Kiedy informować kontrahenta o naruszeniu ochrony danych osobowych?

W prowadzonej przeze mnie firmie doszło do naruszenia ochrony danych osobowych kontrahenta będącego osobą fizyczną. Naruszenie polegało na wysłaniu maila z informacją o realizacji zamówienia do osoby o tym samym nazwisku co właściwy adresat wiadomości. Czy zgodnie z RODO zawsze muszę zawiadamiać podmiot danych o zaistniałym incydencie? – pyta pan Maciej.

Przepisy RODO, czyli ogólnego rozporządzenia o ochronie danych, nakładają na administratora szereg obowiązków związanych ze stwierdzeniem naruszenia ochrony danych. Obok zawiadomienia organu nadzorczego administrator powinien w pewnych wypadkach powiadomić o naruszeniu osobę, której dane dotyczą. Przepis art. 34 ust. 1 RODO przewiduje, że zawiadomienie podmiotu danych jest obligatoryjne, „jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Jednocześnie europejski ustawodawca przewidział szereg sytuacji, gdy zawiadomienia tego nie trzeba dokonywać. Dotyczy to, gdy:

– administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

– administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

– wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Nie zawsze zatem i nie każde naruszenie podlega notyfikacji podmiotom danych.

W sytuacji opisanej przez czytelnika należy rozważyć, czy wysyłka wiadomości mailowej do niewłaściwego adresata powoduje wysokie ryzyko naruszenia praw lub wolności osoby, której dane zostały przekazane nieupoważnionemu podmiotowi. Ocena ta powinna uwzględniać zakres i charakter ujawnionych danych. Od tej analizy zależy, czy administrator powinien powiadomić podmiot danych.

Jeśli zajdzie konieczność powiadomienia podmiotu danych, należy pamiętać, że informacja powinna być przekazana niezwłocznie, zawierać określone elementy (przepis odsyła do art. 33 ust. 3 lit. b, c i d RODO), a także być sporządzona jasnym i prostym językiem.

Artykuł ukazał się na rp.pl

 

Czytaj także: Trzeba informować członków zarządu o przetwarzaniu ich danych