W przypadku gdy administrator dokona zgłoszenia incydentu po upływie 72 godzin od stwierdzenia naruszenia, powinien wyjaśnić organowi nadzorczemu przyczyny opóźnienia.
Zgodnie z art. 33 ust. 3 RODO zgłoszenie naruszenia do organu nadzorczego powinno zawierać m.in. opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym – w stosownych przypadkach – środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z wytycznych Grupy Roboczej art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev. 01)wynika, że brak dostępu do szczegółowych informacji o incydencie nie powinien stanowić przeszkody dla dokonania terminowego zgłoszenia.
Jeśli zatem w ciągu 72 godzin nie uda się administratorowi danych ustalić wszystkich wymaganych w zgłoszeniu kwestii, powinien on dokonać zgłoszenia, a ewentualne brakujące informacje przekazywać stopniowo, jak tylko uda mu się je uzyskać, bez dalszej zbędnej zwłoki.
Wskazówka!
W sytuacji gdy administrator danych stwierdzi, że doszło do naruszenia ochrony danych osobowych, powinien taki incydent niezwłocznie zgłosić Prezesowi Urzędu Ochrony Danych Osobowych, n...
Dalsza część jest dostępna dla użytkowników z wykupionym planem