W jakim terminie należy zgłosić incydent ochrony danych osobowych

Wydaje się, że ustalenie terminu zgłoszenia incydentu ochrony danych osobowych nie powinno powodować większych problemów administratorom danych. Przepisy RODO w tym zakresie są stosunkowo precyzyjne. Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

W wytycznych Grupy Roboczej Art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev. 01) wskazano, że do „stwierdzenia” naruszenia dochodzi, kiedy administrator ma wystarczający stopień pewności co do tego, że doszło do zdarzenia zagrażającego bezpieczeństwu danych osobowych.

 Wskazówka!

Z przepisów RODO wynika wprost, że incydenty dotyczące naruszenia danych osobowych należy zgłaszać „bez zbędnej zwłoki”, czyli właściwie najszybciej, jak jesteśmy wstanie je zidentyfikować i zebrać o nich niezbędne informacje do dokonania zgłoszenia.

Termin 72 godzin jest właściwie terminem maksymalnym, w jakim administrator może dokonać zgłoszenia incydentu ochrony danych osobowych.

Jak wskazano w motywie 97 RODO, należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego – zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu.