Procedura zarządzania incydentami bezpieczeństwa danych osobowych

Procedura zarządzania incydentami bezpieczeństwa

Danych Osobowych w Podmiocie "Słoneczna Polana Sp. z o.o."

I. Definicja naruszenia ochrony Danych Osobowych

1. Incydentem bezpieczeństwa Danych Osobowych, czyli naruszeniem ochrony Danych Osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, np. zagrożenie lub domniemanie nieuprawnionego ujawnienia Danych Osobowych, nieautoryzowany dostęp do Danych Osobowych, niedozwolone: skopiowanie, modyfikacja, zniszczenie, utrata, nieprawidłowe wykorzystanie lub kradzież Danych Osobowych.

2. Incydenty bezpieczeństwa Danych Osobowych dzieli się na¹:

1) naruszenia poufności – nieuprawnione lub przypadkowe ujawnienie lub udostępnienie Danych Osobowych,

2) naruszenia integralności – nieuprawniona lub przypadkowa modyfikacja Danych Osobowych,

3) naruszenie dostępności – przypadkowa lub nieuprawiona utrata dostępu do Danych Osobowych lub ich zniszczenie.

3. Zniszczeniem Danych osobowych jest sytuacja, w której Dane Osobowe przestają istnieć lub przestają istnieć w formie nadającej się do użytku przez Słoneczna Polana Sp. z o.o..

4. Utratą Danych Osobowych jest sytuacja, w której Dane Osobowe mogą nadal istnieć, ale Słoneczna Polana Sp. z o.o. utraciła kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu.

5. Uszkodzenie Danych Osobowych to sytuacja, w której Dane Osobowe uległy zmianie czy zepsuciu lub stały się niekompletne.

6. Naruszeniem zasad ochrony Danych Osobowych jest m.in.:

1) pozostawienie bez dozoru niezamkniętego pomieszczenia, w którym przetwarzane są Dane Osobowe,

2) pozostawienie bez dozoru urządzenia kopiującego podczas kopiowania, skanowania lub drukowania materiałów zawierających Dane Osobowe,

3) pozostawienie bez dozoru nośników, na których zawarte są Dane Osobowe, w miejscu dostępnym dla osób nieupoważnionych do ich przetwarzania,

4) umożliwianie dostępu do Danych Osobowych osobom do tego nieupoważnionym, np. przez możliwość zapoznania się z danymi zawartymi na monitorze komputera stacjonarnego lub przenośnego, w dokumentach lub innych materiałach umieszczonych na biurku lub innej przestrzeni biurowej w sposób umożliwiający zapoznanie się z nimi przez osoby nieupoważnione,

5) przekazywanie nośników papierowych lub elektronicznych zawierających Dane Osobowe osobom nieupoważnionym do ich przetwarzania,

6) przetwarzanie Danych Osobowych w celu przekraczającym nadane upoważnienie,

7) ślady manipulacji lub włamania na drzwiach, oknach, na biurku, na drzwiach szaf i szuflad zamykanych na klucz, w których przechowywane są Dane Osobowe,

8) nietypowe działanie systemu informatycznego,

9) nietypowe komunikaty pojawiające się w systemie informatycznym,

10) utrata danych lub modyfikacja Danych Osobowych.

¹Podział incydentów oraz definicje pojęć pochodzą z Wytycznych Grupy Roboczej Art. 29 w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 679/2017 z kwietnia 2018 r. WP256, s. 5–6.

II. Postępowanie w przypadku zaistnienia incydentu bezpieczeństwa Danych Osobowych

1. W przypadku stwierdzenia incydentu bezpieczeństwa Danych Osobowych lub podejrzenia jego wystąpienia, każdy pracownik, osoba upoważniona oraz każda osoba jest obowiązana do niezwłocznego zawiadomienia o tym Administratora Bezpieczeństwa Informacji lub Inspektora Ochrony Danych.

2. Pracownik może poinformować o incydencie bezpieczeństwa lub uzasadnionym podejrzeniu, że doszło do incydentu bezpieczeństwa, swojego przełożonego. Wówczas przełożony niezwłocznie przekazuje wszystkie niezbędne informacje Administratorowi Bezpieczeństwa Informacji lub Inspektorowi Ochrony Danych.

