Na gruncie Ogólnego rozporządzenia o ochronie danych (RODO) obowiązek notyfikacji naruszenia ochrony danych osobowych będzie spoczywał na każdym administratorze danych osobowych.
W przypadku naruszenia ochrony danych osobowych w organizacji, administrator danych bez zbędnej zwłoki, w terminie 72 godzin po stwierdzeniu naruszenia, będzie zobowiązany zgłosić takie naruszenie organowi nadzorczemu, tj. GIODO, chyba że jest mało prawdopodobne, by takie naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Sformułowanie: „naruszenie praw lub wolności osób fizycznych” jest dość tajemnicze, spróbujmy je wyjaśnić.
Naruszeniem praw lub wolności osób fizycznych zgodnie z motywami RODO, będzie m.in. powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Co istotne, to administrator będzie musiał ocenić, (na nim będzie spoczywał ciężar dowodu) czy jest mało prawdopodobne, że dane naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Za niezgłoszenie w terminie 72 godzin organowi nadzorczemu naruszenia będzie groziła kara administracyjna w wysokości do 10.000.000 Euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego – zastosowanie będzie miała wyższa kara. W razie zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin, administrator danych zobowiązany będzie do wyjaśnienia przyczyny opóźnienia.
Wzór zgłoszenia:
Należy również podkreślić, iż obowiązkiem zgłaszania naruszeń ochrony danych osobowych został objęty także podmiot przetwarzający, czyli „procesor”. Będzie on bowiem musiał zgłosić każde naruszenie ochrony danych bezpośrednio administratorowi. W aktualnym stanie prawnym przepisy prawa nie nakładają obowiązku na „procesora” w zakresie informowania administratora o ewentualnych incydentach. Oczywiście taki obowiązek może wynikać już obecnie z umowy powierzenia, która została zawarta pomiędzy administratorem danych, a „procesorem”.
RODO wprowadza wiele zmian i nowości w stosunku do aktualnie obowiązujących przepisów. Chcesz wiedzieć więcej? Zachęcam do lektury książki „Unijna reforma ochrony danych osobowych. Analiza zmian.”