Czy dostawca usług telekomunikacyjnych musi prowadzić rejestr naruszeń danych osobowych?

21 cze 2018
Czy dostawca usług telekomunikacyjnych musi prowadzić rejestr naruszeń danych osobowych?/ fot. Fotolia
Co należy rozumieć przez naruszenie danych osobowych? Kto i w jakim terminie powinien powiadomić Prezesa UODO o naruszeniu danych osobowych? Czy dostawca usług telekomunikacyjnych musi prowadzić rejestr naruszeń danych osobowych? Na te pytania odpowiedział UODO.

Firmy telekomunikacyjne to jedne z podmiotów, które - w przypadku stwierdzenia naruszenia ochrony danych osobowych - są zobowiązane zawiadamiać o tym Prezesa Urzędu Ochrony Danych Osobowych, a czasami również osoby, których ono dotyczy. Poniżej wyjaśniamy, kiedy i jak to robić.

Polecamy: RODO dla samorządu i administracji. Wzory dokumentów z objaśnieniami

W świetle przepisów:

  • unijnego ogólnego rozporządzenia o ochronie danych, czyli RODO,
  • Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, zwanego dalej też „rozporządzeniem Komisji (UE) Nr 611/2013”,
  • ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne,

dostawcy publicznie dostępnych usług telekomunikacyjnych nie tylko muszą chronić dane osobowe osób korzystających z ich usług, ale także w przypadku stwierdzenia naruszenia ochrony danych osobowych zobligowani są powiadomić o tym fakcie krajowe organy nadzorcze, w Polsce - Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO). Dodatkowo w niektórych przypadkach konieczne jest również powiadomienie abonenta lub użytkownika końcowego, którego dane zostały naruszone.

Zobacz również:

Nadrzędnym celem każdego zgłoszenia naruszenia organowi nadzorczemu jest ochrona praw i wolności osób fizycznych. Niezmiernie ważną kwestią w tym przypadku jest czas reakcji administratora, tj. jak najszybsze powiadomienie o naruszeniu organu nadzorczego oraz - jeśli to konieczne - powiadomienie o naruszeniu osób, których dane dotyczą.

Poniżej zamieszczamy zestawienie pomocnych wskazówek dotyczących obowiązku zgłaszania naruszeń danych osobowych w sektorze telekomunikacyjnym.

Co należy rozumieć przez naruszenie danych osobowych?

Przez naruszenie danych osobowych rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w związku ze świadczeniem przez przedsiębiorcę telekomunikacyjnego publicznie dostępnych usług telekomunikacyjnych.

Zobacz również:

Kto i w jakim terminie powinien powiadomić Prezesa UODO o naruszeniu danych osobowych?

Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych. Naruszenie danych osobowych powinno być zgłoszone niezwłocznie, ale nie później niż 24 godziny po wykryciu naruszenia. Termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013. Ponieważ jest on krótszy niż termin wskazany w RODO, to przedsiębiorcy telekomunikacyjni powinni dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w terminie 24, a nie 72 godzin.

W jaki sposób można zawiadomić Prezesa UODO o wystąpieniu naruszenia?

Zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO dokonuje się elektronicznie za pomocą odpowiedniego formularza dostępnego na stronie internetowej urzędu pod linkiem https://uodo.gov.pl/pl/134/233. Formularz ten zawiera wszystkie wymagane informacje, o których mowa w art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013.

Autopromocja

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie

Sprawdź

Kiedy i w jakim celu trzeba zawiadomić o naruszeniu osoby, których dane dotyczą?

Zgodnie z rozporządzeniem Komisji (UE) Nr 611/2013, jeśli istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, dostawca publicznie dostępnych usług telekomunikacyjnych, oprócz powiadomienia Prezesa UODO, niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego. Zawiadomienie abonenta lub osoby fizycznej następuje bez zbędnej zwłoki po wykryciu naruszenia ochrony danych osobowych przez administratora.

Co powinno zawierać zawiadomienie skierowane do abonenta?

Zgodnie z art. 3 ust. 4 rozporządzenia Komisji (UE) Nr 611/2013, w powiadomieniu skierowanym do abonenta lub osoby fizycznej dostawca zawiera takie informacje, jak:

  1. nazwa dostawcy;
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;
  3. streszczenie zdarzenia, w wyniku którego doszło do naruszenia danych osobowych;
  4. przybliżona data zdarzenia;
  5. charakter i treść danych osobowych, zgodnie z art. 3 ust. 2 rozporządzenia;
  6. prawdopodobne konsekwencje naruszenie danych osobowych dla danego abonenta lub osoby fizycznej, zgodnie z art. 3 ust. 2 rozporządzenia;
  7. okoliczności naruszenia danych osobowych, zgodnie z art. 3 ust. 2 rozporządzenia;
  8. środki wprowadzone przez dostawcę w celu zaradzenia naruszeniu ochrony danych osobowych;
  9. środki zalecane przez dostawcę w celu złagodzenia ewentualnych niekorzystnych skutków.

Kiedy nie ma obowiązku informowania osób, których dane dotyczą, o naruszeniu ochrony danych?

„Zawiadomienie abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona (na podstawie art. 174a ust. 5 Prawa telekomunikacyjnego).

Co w przypadku, gdy administrator nie zawiadomił abonenta o fakcie naruszenia danych?

Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes UODO może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.