3. Po uzyskaniu informacji o incydencie bezpieczeństwa lub prawdopodobieństwie jego zajścia, Administrator Bezpieczeństwa Informacji niezwłocznie podejmuje wszystkie niezbędne działania mające na celu ustalenie wszystkich okoliczności zdarzenia, jego przyczyny i możliwych skutków oraz informuje o swoich ustaleniach Słoneczna Polana Sp. z o.o., a jeżeli w Słoneczna Polana Sp. z o.o. została powołana Inspektor Ochrony Danych – informuje Inspektora Ochrony Danych.

4. Jeżeli naruszenie dotyczy Danych Osobowych, wobec których Słoneczna Polana Sp. z o.o. jest podmiotem przetwarzającym, Słoneczna Polana Sp. z o.o. niezwłocznie informuje o tym administratora danych, który powierzył Słoneczna Polana Sp. z o.o. przetwarzanie tych Danych Osobowych.

5. Jeżeli naruszenie dotyczy Danych Osobowych, wobec których Słoneczna Polana Sp. z o.o. jest administratorem danych, Administrator Bezpieczeństwa Informacji przystępuje do oceny prawdopodobieństwa naruszenia praw lub wolności osób, których Dane Osobowe dotyczą.

III. Ocena prawdopodobieństwa naruszenia praw lub wolności osób, których Dane Osobowe dotyczą

1. Administrator Bezpieczeństwa Informacji dokonuje oceny ryzyka incydentu bezpieczeństwa, tj. oceny, czy:

1) jest mało prawdopodobne, aby doszło do naruszenia praw i wolności osób fizycznych;

2) zachodzi wysokie ryzyko naruszenia praw i wolności osób fizycznych,

3) zachodzi jedna lub więcej okoliczności wyłączających obowiązek poinformowania osób, których dane osobowe dotyczą.

2. Skutki incydentu bezpieczeństwa Danych Osobowych mogą być fizyczne, materialne lub niematerialne i mogą obejmować²:

1) utratę kontroli nad Danymi Osobowymi przez osoby, których Dane Osobowe dotyczą,

2) ograniczenie przysługujących praw osób, których Dane Osobowe dotyczą,

3) dyskryminację,

4) kradzież lub sfałszowanie tożsamości,

5) straty finansowe,

6) nieupoważnione odwrócenie pseudonimizacji,

7) naruszenie dobrego imienia,

8) utratę poufności Danych Osobowych chronionych tajemnicą zawodową,

9) znaczący niekorzystny wpływ ekonomiczny lub społeczny na osoby, których Dane Osobowe dotyczą.

3. Administrator Bezpieczeństwa Informacji dokonuje oceny ryzyka incydentu bezpieczeństwa Danych Osobowych na podstawie:

1) prawdopodobieństwa zaistnienia ryzyka: czy do incydentu doszło poprzez celowe czy przypadkowe działanie, czy incydent wydarzył się wobec klienta, kontrahenta czy pracownika;

2) powagi ryzyka naruszenia praw lub wolności osób fizycznych. Powagę ryzyka ocenia się, uwzględniając:

a) rodzaj naruszenia: naruszenie poufności, dostępności, integralności,

b) charakter i wrażliwość Danych Osobowych, np. dane ujawniające tożsamość, dane finansowe, dane pracownicze, dane biometryczne, dane o stanie zdrowia, dane dotyczące preferencji seksualnych, geolokalizacja, informacja o korzystaniu z określonych usług,

c) ilość Danych Osobowych, tj. jaki zakres Danych Osobowych został objęty incydentem,

d) łatwość identyfikacji osób fizycznych, tj. czy Dane Osobowe objęte incydentem pozwalają na identyfikację osób, czy o tych osobach inne dane osobowe są publicznie dostępne, czy łatwo można dokonać połączenia Danych Osobowych objętych Incydentem z innymi danymi osobowymi publicznie dostępnymi,

e) powagę konsekwencji dla osób fizycznych: kradzież lub zafałszowanie tożsamości, utrata reputacji, szantaż, upokorzenie, naruszenie dobrego imienia oraz długości trwania konsekwencji,

f) cechy szczególne osoby fizycznej: czy osobami fizycznymi, których dotyczy incydent, są osoby małoletnie, np. dzieci, uczniowie, osoby szczególnie narażone na dyskryminację,

g) cechy szczególne Słoneczna Polana Sp. z o.o.: czy Słoneczna Polana Sp. z o.o. działa w branży medycznej ochrony osób, których Dane Osobowe przetwarza, np. jest podmiotem objętym tajemnicą lekarską, adwokacką, np. radca prawny, notariusz, psycholog, psychoterapeuta, płatniczą, czy działa w sektorze, który może narazić na dyskryminację swoich klientów,

h) liczba osób fizycznych objętych naruszeniem, np. 10, 50, 100 osób.

