Powstanie obowiązku zgłoszenia naruszenia ochrony danych osobowych osobie, której dane dotyczą

Administrator zawiadamia osobę, której dane dotyczą, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia jej praw lub wolności.

Wyjątki od obowiązku notyfikacji naruszenia

Jednakże, obowiązek zgłoszenia nie powstaje, jeżeli:

1) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie

2) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

reklama

3) wymagałoby ono niewspółmiernie dużego wysiłku.

Wydanie publicznego komunikatu

Jeżeli administrator nie dokonał zgłoszenia, z uwagi na to, że jego dokonanie wymagałoby niewspółmiernie dużego wysiłku, musi on wydać publiczny komunikat. Za jego pomocą osoba, której dane dotyczą, ma zostać poinformowana w równie skuteczny sposób.

Cechy dokonywanego zgłoszenia

Jeżeli obowiązek dokonania zgłoszenia powstał, ADO ma go dokonać bez zbędnej zwłoki, jasnym i prostym językiem.

Elementy zgłoszenia naruszenia ochrony danych osobowych, kierowanego do osoby, której dane dotyczą

Zgłoszenie naruszenia ochrony danych osobowych, kierowanego do osoby, której dane dotyczą, musi co najmniej:

1) opisywać charakter naruszenia ochrony danych osobowych;

2) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

reklama

3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

4) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Prawo organu nadzorczego, do rozstrzygnięcia o zajściu obowiązku zgłoszenia naruszenia ochrony danych osobowych osobie, której dane dotyczą

Prawo to występuje, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Organ nadzorczy może wtedy:

1) zażądać od administratora dokonania zgłoszenia; lub

2) stwierdzić, że obowiązek zgłoszenia nie powstał.

Podsumowanie

Administrator powinien poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli występuje duże ryzyko, że spowoduje ono uszczerbek dla jej praw lub wolności. Dzięki temu, osoba ta, będzie mogła podjąć niezbędne działania zapobiegawcze. Niezwłoczne poinformowanie, pozwoli zminimalizować bezpośrednie ryzyko wystąpienia szkody. Dlatego też, informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe.