Urząd Ochrony Danych Osobowych opublikował w ostatnim czasie, krótką prezentację pod tytułem „Dotychczasowe doświadczenia w zakresie zgłaszania naruszeń ochrony danych osobowych i zawiadamiania o nich osób, których dane dotyczą”. Zawarł w niej między innymi listę najczęściej popełnianych błędów, które pojawiają się w przesyłanych zgłoszeniach.

Podstawowe informacje, które musi zawierać zgłoszenie

Zgodnie z art. 33 ust. 3 RODO zgłoszenie naruszenia ochrony danych osobowych musi co najmniej:
-opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
-zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
-opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
-opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Najczęściej występujące błędy w zgłoszeniach

Podstawowym i najczęściej występującym błędem przy zgłaszaniu naruszenia ochrony danych osobowych jest brak wskazania wszystkich wymaganych artykułem 33 ust. 3 RODO informacji.  Ponadto do pozostałych błędów UODO zalicza:

Lakoniczne i nierzetelne wypełnianie zgłoszeń

Według urzędu oznacza to, nierzetelne i zdawkowe przekazywanie informacji uniemożliwia ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych,

Wypełnianie zgłoszeń w sposób rutynowy

Podanie niewłaściwej liczby osób, których dane dotyczą, podanie niewłaściwej kategorii danych, wskazanie niewłaściwego poziomu ryzyka, podanie niewłaściwego czasu zaistnienia naruszenia,

Brak przeprowadzenia prawidłowej oceny ryzyka naruszenia praw lub wolności osób fizycznych

Zgłaszanie naruszenia ochrony danych osobowych przez podmiot przetwarzający

Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. (art. 33 ust. 2 RODO) RODO zobowiązuje podmiot przetwarzający do pomagania administratorowi z wywiązania się z obowiązków określonych w art. 33 RODO np. poprzez udzielenie dostępnych mu w danej sprawie informacji. (art. 28 ust. 3 lit. f RODO).

Podanie w treści zgłoszenia danych osobowych osób, których dotyczy naruszenie

Zgodnie z art. 33 ust. 3 RODO administrator powinien w zgłoszeniu podać tylko kategorie danych osobowych, których dotyczy naruszenie. Niewłaściwą praktyką jest podawanie w zgłoszeniu naruszenia jakichkolwiek konkretnych imion, nazwisk czy adresów zamieszkania osób, których dane dotyczą.

Nieprawidłowe zawiadamianie osób o naruszeniu ochrony danych osobowych.