Z LEXTRA PRZY KAWIE O PRAWIE- Jak prawidłowo zawiadomić osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych?

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

Jak prawidłowo zawiadomić osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych?

Administrator danych osobowych w przypadku stwierdzenia naruszenia ochrony danych osobowych dokonuje zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych. Sposób realizacji tego obowiązku jest dostępny tutaj.

Natomiast co w sytuacji, gdy po analizie okazało się, że wystąpiło wysokie ryzyko naruszenia praw lub wolności dla osoby fizycznej? W takiej sytuacji Administrator Danych Osobowych jest zobowiązany dodatkowo do bezzwłocznego zawiadomienia o takim naruszeniu osoby, której dane są objęte naruszeniem.

Zawiadomienie powinno zawierać co najmniej:

- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, jeżeli został wyznaczony lub innego punktu kontaktowego;

- opis możliwych konsekwencji naruszenia ochrony danych osobowych;

- opis środków zastosowanych i proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Ponadto, zawiadomienie powinno być sporządzone w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Najważniejsze, aby osoby, których dane dotyczą, zrozumiały charakter naruszenia i wiedziały, co muszą zrobić, aby się zabezpieczyć.

Niezależnie od powyższego, zawiadomienie powinno być sporządzone w formie umożliwiającej wielokrotne zapoznanie się z jego treścią, dostarczone w możliwie najkrótszym czasie, np. poprzez powiadomienia na stronach internetowych, reklamy w mediach drukowanych, bezpośrednie wiadomości sms lub e-mail, zwracające na siebie uwagę banery, w formie pisemnej.

Co do zasady administrator powiadamia osoby, których dane naruszono bezpośrednio, chyba że wymagałoby to niewspółmiernie dużego wysiłku - w takim przypadku wydaje on publiczny komunikat bądź stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą o naruszeniu danych osobowych (na podstawie art. 34 ust. 3 lit. c RODO). Istotne, że skorzystanie z publicznego komunikatu powinno być uzasadnione, bowiem administrator będzie musiał wykazać, że indywidualne zawiadomienie osób, których dane dotyczą, z przyczyn obiektywnych jest utrudnione lub niemożliwe.

Ważne!

W ocenie Prezesa Urzędu Ochrony Danych Osobowych powiadomienia ograniczające się do komunikatu prasowego czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu! Ponadto, w niektórych przypadkach administrator powinien skorzystać z różnych metod komunikacji, a nie tylko jednego kanału informacyjnego.

Kancelaria udziela pomocy w sporządzaniu zawiadomień o naruszeniu, zapraszamy do współpracy!