Pod koniec lutego, na stronie Prezesa Urzędu Ochrony Danych Osobowych (PUODO) został opublikowany nowy poradnik dla administratorów danych osobowych dotyczący ich obowiązków związanych z naruszeniami ochrony danych osobowych. Jak słusznie zauważono, w dobie cyfryzacji ochrona danych osobowych nabiera kluczowego znaczenia, a naruszenia ochrony danych osobowych mogą prowadzić do poważnych konsekwencji zarówno dla osób, których dane dotyczą, jak i dla organizacji przetwarzających te informacje. Poradnik jest zatem praktycznym wyjaśnieniem zasad reagowania na naruszenia ochrony danych osobowych w ramach przepisów RODO.
Przewodnik szczegółowo omawia podstawowe pojęcia związane z bezpieczeństwem danych osobowych takie jak definicja naruszenia ochrony danych osobowych, naruszenie poufności, integralności lub dostępności danych osobowych jak również wskazuje przyczyny takich naruszeń i obowiązki administratora w przypadku stwierdzenia naruszenia ochrony danych osobowych.
Poza szczegółowymi informacjami o ochronie danych osobowych, poradnik wprowadza również pewne aktualizacje do wcześniejszych wytycznych PUODO dotyczących naruszeń ochrony danych osobowych, takich jak:
- Uwzględnienie aktualnych praktyk organów ochrony danych osobowych oraz ich interpretacji przepisów RODO.
- Odniesienie do najnowszych wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych w ramach publikacji Europejskiej Rady Ochrony Danych (EROD) i aktualnych wyroków Trybunału Sprawiedliwości Unii Europejskiej (TSUE), które mogą wpływać na interpretację przepisów o naruszeniu ochrony danych.
- Zaktualizowanie metod oceny ryzyka dla osób, których dane dotyczą, uwzględniając nowe techniki ataków cybernetycznych i aktualne zagrożenia.
- Doprecyzowanie przypadków, w których administratorzy muszą powiadomić osoby, których dane dotyczą, oraz w jaki sposób najlepiej to zrobić.
- Wyjaśnienie szczegółowych informacji na temat form i sposobów zgłaszania naruszeń do Prezesa UODO, w tym zgłoszenia wstępne i uzupełniające.
Poradnik w skrócie przedstawia również jak powinna wyglądać odpowiednia reakcja na incydenty w zakresie bezpieczeństwa ochrony danych osobowych. Przede wszystkim PUODO wskazuje na niezbędność identyfikacji takiego incydentu, czy spełnia definicję naruszenia ochrony danych osobowych. Następnie konieczna jest ocena ryzyka naruszenia danych dla osób, których bezpieczeństwo danych osobowych zostało naruszone. Jeśli występuje ryzyko dla praw lub wolności osób fizycznych konieczne jest również zgłoszenie naruszenia do PUODO w ciągu 72 godzin od wykrycia incydentu. Jeżeli ryzyko dla praw lub wolności osób fizycznych jest wysokie, niezbędne jest również powiadomienie osób dotkniętych naruszeniem. Na koniec niezbędne jest podjęcie działań naprawczych w celu zminimalizowania skutków i zapobiegania podobnym incydentom.
Jak wskazuje PUODO, ochrona danych osobowych to nie tylko obowiązek prawny, ale także kluczowy element budowania zaufania wśród klientów i partnerów, z którymi współpracuje administrator danych. Dlatego też wdrażanie skutecznych procedur bezpieczeństwa oraz szybka i adekwatna reakcja na incydenty to podstawa w zakresie skutecznej ochrony informacji i danych osobowych.
Poradnik dostępny jest na stronie PUODO: Poradniki i wskazówki (od 2025 r.) – UODO