4. Słoneczna Polana Sp. z o.o. przyjmuje, że zachodzi wysokie prawdopodobieństwo naruszenia praw lub wolności osób, których Dane Osobowe dotyczą, jeżeli incydent bezpieczeństwa dotyczy:

1) Danych Osobowych wrażliwych lub informacji o stanie zdrowia lub orientacji seksualnej;

2) Danych Osobowych umożliwiających kradzież tożsamości, tj. co najmniej:

a) imię i nazwisko, numer PESEL,

b) imię i nazwisko lub numer PESEL oraz numer dowodu osobistego,

c) imię i nazwisko lub numer PESEL oraz nazwisko panieńskie matki,

d) imię i nazwisko, adres zamieszkania, numer telefonu oraz adres e-mail;

3) loginu i hasła, niezależnie od tego, do jakich zasobów;

4) numeru karty płatniczej wraz z jakąkolwiek dodatkową informacją;

5) indywidualnych ustawień prywatności lub historii wyszukiwania wraz z informacją o usługach, z których użytkownik korzysta;

6) informacji o geolokalizacji;

7) profili behawioralnych.

5. Po dokonaniu oceny ryzyka incydentu bezpieczeństwa Administrator Bezpieczeństwa Informacji wydaje rekomendację dotyczącą poinformowania Prezesa Urzędu Ochrony Danych Osobowych (PUODO) oraz osób, których Dane Osobowe dotyczą.

6. Przykłady incydentów bezpieczeństwa Danych Osobowych wraz z przykładową oceną, czy należy zgłosić incydent PUODO lub osobom, których Dane Osobowe dotyczą, stanowi załącznik nr 1 do Procedury.

7. Po zakończeniu badania incydentu bezpieczeństwa Administrator Bezpieczeństwa Informacji podejmuje wszystkie niezbędne czynności mające na celu:

1) usunięcie skutków naruszenia,

2) zapobieżenie występowaniu podobnych incydentów ochrony danych osobowych w przyszłości.

8. Po zakończeniu badania incydentu bezpieczeństwa Administrator Bezpieczeństwa Informacji wydaje rekomendacje w zakresie:

1) przeprowadzenia oceny skutków,

2) zastosowania innych lub dodatkowych środków ochrony przetwarzanych danych osobowych.

9. Jeżeli w Słoneczna Polana Sp. z o.o. nie została powołana Inspektor Ochrony Danych, rekomendacje, o których mowa w ustępie powyżej, wydaje Administrator Bezpieczeństwa Informacji.

10. Administrator Bezpieczeństwa Informacji prowadzi rejestr incydentów bezpieczeństwa Danych Osobowych, w którym odnotowuje wszystkie naruszenia oraz podejrzenia naruszeń, niezależnie od tego, czy fakt dokonania naruszenia potwierdził się, czy naruszenie podlega obowiązkowi poinformowania PUODO lub osób, których Dane Osobowe dotyczą.

11. Rejestr incydentów zawiera co najmniej:

1) okoliczności zdarzenia: przyczyny i przebieg zdarzenia,

2) skutki i konsekwencje zdarzenia,

3) podjęte działania naprawcze zdarzenia,

4) podjęte działania zaradcze na przyszłość.

12. Wzór rejestru incydentów stanowi załącznik nr 2 do Procedury.

IV. Zgłoszenie incydentu bezpieczeństwa Danych Osobowych do PUODO

1. Jeżeli naruszenie dotyczy Danych Osobowych, których Słoneczna Polana Sp. z o.o. jest administratorem danych, Słoneczna Polana Sp. z o.o. niezwłocznie, lecz nie później niż w ciągu 72 godzin, informuje o tym PUODO, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

2. Zgłoszenie do PUODO musi co najmniej:

1) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

2) zawierać imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

3) opisywać możliwe konsekwencje incydentu bezpieczeństwa,

4) opisywać środki zastosowane lub proponowane przez administratora danych w celu zaradzenia incydentowi bezpieczeństwa, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

3. W przypadku transgranicznego przetwarzania Danych Osobowych objętych incydentem bezpieczeństwa Słoneczna Polana Sp. z o.o. informuje PUODO oraz wszystkie organy nadzorcze właściwe ze względu na prawdopodobną lokalizację osób, których Dane Osobowe objęte incydentem bezpieczeństwa dotyczą.

