Powiadomienie o naruszeniu ochrony danych
Powiadomienie o naruszeniu ochrony danych to prawny obowiązek poinformowania organów nadzorczych, a w niektórych przypadkach także poszkodowanych osób, gdy dane osobowe zostały naruszone w wyniku incydentu bezpieczeństwa. Zgodnie z RODO administratorzy muszą powiadomić swój organ nadzorczy w ciągu 72 godzin od momentu powzięcia wiadomości o naruszeniu, które stwarza ryzyko dla praw i wolności osób, a także bezpośrednio powiadomić poszkodowane osoby, jeśli naruszenie stwarza wysokie ryzyko.
Podstawa prawna
"W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych."
— Artykuł 33 ust. 1, Rozporządzenie (UE) 2016/679 (RODO)
"Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki komunikuje tę osobie, której dane dotyczą, że doszło do naruszenia ochrony danych."
— Artykuł 34 ust. 1, Rozporządzenie (UE) 2016/679 (RODO)
Dlaczego to ma znaczenie
Obowiązki powiadamiania o naruszeniu ochrony danych dotyczą każdej organizacji przetwarzającej dane osobowe w kontekście usług reklamy politycznej. Dla sponsorów, wydawców i dostawców usług reklamy politycznej objętych Rozporządzeniem 2024/900 oznacza to, że każdy nieautoryzowany dostęp do danych osobowych wykorzystywanych do targetowania lub dostarczania reklam, ich utrata lub zmiana muszą zostać niezwłocznie zgłoszone właściwemu organowi ochrony danych.
72-godzinne okno powiadomienia jest ścisłe i rozpoczyna się od momentu, gdy organizacja powzięła wiadomość o naruszeniu, a nie od momentu zakończenia jego zbadania. Organizacje muszą posiadać wewnętrzne procesy wykrywania, badania i szybkiego zgłaszania naruszeń. Niepowiadomienie może skutkować grzywnami do 10 milionów euro lub 2% globalnego rocznego obrotu zgodnie z RODO.
W przypadku reklamy politycznej naruszenia dotyczące danych targetowania, profili wyborców lub preferencji politycznych są szczególnie wrażliwe. Naruszenia te mogą narażać osoby na manipulację, dyskryminację lub szkody odwetowe, co sprawia, że terminowe powiadomienie ma kluczowe znaczenie dla ochrony procesów demokratycznych i praw jednostki.
Kluczowe punkty
- Administratorzy muszą powiadomić swój organ nadzorczy w ciągu 72 godzin od momentu powzięcia wiadomości o naruszeniu, chyba że naruszenie jest mało prawdopodobne, by skutkowało ryzykiem dla praw i wolności osób
- Jeśli naruszenie stwarza wysokie ryzyko dla osób, muszą one zostać powiadomione bezpośrednio bez zbędnej zwłoki
- Powiadomienia muszą opisywać charakter naruszenia, kategorie i przybliżoną liczbę poszkodowanych osób i zapisów, oraz środki podjęte w celu zaradzenia sytuacji
- Podmioty przetwarzające muszą powiadomić administratorów niezwłocznie po wykryciu naruszenia, aby administratorzy mogli dotrzymać własnych terminów powiadomienia
- Organizacje powinny prowadzić dokumentację wszystkich naruszeń, w tym tych niezgłoszonych, aby wykazać zgodność
- Kary za niepowiadomienie mogą osiągnąć 10 milionów euro lub 2% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa
Powiadomienie o naruszeniu ochrony danych a informacja o przejrzystości
Chociaż oba obowiązki wiążą się z ujawnianiem informacji, powiadomienie o naruszeniu ochrony danych i informacje o przejrzystości służą różnym celom. Powiadomienie o naruszeniu ochrony danych to reaktywny wymóg związany z incydentem, uruchamiany w przypadku naruszenia bezpieczeństwa danych osobowych. Musi zostać dostarczony organom nadzorczym w ciągu 72 godzin i poszkodowanym osobom w przypadku wystąpienia wysokiego ryzyka.
Informacja o przejrzystości (taka jak informacja o ochronie prywatności wymagana na podstawie art. 13-14 RODO lub informacja o przejrzystości reklamy politycznej zgodnie z Rozporządzeniem 2024/900) to proaktywny, ciągły obowiązek informowania osób o sposobie przetwarzania ich danych przed lub w momencie zbierania. Informacje o przejrzystości mają charakter prewencyjny i informacyjny; powiadomienia o naruszeniu mają charakter naprawczy i pilny.
| Aspekt | Powiadomienie o naruszeniu ochrony danych | Informacja o przejrzystości |
|---|---|---|
| Wyzwalacz | Incydent bezpieczeństwa | Zbieranie/przetwarzanie danych |
| Termin | 72 godziny (do organu) | Przed/w momencie zbierania |
| Odbiorcy | Organ + poszkodowane osoby | Wszystkie osoby, których dane dotyczą |
| Cel | Reagowanie na incydent | Ciągła przejrzystość |
Powiązane terminy
- Dane osobowe
- Organ ochrony danych
- Administrator
- Podmiot przetwarzający
- Zgodność z RODO
- Techniki targetowania
- Środki bezpieczeństwa
- Organ nadzorczy
- Informacja o ochronie prywatności
- Prawa osób, których dane dotyczą