Co zrobić, jeśli w ciągu 72 godzin nie uzyskaliśmy wszystkich informacji dotyczących incydentu

W przypadku gdy administrator dokona zgłoszenia incydentu po upływie 72 godzin od stwierdzenia naruszenia, powinien wyjaśnić organowi nadzorczemu przyczyny opóźnienia.

Zgodnie z art. 33 ust. 3 RODO zgłoszenie naruszenia do organu nadzorczego powinno zawierać m.in. opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym – w stosownych przypadkach – środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z wytycznych Grupy Roboczej art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev. 01)wynika, że brak dostępu do szczegółowych informacji o incydencie nie powinien stanowić przeszkody dla dokonania terminowego zgłoszenia.

Jeśli zatem w ciągu 72 godzin nie uda się administratorowi danych ustalić wszystkich wymaganych w zgłoszeniu kwestii, powinien on dokonać zgłoszenia, a ewentualne brakujące informacje przekazywać stopniowo, jak tylko uda mu się je uzyskać, bez dalszej zbędnej zwłoki.

Wskazówka!

W sytuacji gdy administrator danych stwierdzi, że doszło do naruszenia ochrony danych osobowych, powinien taki incydent niezwłocznie zgłosić Prezesowi Urzędu Ochrony Danych Osobowych, nawet jeśli nie ma wszystkich wymaganych informacji.

Przepisy RODO przewidują możliwość, że administrator danych będzie przekazywał informacje stopniowo, w miarę jak uda mu się je uzyskać.

Warto pamiętać o tym, że jeśli administrator danych dokonuje zgłoszenia incydentu za pomocą formularza dostępnego na stronie Urzędu Ochrony Danych Osobowych – www.uodo.gov.pl/pl/134/233, w sytuacji gdy nie może przekazać pełnych danych o incydencie, powinien w punkcie 1 formularza zaznaczyć pole „zgłoszenie wstępne”, a następnie przekazywać informacje sukcesywnie, w miarę jak uda mu się je pozyskać.

Jest to dobre rozwiązanie w sytuacji, gdy administrator danych nie jest w stanie jednorazowo przekazać wszystkich informacji dotyczących incydentu. Warto pamiętać, że Prezes Urzędu Ochrony Danych Osobowych może zażądać dodatkowych wyjaśnień od administratora danych, gdy uzna, że przekazane informacje są niewystarczające. Natomiast w przypadku gdy admi­nistrator danych zaznacza, że zgłoszenie jest „wstępne”, dla organu nadzorczego jest to sygnał, że dalsze informacje będą przekazywane stopniowo.