Źle zaadresowana przesyłka – zgłoszenie naruszenia do UODO
Czy zgłoszenie naruszenia do UODO w przypadku źle zaadresowanej przesyłki jest konieczne? Jak zgłosić takie naruszenia do UODO? We wcześniejszym artykule “Źle zaadresowana przesyłka a RODO” wyjaśniliśmy, że Administrator odpowiada za zawartość przesyłki w której znajdują się dane osobowe.
Zobacz pierwszą część artykułu: “Źle zaadresowana przesyłka a RODO”.
Zgłoszenie naruszenia do UODO
Pomyłki będą się zdarzały – czasami nawet pomimo wdrożonych procedur i szkoleń. Jak wspominaliśmy w poprzednim artykule – jesteśmy tylko ludźmi. Ważne jest jednak to, jak reagujemy na te pomyłki.
W przypadku wystąpienia takiego incydentu, warto przeprowadzić analizę pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jest to niezbędne do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia PUODO, a także osób, których dane dotyczą.
Należy pamiętać o dokonaniu jak najbardziej obiektywnej analizy i nie zaniżania wyniku końcowego. Takie sytuacje są często bagatelizowane i nie są uważane za niebezpieczne. Dlatego rzadko są uznawane przez podmioty za naruszenia ochrony danych osobowych, które powinno zostać zgłoszone do UODO.
Poniżej przedstawiamy dwa takie przypadki.
Bank Millenium
Kara w wysokości ponad 363 tys. zł została nałożona w związku z niezgłoszeniem naruszenia oraz niewystarczającym poinformowaniem osób o zaistniałym zdarzeniu.
Firma kurierska zgubiła dokumentację zawierającą dane osobowe dwóch osób. Dane te zostały wysłane przez Bank Millenium w związku z procedurą założenia konta bankowego.
?Jakie dane zostały zgubione?
- imię, nazwisko,
- PESEL,
- adres zamieszkania,
- numery rachunków bankowych
- numer identyfikacji klienta w banku.
? Co się wydarzyło?
Bank zawiadomił o zaistniałej sytuacji osoby, których dane zostały zgubione. Nie udzielił jednak informacji o tym, w jaki sposób poszkodowani mogą ustrzec się przed ewentualnymi negatywnymi konsekwencjami i jakie działania powinni podjąć.
Ponadto, Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą.
❗ Pamiętajmy:
? Do UODO należy zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą.
? Zgodnie z RODO, administrator danych jest zobowiązany do poinformowania Prezesa UODO o wystąpieniu naruszenia ochrony danych nie później niż w terminie 72h od jego stwierdzenia.
Z pełną treścią decyzji można zapoznać się na stronie UODO – decyzja UODO – Bank Milenium
Cyfrowy Polsat S.A.
Cyfrowy Polsat S.A. regularnie zgłaszał do UODO naruszenia bezpieczeństwa danych osobowych klientów spółki, które polegały na zgubieniu korespondencji z danymi osobowymi lub dostarczeniu dokumentów do niewłaściwego odbiorcy.
? Jakie dane zawierały dokumenty?
- Imię
- Nazwisko
- Adres zamieszkania lub pobytu
- Nr PESEL
- Seria i nr dowodu osobistego
Pamiętaj to po stronie administratora leży obowiązek podjęcia skutecznych działań, które zminimalizują skalę naruszeń oraz pozwolą na unikanie takich incydentów.
Brak zastosowania odpowiednich środków technicznych i organizacyjnych przez Cyfrowy Polsat S.A., przedłużał czas powiadomienia o naruszeniu, osób, których dane dotyczyły, nawet o 2 – 3 miesiące. Powodowało to wysokie ryzyko wykorzystania tych danych przez osoby nieuprawnione, np. w celu kradzieży tożsamości, zaciągnięcia kredytu/pożyczki. Osoby nie zostały poinformowane o wycieku ich danych, a tym samym nie zastosowano odpowiednich środków zapobiegawczych.
Źle zaadresowana przesyłka – zgłoszenie naruszenia do UODO
Pamiętaj – jeżeli w Twojej firmie doszło do naruszenia ochrony danych osobowych z powodu źle nadanej przesyłki, zawierającej dokumenty z danymi osobowymi lub jej zgubienia, a wykonując analizę ryzyka okazało się, że istnieje ryzyko wycieku danych i ich wykorzystania na szkodę osoby, której dane dotyczą, musisz nie tylko zgłosić to do UODO, ale również:
- bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o wystąpieniu naruszenia,
- jego potencjalnych skutkach, jeżeli ktoś wykorzysta dane, zawarte w przesyłce,
- oraz zalecane działania, które może podjąć osoba, której dane dotyczą, aby ograniczyć skutki naruszenia (np. zastrzeżenie dokumentu tożsamości).
Na koniec sprawdź, jak możemy Ci pomóc chronić dane osobowe w Twojej firmie:
Kurs RODO online – https://www.e-kursyrodo.pl/kurs/rodo-kurs-ogolny-2/
Indywidualna oferta dla firm – https://www.e-kursyrodo.pl/oferta-dla-firm/
Pełna oferta ochrony danych osobowych w Twojej firmie – https://standarder.pl/oferta-ochrona-danych/

