Zgłaszanie naruszenia ochrony danych osobom, których dane dotyczą. Plan audytu wewnętrznego

Jeżeli doszło do naruszenia ochrony danych osobowych, administrator danych powinien zawiadomić o tym fakcie osoby, których dane dotyczą. Jednak nie zawsze…

Tak nakazują zapisy RODO, unijnego rozporządzenia dotyczącego ochrony danych osobowych w firmie. Procedura taka ma pozwolić poszkodowanym na szybką reakcję, która powstrzyma dalsze szkody. Dane osobowe mogą obejmować numery telefonów, a nawet numery kart kredytowych. Szybka reakcja właściciela takie karty pozwoli uchronić go przed stratami finansowymi.

RODO a obowiązek poinformowana osoby poszkodowanej

Jednak RODO mówi również, że przekazanie takiej informacji nie zawsze jest obowiązkowe. Administrator danych osobowych musi to zrobić tylko wtedy, kiedy ryzyko naruszenia praw i wolności osób fizycznych zostało oszacowane na poziomie wysokim.
To od administratora danych osobowych, od jego oceny sytuacji i wynikających z niej zagrożeń zależy decyzja, czy informować osobę, której dane dotyczą o naruszenia ochrony tych danych.

Jak poinformować osobę, której dane dotyczą?

RODO nie określa, w jakie formie takie powiadomienie powinno zostać przedstawione osobie, której dane dotyczą. Wybór narzędzia komunikacyjnego zależy od administratora danych osobowych. Forma powiadomienia może być ustna ( spotkanie bezpośrednie, rozmowa telefoniczna) lub pisemna ( mail, tradycyjny list, sms).

Jak powinno być sformułowane takie zawiadomienie?

Styl takiego zawiadomienia powinien być jasny i sformułowany prostym językiem. Tak, żeby nie było żadnych problemów ze zrozumieniem treści.
Osoby, które są adresatem takiego komunikatu nie tylko powinny zrozumieć jego treść, tj. charakter naruszenia, ale również z komunikatu powinno wynikać jasno, jakie działania powinny podjąć, aby odpowiednio się zabezpieczyć.

Przejrzystość komunikatu – co to oznacza?

Na szkoleniu z ochrony danych osobowych dla pracowników często można usłyszeć, że taki komunikat powinien być przejrzysty. Co to dokładnie znaczy?

Europejska Rada Ochrony Danych uznaje, że przejrzyste metody zawiadomienia to:

  • komunikacja bezpośrednia,
  • wiadomości e-mail, SMS,
  • duże bannery na stronach internetowych,
  • tradycyjna komunikacja pocztowa,
  • przykuwające uwagę reklamy w mediach drukowanych.

Kiedy naruszona została ochrona danych osobowych w firmie procedura powiadomienia osoby, której dane dotyczą powinna skutkować komunikatem widocznym, niemożliwym do przeoczenia. Nie można gdzieś „schować” takiej informacji czy napisać jej małą czcionką.

Opóźnienie wysłania zawiadomienia

Jednak są sytuacje, gdy administrator może opóźnić wysłanie zawiadomienia o naruszeniu danych osobowych do osób, których dane dotyczą. Oczywiście takie działanie może zaistnieć tylko w pewnych okolicznościach, musi być podparte świetną argumentacją i zazwyczaj odbywa się zgodnie z zalecaniami organów ścigania. Opóźnienie takie powinno trwać do chwili, w której takie zawiadomienie nie wypłynie negatywnie na prowadzone postępowanie lub śledztwo.

Plan audytu wewnętrznego w przedsiębiorstwie

Z pewnością takie działania jak szczegółowy plan audytu wewnętrznego w przedsiębiorstwie, kompetentne wdrożenie RODO czy rygorystyczne przestrzeganie zapisów unijnego rozporządzenia są decydujące w przetwarzaniu danych osobowych. Jednak jeżeli już dojdzie do naruszenia danych, warto wnikliwie ocenić czy nie należy o tym fakcie jak najszybciej zawiadomić osoby, której dane dotyczą.