Obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego

Wśród nowych obowiązków administratorów danych oraz podmiotów przetwarzających należy zwrócić uwagę na obowiązek notyfikacji naruszeń ochrony danych osobowych, które zgodnie z art. 4 pkt 12 rozporządzenia zostały zdefiniowane jako naruszenia bezpieczeństwa „prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

RODO nie ogranicza się przy stosowaniu obowiązku noty­fikacji do niektórych sektorów, lecz ma powszechny zasięg i obejmuje wszystkich administratorów danych.

Art. 33 ust. 1 rozporządzenia nakłada na administratora danych osobowych obowiązek niezwłocznego zgłoszenia do organu nadzorczego naruszenia zasad ochrony danych osobowych. Takie zgłoszenie administrator danych musi wykonać niezwłocznie, ale nie później niż w 72 godziny po stwierdzeniu naruszenia (a gdy administrator przekroczy ten termin, musi do zgłoszenia dołączyć wyjaśnienie przyczyn zaistnienia opóźnienia).

Nie ma obowiązku zgłaszania naruszenia zasad ochrony danych osobowych, jeżeli na wskutek tego naruszenia jest „mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych” – art. 34 ust. 1 rozporządzenia.

Wynika z tego, że administrator będzie musiał dokonywać oceny skutków naruszenia oraz ponosić związaną z tym odpowiedzialność za właściwą ocenę, czy nastąpiło prawdopodobieństwa ryzyka naruszenia praw lub wolności. Ponadto administrator jest zobowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych w ramach swojej dokumentacji wewnętrznej (niezależnie od tego, czy dane naruszenia podlegało zgłoszeniu, czy nie).

Jeżeli ryzyko naruszenia praw i wolności danej osoby jest wysokie, administrator musi poinformować o tym fakcie także tę osobę, chyba że zachodzą wyjątki przewidziane w art. 34 ust. 3 rozporządzenia. Administrator danych nie będzie miał obowiązku zawiadomienia osób, których dane dotyczą, jeżeli:

  • wdrożył odpowiednie środki ochrony o charakterze technicznym i organizacyjnym oraz zastosował je do danych osobowych, których dotyczy incydent,
  • zastosował środki o charakterze następczym, które eliminują prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby,
  • w sytuacji gdy zawiadomienie poszczególnych osób, których dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku, może być wystarczające wydanie publicznego komunikatu lub zastosowanie podobnego środka, dzięki któremu osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób.