200
Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony danych osobowych, musi odnosić się do konkretnej sytuacji i być zgodne z zasadą przejrzystości.
Analiza wpływających do Urzędu Ochrony Danych Osobowych zgłoszeń naruszenia ochrony danych osobowych pokazuje, że jedynie część administratorów starannie wywiązuje się z obowiązku zawiadamiania o takich sytuacjach osoby, których naruszenia dotyczą, i robi to w sposób przejrzysty i zrozumiały.
Niektórzy administratorzy potrafią ograniczyć występowanie podobnych zdarzeń w przyszłości, wdrażając w tym celu przemyślane rozwiązania (np. skuteczne procedury weryfikacji poprawności danych kontaktowych swoich klientów).
Jednak duża część administratorów wciąż nie w pełni rozumie, jaki jest cel obowiązków określonych w art. 33 i 34 ogólnego rozporządzenia o ochronie danych (RODO) i w konsekwencji nie podchodzi do ich realizacji w sposób odpowiedzialny. Często zdarza się, że ich zawiadomienia kierowane do osób są napisane ogólnikowo, według standardowych szablonów, nieadekwatnych do danego przypadku i kategorii danych, których dotyczyło naruszenie. Wskazywane osobom zalecenia nie odpowiadają charakterowi naruszenia, a tym samym nie są im przydatne.
Zdarza się też, że zawiadomienia te zawierają sprzeczne informacje, np. w pierwszej części zawiadomienia administrator informuje, że stwierdził naruszenie powodujące wysokie ryzyko naruszenia praw danej osoby, w dalszej części powiadomienia wskazuje zaś, że zdarzenie to nie może powodować żadnych negatywnych konsekwencji dla tej osoby.
Takie zawiadomienia nie spełniają swojej funkcji i są niezgodne z prawem.
Konieczne elementy zawiadomienia
W sytuacji gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, administrator – zgodnie z art. 34 ust. 1 RODO – zobowiązany jest bez zbędnej zwłoki zawiadomić ją o takim naruszeniu. Zawiadomienie musi obejmować:
- opis charakteru naruszenia (np. przedstawienie okoliczności wystąpienia naruszenia wraz z opisem kategorii danych);
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został on wyznaczony) lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych (np. możliwość zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych);
- opis środków zastosowanych i proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków (np. poinformowanie o możliwości założenia konta w systemie informacji kredytowej celem monitorowania aktywności kredytowej).
Zawiadomienie o naruszeniu, a zasada przejrzystości
Zawiadomienie powinno być napisane przejrzystym, zrozumiałym językiem zgodnie z art. 12 ust. 1 RODO. Należy zatem używać zwrotów bezpośrednich, brzmiących, np.:
„Podajemy informacje o krokach, które może Pani podjąć w związku z incydentem” albo „Następstwem naruszenia ochrony Pana danych osobowych może być założenie na Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej)”.
Komunikat kierowany do osoby musi być jasny, spójny i logiczny oraz zawierać dostosowany do konkretnej sytuacji opis możliwych skutków oraz korespondujące z nim zalecenia dla osoby fizycznej (np. jeżeli naruszenie wiąże się z ryzykiem zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych, warto wskazać na możliwość założen...
