W przypadku naruszenia ochrony danych osobowych, administrator zgłasza je właściwemu organowi nadzorczemu.

Jednakże, obowiązek zgłoszenia nie powstaje, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do ADO należy zatem dokonanie samodzielnej oceny, czy zaistniałą sytuację objął obowiązek zgłoszenia.

Termin wykonania obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu

Administrator ma dokonać zgłoszenia bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. To, czy zawiadomienia dokonano bez zbędnej zwłoki, ustala się z uwzględnieniem:

1) charakteru i wagi naruszenia ochrony danych osobowych;

2) jego konsekwencji; oraz

3) niekorzystnych skutków dla osoby, której dane dotyczą.

Elementy zgłoszenia naruszenia ochrony danych osobowych, kierowanego do organu nadzorczego

Zgłoszenie naruszenia ochrony danych osobowych, kierowanego do organu nadzorczego, musi co najmniej:

1) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać:

a) kategorie i przybliżoną liczbę osób, których dane dotyczą; oraz

b) kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

2) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

4) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Dokumentowanie naruszeń ochrony danych osobowych przez administratora

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym:

1) okoliczności naruszenia ochrony danych osobowych;

2) jego skutki; oraz

3) podjęte działania zaradcze.

Dokumentacja ta musi być na tyle szczegółowa, by pozwolić organowi nadzorczemu, na zweryfikowanie przestrzegania obowiązku zgłaszania naruszeń ochrony danych osobowych.

Zatem to na etapie kontroli tych dokumentów, GIODO zbada, czy ADO postąpił zgodnie z prawem, nie zgłaszając mu danego przypadku. Muszą one zatem zawierać dane, wskazujące jednoznacznie, że zachodziło małe prawdopodobieństwo, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgłaszanie naruszeń ochrony danych osobowych administratorowi przez procesora

Procesor po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je administratorowi. Powinien uczynić to bez zbędnej zwłoki.

Obowiązek podmiotu przetwarzającego został tu zatem uregulowany odmiennie. Co najważniejsze, procesor zgłasza ADO wszelkie naruszenia. Administratorowi pozostawiono ocenę ich skali i to, czy na jej podstawie, zdecyduje się zgłosić je do organu nadzorczego. Ponadto, dyrektywa GDPR nie formułuje szczegółowych wymogów, co do elementów takiego zgłoszenia

Sukcesywne przesyłanie informacji o naruszeniu ochrony danych osobowych

Może zdarzyć się, że przesłanie wszystkich informacji o danym naruszeniu ochrony danych osobowych, będzie niemożliwe. Można wtedy udzielać ich sukcesywnie. Dosyłanie brakujących informacji powinno obywać się bez zbędnej zwłoki.

Podsumowanie

Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych. Mogą ją dotknąć na przykład:

1) utrata kontroli nad własnymi danymi osobowymi,

2) ograniczenie praw,

3) dyskryminacja,

4) kradzież lub sfałszowanie tożsamości,

5) strata finansowa,

6) nieuprawnione odwrócenie pseudonimizacji,

7) naruszenie dobrego imienia,

8) naruszenie poufności danych osobowych chronionych tajemnicą zawodową;

9) lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych, administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki. Jeżeli to wykonalne, powinien zrobić to nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

Ponadto należy pamiętać, że zawiadomienie administratora może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w rozporządzeniu GDPR. Odgrywa ono zatem istotną rolę w procesie kontroli działalności ADO.

Related Post