Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Ile mam czasu na zgłoszenie RODO naruszenia? Opinia ZFODO

Termin 72 h na zgłaszanie naruszeń RODO do organu nadzorczego zaczyna biec od momentu „stwierdzenia naruszenia” (art. 33 ust. 1 RODO). Stwierdzenie naruszenia nie zawsze wystąpi w tym samym momencie, w którym doszło do naruszenia. W związku, z wątpliwościami w tym zakresie postanowiliśmy wypracować wspólne stanowisko, jako Związek Firm Ochrony Danych Osobowych.

Czas płynie… ale względnie

Jeśli wykryłeś naruszenie, to na pewno odczuwasz presję czasu – 72 godzin, o których mowa w art. 33 ust. 1 RODO. Pamiętaj jednak o tym, że w sytuacjach związanych z naruszeniami, czas płynie nieco inaczej.

A przynajmniej nie zawsze będzie liczony od tego samego momentu.

W ocenie ZFODO powoływany wyżej przepis RODO należy interpretować w ten sposób, że po wykryciu prawdopodobieństwa wystąpienia naruszenia, administrator niezwłocznie podejmuje działania, aby dokonać stwierdzenia, czy do naruszenia rzeczywiście doszło i jaki ewentualnie wpływ na prawa lub wolności podmiotów danych może ono mieć.

Przykłady praktyczne

NaruszenieMoment wykryciaMoment stwierdzenia naruszeniaPodsumowanie
20 marca 2020 r. lekarz udostępnił dokumentację medyczną pacjenta innemu pacjentowi.20.03.2020

(udostępnienie dokumentacji)

20.03.2020Naruszenie ma oczywisty charakter. Lekarz poinformował administratora o swoim błędzie niezwłocznie po wydaniu dokumentacji.

Administrator bez zbędnej zwłoki przeprowadził postępowanie wyjaśniające i jeszcze tego samego dnia spisany został protokół naruszenia oraz oszacowane zostało ryzyko naruszenia praw i wolności pacjenta, którego dane zostały bezprawnie ujawnione. Moment wykrycia naruszenia pokrywa się zatem z momentem jego stwierdzenia.

20 marca 2020 r. pracownik Działu IT zauważa, że na ogólnie dostępnym serwerze dostępny jest plik z wykazem urlopów każdego z pracowników administratora.

Plik został zamieszczony ok. tydzień temu tj. 12 marca 2020 r.

12.03.2020

(pojawienie się pliku na ogólnodostępnym serwerze)

22.03.2020Pracownik Działu IT zgłasza administratorowi naruszenie tego samego dnia, w którym odkrył nieprawidłowość tj. 20 marca 2020 r.

Administrator niezwłocznie podejmuje działania wyjaśniające. Ustala kto zamieścił plik, kontaktuje się z Działam IT celem określenia, czy i przez kogo plik był przeglądany, czy też kopiowany, pobierany lub w inny sposób zapisywany, etc. Postępowanie wyjaśniające trwa 2 dni tj. do 22 marca 2020 r. Do tego czasu administrator ustalił jak plik znalazł się na dysku, czy ktokolwiek go zapisał oraz jaki wpływ na prawa i wolności osób, których dane zostały ujawnione miało to naruszenie.

Termin zaczyna biec po stwierdzeniu naruszenia tj. 22 marca 2020 r.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Inne interpretacje oraz stanowisko ZFODO

Powyższa interpretacja znajduje oparcie w wytycznych Grupy Roboczej Art. 29WP250rev.01 (ostatnio zmienionych i przyjętych w dniu 6 lutego 2018 r.)

W swojej opinii GR Art. 29 przyjęła, że należy uznać, że administrator stwierdził wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych.

Jestem świadom, że funkcjonują obecnie również inne podejścia i stanowiska. Na przykład takie, które termin 72 godzin każą liczyć od momentu wykrycia naruszenia (wykrycie=stwierdzenie).

W gronie profesjonalnych firm zrzeszonych w ramach ZFODO, przeanalizowaliśmy wszystkie argumenty za oraz przeciw obecnie funkcjonującym poglądom w tym temacie.

Za najtrafniejsze i najbardziej zdroworozsądkowe, uznaliśmy stanowisko prezentowane w niniejszym artykule.

Całe stanowisko dostępne jest na stronie Związku Firm Ochrony Danych Osobowych.

Zapraszam do zapoznania się i stosowania w praktyce!

 

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

Zgłaszanie naruszenia ochrony danych osobowych osobom poszkodowanym
Zgłoszenie naruszenia RODO do Urzędu Ochrony Danych Osobowych
Ups… mamy naruszenie ochrony danych osobowych

Zostaw odpowiedź

* pola obowiązkowe