Odpowiedź
Naruszenie ochrony danych występuje, gdy dane, za które odpowiada Twoja firma/organizacja, ucierpiały w wyniku incydentu zagrażającego bezpieczeństwu, wskutek którego naruszona została poufność, dostępność lub integralność danych. Gdy do niego dojdzie – i prawdopodobnie naruszenie to stwarza ryzyko dla praw i wolności osób fizycznych –Twoja firma/organizacja powinna zgłosić je organowi nadzorczemu bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia. Podmiot przetwarzający musi zgłaszać każde naruszenie ochrony danych administratorowi danych.
Jeżeli może ono powodować wysokie ryzyko dla osób poszkodowanych, także muszą one zostać powiadomione (chyba że wdrożono skuteczne środki techniczne i organizacyjne w zakresie ochrony lub inne środki gwarantujące, że ryzyko już raczej nie wystąpi).
Kluczowe dla organizacji jest wdrożenie odpowiednich środków technicznych i organizacyjnych zapobiegających możliwym naruszeniom ochrony danych.
Przykłady
Organizacje muszą powiadomić OOD i osoby, których dane dotyczą
Dane pracowników firmy włókienniczej zostały ujawnione. Dane zawierały prywatne adresy, skład rodziny, miesięczne wynagrodzenie i roszczenia medyczne każdego pracownika. Wówczas firma włókiennicza musi zgłosić naruszenie do organu nadzorczego. Ponieważ dane obejmują dane wrażliwe, takie jak dane dotyczące zdrowia, firma musi poinformować także pracowników.
Pracownik szpitala postanowił skopiować dane pacjentów na nośnik CD i opublikować je w internecie. Szpital dowiaduje się o tym kilka dni później. Wówczas ma 72 godziny na zgłoszenie naruszenia organowi nadzorczego. Poza tym są to dane wrażliwe, np. informacje o tym, czy dana osoba cierpi na nowotwór lub czy jest w ciąży itd., więc szpital ma obowiązek powiadomić także pacjentów. W tym przypadku wątpliwe jest, aby szpital wdrożył odpowiednie środki techniczne i organizacyjne. Gdyby odpowiednie środki ochrony były wdrożone (np. szyfrowanie danych), ryzyko raczej by się nie pojawiło i szpital byłby zwolniony z obowiązku powiadomienia pacjentów.
Firma ma obowiązek powiadomić klientów, a następnie oni powiadamiają OOD i osoby, których dane dotyczą
Dostawca usługi w chmurze stracił kilka dysków zawierających dane osobowe należące do części klientów. Musi zatem powiadomić o tym swoich klientów, jak tylko stwierdzi naruszenie. Jego klienci muszą zgłosić to do OOD oraz poinformować osoby prywatne, w zależności od danych, które były przetwarzane przez podmiot przetwarzający.
Odnośniki
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.