Kiedy nie ma obowiązku zgłoszenia naruszenia Prezesowi UODO?

Art. 33 ust. 1 RODO wskazuje, że w przypadku, gdy „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”, administrator nie ma obowiązku zawiadomienia organu nadzorczego o naruszeniu ochrony danych.

W świetle art. 33 RODO, nie każde naruszenie ochrony danych osobowych wiąże się z  naruszeniem praw i wolności osób fizycznych. Obowiązek zgłoszenia, o którym mowa w ww. artykule, dotyczy tylko tych naruszeń, które mogą skutkować ryzykiem naruszenia praw lub wolności osób fizycznych.  

 

Przykład I: Pracownik kancelarii przez pomyłkę wynosi poza jej obszar teczkę z niezabezpieczonymi danymi osobowymi, wśród których znajdują się również szczególne kategorie danych osobowych.  Po chwili orientuje się, że nastąpiła pomyłka i wraca do kancelarii zwracając teczkę. Działanie takie naruszyło zasady ochrony danych, ale nie mogło skutkować naruszeniem praw lub wolności osób fizycznych, gdyż dane nie zostały udostępnione.

 

Przykład II: Administrator traci bezpiecznie zaszyfrowany pendrive. Klucz szyfrowania pozostaje w posiadaniu administratora i nie jest to jedyna kopia danych osobowych. W takiej sytuacji dane pozostają niedostępne dla złodzieja. Oznacza to małe prawdopodobieństwo, by naruszenie  stanowiło zagrożenie dla praw lub wolności osób, których dane dotyczą.

 

Do każdej sytuacji należy jednak podchodzić z dużą rozwagą i ostrożnością. Zmiana choćby jednego z kluczowych elementów zdarzenia może bowiem doprowadzić do odmiennych wniosków, np. jeżeli w przypadku opisanym w przykładzie II po czasie okaże się, że naruszono bezpieczeństwo klucza lub, że oprogramowanie narażone jest na ataki, wówczas zmieni się ryzyko naruszenia praw i wolności osób, a w związku z tym może powstać obowiązek zgłoszenia naruszenia Prezesowi UODO. Podobna sytuacja może się zdarzyć, gdy w sytuacji zaistnienia naruszenia, administrator nie będzie dysponował kopią zapasową danych osobowych. W takim przypadku będziemy mieli do czynienia z naruszeniem dostępności, stanowiącym ryzyko dla praw i wolności osób fizycznych i w związku z tym, sytuacja ta będzie wymagała zgłoszenia naruszenia organowi nadzorczemu.

2018-05-23 Metadane artykułu
Podmiot udostępniający: Zespół Współpracy z Administratorami Danych
Wytworzył informację: Monika Młotkiewicz 2018-05-23
Wprowadził‚ informację: Aleksandra Głuch 2018-05-23 13:05:21
Ostatnio modyfikował: Łukasz Kuligowski 2018-08-31 11:05:02