Czy dostawca usług telekomunikacyjnych musi prowadzić rejestr naruszeń danych osobowych?

Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań. Rejestr ten powinien obejmować następujące elementy:

  1. opis charakteru naruszeń danych osobowych;
  2. informacje o zaleconych przez dostawcę usług środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszeń danych osobowych;
  3. informacje o działaniach podjętych przez dostawcę usług telekomunikacyjnych;
  4. informacje o fakcie poinformowania lub braku poinformowania abonenta o wystąpieniu naruszenia danych osobowych;
  5. opis skutków naruszenia danych osobowych;
  6. opis zaproponowanych przez „dostawcę" środków naprawczych.

Sektor publiczny
W lasach zwiększone ryzyko powstania pożaru. O czym pamiętać w majówkę?
30 kwi 2024

W majówkę w lesie powinniśmy zachować szczególną ostrożność. Gdzie ryzyko pożaru jest największe?

Czy bon energetyczny będzie opodatkowany? Pojawi się uzupełnienie przepisów ustawy
30 kwi 2024

Ustawa o bonie energetycznym została już przygotowana, a więc znane są warunki, na jakich będzie przyznawane to nowe świadczenie. Minister klimatu i środowiska Paulina Hennig-Kloska deklaruje również, że nie ma planów opodatkowania beneficjentów bonu energetycznego, a odpowiednie uzupełnienie znajdzie się w ustawie.

Jest nowy prezes ZUS. Kim jest Zbigniew Derdziuk?
30 kwi 2024

Zbigniew Derdziuk rozpoczął pracę na stanowisku prezesa Zakładu Ubezpieczeń Społecznych - poinformował we wtorek ZUS. Akt powołania wręczyli Derdziukowi wiceminister rodziny Sebastian Gajewski oraz przewodniczący Rady Nadzorczej ZUS Liwiusz Laska.

Co robić w majówkę w Warszawie? Będzie dużo atrakcji
30 kwi 2024

Majówka w Warszawie. Jakie atrakcje czekają na warszawiaków i turystów w czasie długiego majowego weekendu? 

Eksperci ostrzegają: Ceny kakao będą dalej rosnąć. Konsekwencje dla rynku spożywczego i kosmetycznego
29 kwi 2024

Cena kakao na rynku jest w stanie stałego wzrostu, a prognozy nie napawają optymizmem. Według raportu UCE Research i WSB Merito, do końca roku cena kakao może przekroczyć 12-13 tysięcy dolarów za tonę, a nawet zbliżyć się do 15 tysięcy dolarów. Obecnie już przekracza 11 tysięcy dolarów za tonę. Co stoi za tym trendem i jakie konsekwencje to niesie?

Tak będzie wyglądała majówka w stolicy. Przegląd najważniejszych wydarzeń
29 kwi 2024

Zbliża się długi majowy weekend, a Warszawa szykuje się na wiele uroczystości i wydarzeń. Oto przegląd najważniejszych wydarzeń, które odbędą się w stolicy w najbliższych dniach.

Odpady budowlane i rozbiórkowe nie będą musiały być od razu segregowane. Jest projekt ustawy.
29 kwi 2024

Odpady budowlane i rozbiórkowe nie będą musiały być od razu segregowane. Zapobiegnie to wzrostowi kosztu ich odbioru oraz nielegalnemu porzucaniu śmieci. Samorządy będą też mogły otrzymać więcej środków z budżetu na likwidację nielegalnych wysypisk.

Bon energetyczny przyjęty przez rząd. Ma mieć wartość od 300 do 1200 zł, przy progach dochodowych 2500 lub 1700 zł na osobę w gospodarstwie
29 kwi 2024

Ustawa o bonie energetycznym została przyjęta przez Stały Komitet Rady Ministrów. Jak wynika z nowych regulacji bon energetyczny będzie świadczeniem dla gospodarstw domowych, których dochody nie przekraczają 2500 zł na osobę w gospodarstwie jednoosobowym, albo 1700 zł na osobę w gospodarstwie wieloosobowym. Wartość bonu energetycznego to przedział od 300 do 1200 zł. Wniosek o wypłatę bonu będzie można złożyć od 15 lipca do 30 września 2024 r.

Jak zapłacić 100 zł zamiast 460 zł za bilet z Warszawy do Wiednia? Rusza wielka akcja PKP Intercity
29 kwi 2024

Ministerstwo Infrastruktury informuje o kampanii "20 tysięcy biletów na 20 lat Polski w Unii Europejskiej", która inauguruje obchody rocznicy 20-lecia obecności Polski w UE w obszarze infrastruktury. W ramach promocyjnej oferty PKP Intercity będzie można nawet za 20 proc. ceny regularnej udać się pociągiem do Wiednia, Pragi, Berlina czy Budapesztu.

Majówka z mObywatelem. Zobacz, jak wykorzystać aplikację w hotelu, pociągu czy wypożyczalni sprzętu sportowego
29 kwi 2024

W okresie majówki, kiedy większość z nas planuje odpoczynek i wyrusza w podróż, warto pamiętać o wygodnych i bezpiecznych narzędziach. Aplikacja mObywatel to nie tylko cyfrowy portfel na dokumenty, ale także wszechstronny asystent, który ułatwia codzienne życie. Dlaczego warto spędzić majówkę z mObywatelem?

pokaż więcej
Proszę czekać...