Pomoc przy sporządzeniu zgłoszenia do UODO
Pomoc przy sporządzeniu zgłoszenia do UODO – Wielu ADO / IOD boryka się z problemami, jakiego rodzaju konsekwencje mogą stanowić następstwo wystąpienia zdarzenia będącego naruszeniem ochrony danych osobowych, bądź jakiego rodzaju środki zaradcze, majace na celu zaradzenie naruszeniu, bądź zminimalizowaniu skutków naruszenia, należy zawrzeć w zawiadomieniu, kierowanym do Urzędu Ochrony Danych osobowych, bądź do podmiotu danych, którego dane dotyczą. Przygotowaliśmy wykaz zawierający zarówno konsekwencje naruszeń z odniesieniem do kategorii danych, jak i wyka proponowanych środków zaradczych. Wykaz powstał na bazie rzeczywistych stanów faktycznych. Wykaz pełni rolę pomocniczego, co oznacza, iż można nim się posiłkować tworząc własne zawiadomienia do UODO czy do podmiotu danych.
To sprawia kłopoty przy przygotowywaniu zgłoszeń do UODO / zawiadomień podmiotów ...
Doświadczenie pokazuje, iż przygotowanie zgłoszenia do UODO, bądź zawiadomienia podmiotu danych, w związku z wystąpieniem zdarzenia będącego naruszeniem ochrony danych osobowych, potrafi przysporzyć wielu problemów, osobom odpowiedzialnym za ich przygotowanie. Przygotowaliśmy wykaz przykładowych konsekwencji, jakie może nieść za sobą naruszenie ochrony danych w odniesieniu do danych zwykłych oraz do danych szczególnej kategorii. Opracowaliśmy także przykładowy pomocny wykaz środków zaradczych, jakie można wykorzystać przygotowując zgłoszenie, czy odpowiednio zawiadomienie podmiotu danych.
Obowiązki administratorów związane z naruszeniami ochrony danych osobowych
Opis możliwych konsekwencji naruszenia ochrony danych osobowych.
Najczęstszym błędem administratorów jest konstruowanie tego elementu w sposób mało precyzyjny, tj. informowanie, że naruszenie może doprowadzić do utraty poufności ich danych czy utraty kontroli nad danymi osobowymi. Taka informacja jest niewystarczająca. Administrator, biorąc pod uwagę charakter naruszenia oraz kategorie danych, które uległy naruszeniu, powinien wskazać osobom, których dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia ich danych osobowych. Np. w przypadku naruszenia takich danych, jak imię, nazwisko oraz nr PESEL, należy wskazać np., że możliwa jest kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia co może spowodować negatywne konsekwencje związane z próbą przypisania osobom, których dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa.
Obowiązki administratorów związane z naruszeniami ochrony danych osobowych s.30, wersja 1.0, czerwiec 2019
Opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosowanych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków
„Wskazówki” administratora nie uwzględniają dosyć często charakteru oraz kategorii danych, które uległy naruszeniu, np. w przypadku utraty takich danych, jak nr PESEL czy seria i nr dowodu osobistego, samo zasugerowanie osobie, aby poinformowała administratora o wykorzystaniu jego danych osobowych nie jest środkiem minimalizującym ewentualne negatywne skutki naruszenia. W takiej sytuacji właściwe będzie wskazanie możliwości założenia konta w systemie informacji kredytowej celem monitorowania prób uzyskania kredytu, czy zgłoszenie faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.
Obowiązki administratorów związane z naruszeniami ochrony danych osobowych s.30, wersja 1.0, czerwiec 2019
Materiały pomocne przy sporządzaniu zgłoszenia do UODO
Autor opracowania
mgr Dominik Spałek Inspektor ochrony danych, założyciel portalu www.prostetorodo.pl Absolwent Wydziału Prawa i Administracji Uniwersytetu Łódzkiego. Członek Zespołu merytorycznego Proste to RODO. Ekspert z wieloletnim doświadczeniem w obsłudze podmiotów medycznych w zakresie prawa pracy, zbiorowego prawa pracy oraz ochrony danych osobowych. Dominik Spałek, jako praktyk, realizuje zadania jako Inspektor Ochrony Danych w podmiotach wykonujących działalność leczniczą w Częstochowie i nie tylko. Wspiera administratorów danych osobowych w realizacji ich obowiązków w zakresie przede wszystkich ochrony danych medycznych, w tym danych osobowych. Dominik Spałek, jako praktyk od lat przygotowuje dokumentację z zakresu prawa pracy, zbiorowego prawa pracy. Wieloletnie doświadczenie w pracy w centrali związkowej, zaowocowało licznymi publikacjami tematycznymi z zakresu prawa pracy na łamach tygodników prasowych, jak również w formie audycji radiowych. Fakt uczestnictwa w zespołach roboczych, jak i negocjacyjnych, przełożył się na jego udział w tworzeniu zapisów zakładowych / ponadzakładowych układów zbiorowych pracy m.in. dla sektora medycznego oraz pomocy społecznej.