kategorii danych);
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został on wyznaczony) lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych (np. możliwość zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych);
- opis środków zastosowanych i proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków (np. poinformowanie o możliwości założenia konta w systemie informacji kredytowej celem monitorowania aktywności kredytowej).
- Zawiadomienie powinno być napisane przejrzystym, zrozumiałym językiem zgodnie z art. 12 ust. 1 RODO. Należy zatem używać zwrotów bezpośrednich, np.:
Zawiadomienie powinno być sporządzone w formie, która umożliwi podmiotowi danych wielokrotne zapoznanie się z jego treścią. Wybierając środek komunikacji, trzeba pamiętać, że zawiadomienie musi zostać dostarczone adresatowi w możliwie najkrótszym czasie.
Do przykładów przejrzystych metod zawiadamiania należą:
– komunikacja bezpośrednia (np. bezpośrednie wiadomości e-mail lub SMS),
– zwracające na siebie uwagę bannery,
– powiadomienia na stronach internetowych lub reklamy w mediach drukowanych.
„Administrator powinien wybrać taki sposób zawiadomienia, który zapewni jak największą szansę właściwego przekazania informacji wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. W niektórych przypadkach może to oznaczać, że administrator powinien skorzystać z różnych metod komunikacji, a nie tylko jednego kanału informacyjnego” – wskazuje UODO.
Administrator powiadamia osoby, których dane naruszono bezpośrednio, chyba że wymagałoby to „niewspółmiernie dużego wysiłku”. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane
„Powiadomienia ograniczającego się do komunikatu prasowego czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu” – podkreśla UODO.
Echo Chorzowa, informacje, wiadomosci, aktualnosci