4. Zgłoszenia dokonuje się przez dedykowane kanały komunikacji dostarczone przez PUODO:

1) przez wypełnienie jednego z dwóch dostępnych formularzy: formularza ogólnego lub formularza uproszczonego, dostępnych na stronie: bip.uodo.gov.pl,

2) a następnie poprzez wysłanie wypełnionego formularza przez platformę ePUAP lub elektroniczną skrzynkę podawczą ESP, do których linki znajdują się na stronie bip.uodo.gov.pl.

5. Wzór formularza ogólnego stanowi załącznik nr 3 do Procedury.

6. Jeżeli Słoneczna Polana Sp. z o.o. podlega również innym przepisom, na mocy których ma obowiązek informowania innych organów nadzoru o incydentach bezpieczeństwa, Administrator Bezpieczeństwa Informacji ma obowiązek niezwłocznie poinformować właściwe osoby odpowiedzialne za zarządzanie poszczególnymi incydentami i ściśle z nimi współpracować. Obowiązki te mogą wynikać np. z:

1) ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2022 r. poz. 1648 ze zm.),

2) ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) (UODO),

3) rozporządzenia RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylające dyrektywę 95/46/WE,

4) ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000).

V. Zgłoszenie incydentu bezpieczeństwa Danych Osobowych osobom, których Dane Osobowe dotyczą

1. Jeżeli incydent bezpieczeństwa może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, Słoneczna Polana Sp. z o.o. bez zbędnej zwłoki zawiadamia o tym naruszeniu osoby, których Dane Osobowe dotyczą, chyba że zachodzi okoliczność zwalniająca z tego obowiązku, zgodnie z art. 34 RODO.

2. Naruszeniem niewymagającym zgłoszenia jest w szczególności:

1) utrata lub kradzież zaszyfrowanych Danych Osobowych, jeżeli sposób szyfrowania spełnia standard AES-256, nie utracono klucza szyfrującego i Słoneczna Polana Sp. z o.o. nie ma podstaw, by podejrzewać, że klucz szyfrujący został złamany,

2) bezprawne ujawnienie Danych Osobowych, które już wcześniej były zanonimizowane lub publicznie dostępne (zgłoszenie może być wymagane innemu organowi nadzoru na podstawie innych przepisów prawa, lecz nie jest wymagane do PUODO).

3. Zawiadomienie osób, których Dane Osobowe dotyczą, odbywa się zgodnie z zasadą przejrzystości i zawiera co najmniej:

1) ogólny opis incydentu,

2) możliwe konsekwencje Incydentu,

3) opis środków podejmowanych przez Słoneczna Polana Sp. z o.o. w celu ograniczenia lub odwrócenia skutków Incydentu,

4) dane kontaktowe do Inspektora Ochrony Danych, a jeżeli nie powołano Inspektora Ochrony Danych – do Administratora Bezpieczeństwa Informacji,

5) wskazówki, co osoba może lub powinna zrobić, aby zapobiec negatywnym skutkom Incydentu lub je zminimalizować.

4. Osobę, której Dane Osobowe dotyczą, informuje się niezwłocznie po zaistnieniu Incydentu, bezpośrednio w formie:

1) e-maila,

2) listu poleconego,

3) telefonu,

4) jeżeli nie ma innej, szybszej możliwości – za pomocą ogłoszenia na stronie internetowej.

5. W szczególnych przypadkach Słoneczna Polana Sp. z o.o., po akceptacji Inspektora Ochrony Danych, może zastosować komunikat prasowy o incydencie bezpieczeństwa Danych Osobowych.

6. Słoneczna Polana Sp. z o.o. wstrzymuje dokonanie zawiadomienia o incydencie bezpieczeństwa Danych Osobowych, jeżeli otrzymała takie zalecenie od PUODO lub od Policji.

