Ile czasu mam na zgłoszenie naruszenia do UODO?

Co do zasady 72 godziny od stwierdzenia naruszenia (art. 33 RODO), bez zbędnej zwłoki. Jeśli zgłoszenie następuje później, trzeba dołączyć wyjaśnienie przyczyn opóźnienia. Nie zgłasza się naruszeń, które z małym prawdopodobieństwem wiążą się z ryzykiem dla praw i wolności osób.

Czy zawsze trzeba zawiadamiać osoby, których dane wyciekły?

Nie. Obowiązek zawiadomienia osób (art. 34 RODO) powstaje wtedy, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Istnieją wyjątki, m.in. gdy dane były skutecznie zaszyfrowane lub gdy administrator podjął środki eliminujące wysokie ryzyko.

Czy mogę żądać odszkodowania za naruszenie moich danych?

Tak. Art. 82 RODO daje prawo do odszkodowania za szkodę majątkową i niemajątkową poniesioną wskutek naruszenia przepisów o ochronie danych. Roszczenie dochodzi się przed sądem cywilnym. Trzeba jednak wykazać szkodę i związek przyczynowy z naruszeniem.

Jak wysokie mogą być kary za naruszenie RODO?

Do 10 mln euro lub 2% rocznego obrotu (art. 83 ust. 4) albo do 20 mln euro lub 4% obrotu (art. 83 ust. 5) - w zależności od rodzaju naruszenia i tego, która kwota jest wyższa. Kary wymierza Prezes UODO, uwzględniając m.in. wagę naruszenia i współpracę administratora.

Co może zrobić kancelaria prawna w przypadku naruszenia RODO?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Naruszenie ochrony danych osobowych to każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych - definicję tę zawiera art. 4 pkt 12 RODO. Może to być wyciek bazy klientów, zgubiony laptop, wysłanie maila do błędnego adresata czy atak ransomware. Po stwierdzeniu naruszenia administrator danych ma do wykonania kilka obowiązków w ściśle określonych terminach, a kancelaria prawna pomaga przeprowadzić cały ten proces tak, by ograniczyć ryzyko prawne i finansowe.

Ocena naruszenia i obowiązek zgłoszenia do UODO

Pierwszym krokiem jest zbadanie incydentu: ustalenie, jakich danych i ilu osób dotyczy oraz jakie ryzyko stwarza dla ich praw i wolności. Zgodnie z art. 33 RODO administrator co do zasady zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych (UODO) bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Zgłoszenia nie trzeba dokonywać, jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób. Zgłoszenie składa się przez platformę biznes.gov.pl lub ePUAP. Cały proces oceny należy udokumentować, niezależnie od tego, czy ostatecznie dochodzi do zgłoszenia.

Zawiadomienie osób, których dane dotyczą

Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności osób, art. 34 RODO nakłada dodatkowy obowiązek: poinformowania bez zbędnej zwłoki samych osób, których dane dotyczą. Zawiadomienie musi być sformułowane jasnym i prostym językiem, opisywać charakter naruszenia, możliwe konsekwencje, podjęte środki zaradcze oraz wskazywać punkt kontaktowy (np. inspektora ochrony danych). Od obowiązku zawiadomienia osób istnieją wyjątki - na przykład gdy dane były zaszyfrowane i pozostają nieczytelne dla osób nieuprawnionych.

Sankcje i odpowiedzialność

RODO przewiduje dwa pułapy administracyjnych kar pieniężnych. Za naruszenia obowiązków administratora i podmiotu przetwarzającego (m.in. dotyczących zgłaszania naruszeń) - do 10 mln euro lub 2% rocznego światowego obrotu (art. 83 ust. 4). Za naruszenia podstawowych zasad przetwarzania i praw osób - do 20 mln euro lub 4% obrotu (art. 83 ust. 5), w zależności od tego, która kwota jest wyższa. Niezależnie od kar administracyjnych osoba poszkodowana może na podstawie art. 82 RODO dochodzić przed sądem odszkodowania za szkodę majątkową i niemajątkową. Rolą kancelarii jest zarówno reagowanie na incydent, jak i wcześniejsze ograniczanie ryzyka: audyty zgodności, procedury reagowania na naruszenia, umowy powierzenia z podmiotami przetwarzającymi i szkolenia pracowników.

Najczęstsze pytania

Ile czasu mam na zgłoszenie naruszenia do UODO?
Co do zasady 72 godziny od stwierdzenia naruszenia (art. 33 RODO), bez zbędnej zwłoki. Jeśli zgłoszenie następuje później, trzeba dołączyć wyjaśnienie przyczyn opóźnienia. Nie zgłasza się naruszeń, które z małym prawdopodobieństwem wiążą się z ryzykiem dla praw i wolności osób.
Czy zawsze trzeba zawiadamiać osoby, których dane wyciekły?
Nie. Obowiązek zawiadomienia osób (art. 34 RODO) powstaje wtedy, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Istnieją wyjątki, m.in. gdy dane były skutecznie zaszyfrowane lub gdy administrator podjął środki eliminujące wysokie ryzyko.
Czy mogę żądać odszkodowania za naruszenie moich danych?
Tak. Art. 82 RODO daje prawo do odszkodowania za szkodę majątkową i niemajątkową poniesioną wskutek naruszenia przepisów o ochronie danych. Roszczenie dochodzi się przed sądem cywilnym. Trzeba jednak wykazać szkodę i związek przyczynowy z naruszeniem.
Jak wysokie mogą być kary za naruszenie RODO?
Do 10 mln euro lub 2% rocznego obrotu (art. 83 ust. 4) albo do 20 mln euro lub 4% obrotu (art. 83 ust. 5) - w zależności od rodzaju naruszenia i tego, która kwota jest wyższa. Kary wymierza Prezes UODO, uwzględniając m.in. wagę naruszenia i współpracę administratora.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę