menuMENU

Zgłoszenie naruszenia danych osobowych - procedura 72h

Wyciek danych to zwykle nie kwestia "czy", tylko "kiedy". A gdy już się wydarzy, liczy się czas - RODO daje Twojej firmie tylko 72 godziny na reakcję. W tym poradniku pokazuję krok po kroku, jak wygląda zgłoszenie naruszenia danych osobowych do UODO, kiedy jest obowiązkowe, a kiedy możesz je pominąć, i co grozi za zbyt późną reakcję.

Czym jest naruszenie ochrony danych osobowych

Naruszenie ochrony danych osobowych to każde zdarzenie, które prowadzi do utraty poufności, integralności albo dostępności danych. Mówiąc prościej - ktoś zobaczył, zmienił, usunął lub stracił dostęp do danych, do których nie powinien.

Przykłady prosto z praktyki:

  • wysłanie maila z danymi kilkudziesięciu klientów w polu "Do" zamiast "UDW",
  • zgubiony lub skradziony laptop bez szyfrowania dysku,
  • atak ransomware, który zaszyfrował bazę klientów,
  • omyłkowe wysłanie umowy albo faktury do niewłaściwej osoby,
  • udostępnienie loginu i hasła do panelu przez pracownika.

Naruszeniem nie jest wyłącznie "wyciek na zewnątrz". Zaszyfrowanie własnej bazy przez ransomware to utrata dostępności do danych - i też jest naruszeniem, które trzeba obsłużyć.

Procedura 72h - co robić krok po kroku

Zegar 72 godzin rusza od momentu, w którym stwierdzisz naruszenie - nie od chwili, gdy faktycznie do niego doszło. Dlatego reaguj od razu, nie odkładaj "na jutro".

  1. Zabezpiecz i ustal fakty. Co się stało, jakich danych dotyczy, ilu osób i jak do tego doszło. Odetnij dalszy wyciek, jeśli trwa.
  2. Oceń ryzyko dla osób. Czy naruszenie może im zaszkodzić - kradzież tożsamości, strata finansowa, ujawnienie danych wrażliwych.
  3. Zapisz naruszenie w rejestrze. Każde naruszenie - nawet to, którego nie zgłaszasz - musi trafić do wewnętrznego rejestru naruszeń.
  4. Zgłoś do UODO, jeśli jest obowiązek. Zgłoszenie naruszenia danych osobowych składasz przez formularz na stronie UODO, w ciągu 72 godzin.
  5. Zawiadom osoby, jeśli ryzyko jest wysokie. O tym za chwilę.

Jeśli nie zmieścisz się w terminie, zgłoszenie i tak składasz - dołączając wyjaśnienie przyczyny opóźnienia. Milczenie jest zawsze gorsze niż spóźnienie.

Kiedy trzeba zgłosić do UODO, a kiedy nie

Zgodnie z art. 33 RODO zgłaszasz naruszenie organowi nadzorczemu zawsze, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób. W praktyce:

  • Zgłaszasz, gdy dane trafiły do niepowołanych osób albo mogą narazić kogoś na szkodę.
  • Możesz nie zgłaszać, gdy dane były skutecznie zaszyfrowane, a klucz pozostał bezpieczny - ryzyko jest wtedy znikome.

Uwaga: decyzję o niezgłaszaniu również trzeba uzasadnić i udokumentować w rejestrze. Jeśli masz wątpliwości, bezpieczniej jest zgłosić.

Zawiadomienie osób, których dane dotyczą

Art. 34 RODO wchodzi w grę, gdy naruszenie może powodować wysokie ryzyko dla osób. Wtedy oprócz UODO musisz zawiadomić także same osoby - prostym językiem, bez odsyłania do przepisów. Napisz, co się stało, jakie to dla nich ryzyko i co mogą zrobić (na przykład zmienić hasło albo uważać na podejrzane wiadomości).

Jakie kary grożą za zaniechanie

Brak zgłoszenia albo zgłoszenie po czasie to naruszenie obowiązków administratora danych. RODO przewiduje za to kary do 10 mln euro lub 2% rocznego obrotu firmy - w zależności od tego, która kwota jest wyższa. UODO w praktyce nakładał kary właśnie za niezgłoszenie naruszeń i brak zawiadomienia osób. I rzecz kluczowa: sam fakt wycieku bywa dla firmy mniej kosztowny niż jego ukrywanie.

Nie zostawaj z tym sam

Naruszenie zwykle zdarza się w najgorszym możliwym momencie - w piątek po godzinach albo w środku sezonu. Wtedy nie ma czasu na czytanie przepisów i szukanie formularza. Dlatego procedurę reagowania i rejestr naruszeń przygotowuję z wyprzedzeniem, w ramach stałej obsługi, żeby Twoja firma dokładnie wiedziała, co zrobić w pierwszych godzinach.

Najprościej jest powierzyć reagowanie na incydenty i kontakt z UODO Inspektorowi Ochrony Danych (IOD) - to on ocenia ryzyko, przygotowuje zgłoszenie i prowadzi sprawę. A jeśli naruszenie właśnie się wydarzyło i potrzebujesz pomocy doraźnej przy jednym zgłoszeniu, też się tym zajmę. Przy okazji zadbam, żeby Twoja dokumentacja RODO zawierała gotową procedurę na wypadek kolejnego incydentu. Napisz do mnie, zanim zegar 72 godzin ruszy na poważnie.

Zespół Kancelarii KZ

Masz pytania? Chętnie pomożemy!

Najczęściej pytacie nas o:

Czy warto zastrzec nazwę lub logo jako znak towarowy?

  • Jakie dokumenty powinien mieć mój sklep internetowy?
  • Czy moje regulaminy i polityki są zgodne z aktualnym prawem?
  • Czy RODO mnie dotyczy i co muszę wdrożyć?

Jeśli też się nad tym zastanawiasz – skontaktuj się z nami. Odpowiemy na Twoje pytania i pomożemy podjąć właściwe decyzje.

Jak wygląda kontakt?

  1. Wypełnij formularz – krótko napisz, z czym się do nas zgłaszasz.
  2. Magda albo Przemek oddzwonią i wyjaśnią wszystko, co trzeba – bez żadnych zobowiązań.

Zadzwoń do nas: 795-428-460

lub uzupełnij formularz kontaktowy:

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu obsługi zapytania wysłanego przez formularz kontaktowy zgodnie z polityką prywatności.
Zadzwoń: 795-428-460
Skontaktuj się z nami

Zadzwoń do nas: 795-428-460
Nie odbieramy? Musimy być zajęci. Zostaw niżej swój numer telefonu, a oddzwonimy tak szybko jak to możliwe.

Jesteś 23 osobą, która uzupełniła dziś ten formularz.
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu obsługi zapytania wysłanego przez formularz kontaktowy zgodnie z polityką prywatności.