7. Słoneczna Polana Sp. z o.o. nie dokonuje zawiadomienia o incydencie bezpieczeństwa, jeżeli:

1) nie ma wystarczających informacji umożliwiających skontaktowanie się z osobą za pomocą jakiegokolwiek środka komunikacji,

2) administrator danych wdrożył przed naruszeniem odpowiednie techniczne i organizacyjne środki ochrony Danych Osobowych, w szczególności środki uniemożliwiające ich odczyt przez osoby nieuprawnione, środki uniemożliwiające osobom nieuprawnionym dostęp do nich, np. szyfrowanie zgodne z aktualnym stanem wiedzy technicznej, silne hasła, uwierzytelnianie dwuskładnikowe,

3) niezwłocznie po naruszeniu Słoneczna Polana Sp. z o.o. podjęła kroki w celu zapewnienia, że nie ma prawdopodobieństwa wystąpienia wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej, której Dane Osobowe dotyczą, np. niezwłocznie zablokowała osobę, która uzyskała dostęp do Danych Osobowych, i podjęła kroki prawne przeciwko takiej osobie jeszcze zanim zdoła ona cokolwiek zrobić z Danymi Osobowych,

4) skontaktowanie się z osobami, których Dane Osobowe dotyczą, wymagałoby nieproporcjonalnego wysiłku – wówczas można zastosować ogłoszenie publiczne.

VI. Postanowienia końcowe

Niniejsza Procedura zgodnie z art. 33 RODO obowiązuje od 25.05.2023

Przykłady incydentów bezpieczeństwa Danych Osobowych wraz z przykładową oceną, czy należy zgłosić Incydent PUODO lub osobom, których Dane Osobowe dotyczą³

Przykład | Czy należy zgłosić naruszenie [URZĄD]? | Czy należy zawiadomić [OSOBA]? | Uwagi/rekomendacje

--- | --- | --- | ---

Administrator danych przechowywał kopie zapasowe danych klientów na zaszyfrowanym dysku zewnętrznym. Dysk został zgubiony podczas transportu. | Nie | Nie | Jeżeli dane są zaszyfrowane za pomocą algorytmu AES-256 zgodnego ze stanem wiedzy technicznej, istnieją kopie zapasowe danych, a dane mogą zostać odtworzone we właściwym czasie, może to być naruszenie niepodlegające obowiązkowi zgłoszenia. Jeżeli jednak w późniejszym czasie coś zagrozi temu bezpieczeństwu, zgłoszenie będzie wymagane.

Administrator danych prowadzi sklep internetowy. Dane osobowe klientów zostały wykradzione w wyniku ataku hakerskiego. Administrator danych ma klientów w jednym państwie członkowskim. Z powodu błędu w oprogramowaniu sklepu internetowego w jednym państwie członkowskim klienci nie mogli się zalogować i uzyskać dostępu do swoich danych. | Tak, należy zgłosić nadzorczemu, istnieje prawdopodobieństwo szkód fizycznych, ponieważ doszło do wycieku danych. | Tak, należy poinformować osoby, których dane naruszono. | Należy monitorować prawdopodobieństwo nadużyć. Np. zablokować konta bankowe, a także inne działania mające na celu zmniejszenie ryzyka. Administrator musi spełnić inne obowiązki odnośnie do bezpieczeństwa, np. na mocy dyrektywy w sprawie sieci i informacji, jeśli jest dostawcą usług cyfrowych.

Na serwerze administratora danych przeprowadzono atak ransomware, za pomocą którego wszystkie dane zostały zaszyfrowane. Nie istnieją kopie zapasowe serwera i nie można odzyskać danych. W toku dochodzenia staje się jasne, że ransomware jedynie szyfruje dane, a w systemie nie zainstalowano żadnego oprogramowania szpiegującego. | Tak, należy zgłosić nadzorczemu, jeżeli istnieje możliwość szkód fizycznych, ponieważ doszło do wycieku danych. | Tak, należy poinformować osoby w zależności od rodzaju danych i możliwych konsekwencji oraz, jeżeli prawdopodobieństwo konsekwencji dla osób jest wysokie. | Jeżeli istniały kopie zapasowe i możliwe jest odtworzenie danych w odpowiednim czasie, o wycieku nie trzeba informować naruszenia organu nadzorczemu ani powiadamiać osób, których dane naruszono, ponieważ nie doszło do trwalej utraty danych lub poufności. Niemniej jeśli organ nadzorczy stwierdzi naruszenie innymi kryteriami, może zażądać wyjaśnień w celu oceny zgodności z szerszymi wymogami bezpieczeństwa wynikającymi z art. 32 RODO.

