Naruszenie ochrony danych osobowych w kancelarii - co trzeba wiedzieć?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Kancelarie prawne przetwarzają wyjątkowo wrażliwe dane - od danych identyfikacyjnych po informacje o sprawach karnych czy zdrowotnych klientów. Dlatego są administratorami w rozumieniu RODO i ponoszą pełną odpowiedzialność za bezpieczeństwo tych danych. Naruszenie może oznaczać dotkliwe sankcje finansowe, utratę reputacji i odpowiedzialność wobec klientów. Poniżej wyjaśniamy, czym jest naruszenie ochrony danych, jakie obowiązki rodzi i jak ograniczyć ryzyko.

Czym jest naruszenie ochrony danych osobowych

RODO (art. 4 pkt 12) definiuje naruszenie ochrony danych jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Wyróżnia się trzy typy: naruszenie poufności (nieuprawnione ujawnienie lub dostęp - np. wysłanie pisma do niewłaściwego adresata, wyciek wskutek ataku), naruszenie integralności (nieuprawniona zmiana danych) oraz naruszenie dostępności (utrata dostępu do danych - np. atak ransomware, awaria czy zniszczenie nośnika). Jedno zdarzenie może łączyć kilka typów naruszeń.

Obowiązki po wykryciu naruszenia

Administrator, który stwierdzi naruszenie, ma obowiązek zgłosić je organowi nadzorczemu - w Polsce Prezesowi Urzędu Ochrony Danych Osobowych - bez zbędnej zwłoki, w miarę możliwości w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Zgłoszenia nie trzeba dokonywać tylko wtedy, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Jeżeli naruszenie może powodować wysokie ryzyko dla tych osób, administrator zawiadamia także osoby, których dane dotyczą, bez zbędnej zwłoki (art. 34 RODO). Każde naruszenie - również niezgłaszane - należy odnotować w wewnętrznym rejestrze naruszeń.

Sankcje i sposoby ograniczenia ryzyka

Za naruszenia RODO grożą administracyjne kary pieniężne - w najpoważniejszych przypadkach do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa (art. 83 RODO). Niezależnie od kar osoba, która poniosła szkodę majątkową lub niemajątkową, ma prawo do odszkodowania (art. 82 RODO). Ryzyko ograniczają adekwatne środki techniczne i organizacyjne (art. 32 RODO): szyfrowanie, kontrola dostępu, kopie zapasowe, regularne szkolenia personelu, procedura reagowania na incydenty oraz - tam, gdzie to wymagane - wyznaczenie inspektora ochrony danych. Warto pamiętać, że wiele naruszeń wynika z błędu ludzkiego, a nie wyłącznie z ataków zewnętrznych.

Najczęstsze pytania

W jakim terminie trzeba zgłosić naruszenie ochrony danych?
Administrator zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Zgłoszenie nie jest konieczne, gdy ryzyko dla praw i wolności osób jest mało prawdopodobne.
Jakie kary grożą za naruszenie RODO?
W najpoważniejszych przypadkach administracyjna kara pieniężna może wynieść do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa (art. 83 RODO). Dodatkowo poszkodowanym przysługuje odszkodowanie na podstawie art. 82 RODO.
Kiedy trzeba zawiadomić klientów o wycieku danych?
Gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób, administrator zawiadamia osoby, których dane dotyczą, bez zbędnej zwłoki (art. 34 RODO), opisując charakter naruszenia i zalecane środki ostrożności.
Jak ograniczyć ryzyko naruszenia ochrony danych w kancelarii?
Należy wdrożyć adekwatne środki techniczne i organizacyjne (art. 32 RODO): szyfrowanie, kontrolę dostępu, kopie zapasowe, procedurę reagowania na incydenty oraz regularne szkolenia. W określonych przypadkach konieczne jest wyznaczenie inspektora ochrony danych.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę

Czym jest naruszenie ochrony danych osobowych

Obowiązki po wykryciu naruszenia

Sankcje i sposoby ograniczenia ryzyka

Najczęstsze pytania

W jakim terminie trzeba zgłosić naruszenie ochrony danych?

Administrator zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Zgłoszenie nie jest konieczne, gdy ryzyko dla praw i wolności osób jest mało prawdopodobne.

Jakie kary grożą za naruszenie RODO?

W najpoważniejszych przypadkach administracyjna kara pieniężna może wynieść do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa (art. 83 RODO). Dodatkowo poszkodowanym przysługuje odszkodowanie na podstawie art. 82 RODO.

Kiedy trzeba zawiadomić klientów o wycieku danych?

Gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób, administrator zawiadamia osoby, których dane dotyczą, bez zbędnej zwłoki (art. 34 RODO), opisując charakter naruszenia i zalecane środki ostrożności.

Jak ograniczyć ryzyko naruszenia ochrony danych w kancelarii?

Należy wdrożyć adekwatne środki techniczne i organizacyjne (art. 32 RODO): szyfrowanie, kontrolę dostępu, kopie zapasowe, procedurę reagowania na incydenty oraz regularne szkolenia. W określonych przypadkach konieczne jest wyznaczenie inspektora ochrony danych.

Czym jest naruszenie ochrony danych osobowych

Obowiązki po wykryciu naruszenia

Sankcje i sposoby ograniczenia ryzyka

Najczęstsze pytania

Powiązane poradniki

Podstawa prawna i źródła

Masz podobną sprawę?

Czym jest naruszenie ochrony danych osobowych

Obowiązki po wykryciu naruszenia

Sankcje i sposoby ograniczenia ryzyka

Najczęstsze pytania

Powiązane poradniki

Podstawa prawna i źródła

Masz podobną sprawę?