Osoba dzwoni na infolinię firmy, by uzyskać kopię swojego rachunku. Osoba ta podaje dokument tożsamości dla kogoś innego. Administrator danych przeprowadza dochodzenie (tj. analizę logów w ciągu 24 godzin) i ustala z pewnością, że doszło do wycieku danych i może istnieć luka w systemie, w związku z którym wyciekły dane innych osób. | Należy poinformować tylko te osoby – jeżeli prawdopodobieństwo i skala szkód jest wysoka, a administrator danych musi dodatkowo powiadomić organ nadzoru. | Jeżeli w toku dalszego dochodzenia okaże się, że wyciekło więcej danych i więcej osób, należy powiadomić wszystkie osoby, których dane naruszono, a administrator musi dodatkowo powiadomić organ nadzoru.

Administrator danych prowadzi usługę i ma użytkowników w wielu państwach członkowskich. Na serwerze usługi przeprowadzono atak DDoS, w wyniku którego w jednym państwie członkowskim wyciekły imiona, nazwiska i adresy e-mail. | Tak, należy zgłosić naruszenie PUODO, jeżeli w grę wchodzi szkoda majątkowa. | Tak, ponieważ administrator danych musi monitorować prawdopodobieństwo nadużyć. Np. zablokować dane konta bankowe, a także inne działania mające na celu zmniejszenie ryzyka. Administrator musi spełnić inne obowiązki odnośnie do bezpieczeństwa.

Firma "Zielony Gaj" jako administrator danych, przetwarza dane osobowe pracowników, na których ma ona podpisane umowy o pracę w jednym państwie kontrolującym przestrzeganie przepisów o ochronie danych. Na skutek awarii każdy pracownik uzyskał dostęp do danych wszystkich pracowników. | Firma "Zielony Gaj", jako administrator danych, musi poinformować o incydencie PUODO. | Zakładając, że firma "Zielony Gaj" nie ma prawdopodobieństwa utraty kontroli nad swoimi danymi (podmiot prawdopodobnie przetwarzający) musi powiadomić administratora (oraz PUODO) bez zbędnej zwłoki. | Administrator danych powinno mieć pewność co do tego, czy doszło do wycieku, a zatem, czy można powiadomić organ w chwili otrzymania powiadomienia od firmy "Zielony Gaj" (podmiot przetwarzający). Administrator musi poinformować o incydencie PUODO.

Z powodu awarii serwera dane firmy są niedostępne przez 24 godziny. Istnieje wysokie prawdopodobieństwo zagrożenia dobrostanu i bezpieczeństwa osób. | Tak, firma jest zobowiązana do poinformowania o incydencie PUODO. | Tak, należy poinformować osoby, których dane naruszono. |

W wyniku włamania wyciekły dane dużej liczby osób do ponad 1000 osób za pomocą wykradzionej listy dystrybucyjnej. | Tak, należy zgłosić naruszenie PUODO. | Tak, należy poinformować osoby w zależności od skali i rodzaju naruszonych danych oraz skali możliwych konsekwencji.

W ramach kampanii marketingowej wysłano wiadomości e-mail z danymi do subskrybentów newslettera w polu „DW”, a nie w polu „UDW” („BCC”), dając tym samym każdemu subskrybentowi wgląd w dane innych subskrybentów. | Tak, PUODO może uznać za naruszenie jeżeli ucierpiała duża liczba osób, wyciekły dane wrażliwe (np. lista pacjentów specjalisty) lub wystąpiły inne czynniki zwiększające ryzyko (np. wiadomość e-mail zawierała dane medyczne). | Powiadomienie nie musi być fizyczne w zależności od konieczne, jeżeli nie wyciekły żadne dane wrażliwe oraz skali konsekwencji.

²Wykaz skutków incydentów pochodzi z Wytycznych Grupy Roboczej Art. 29 w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 679/2017 z kwietnia 2018 r. (WP256).

³Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych na mocy rozporządzenia 2016/679 z kwietnia 2016 r., zmienione i przyjęte w październiku 2017 r. (WP250), s. 31–33.