Kiedy i komu należy zgłaszać naruszenie ochrony danych osobowych?

ODPOWIEDŹ FORMALNA

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie nie jest wymagane, jeśli: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; lub c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek.

ODPOWIEDŹ PRAKTYCZNA

W razie incydentu, należy jak najszybciej usunąć jego skutki, opisać jego okoliczności i planowaną reakcję, a jeśli występuje taki obowiązek – zgłosić naruszenie wraz z wymaganą dokumentacją, w ciągu 72 godzin organowi nadzorczemu i bez zbędnej zwłoki - osobom, których dotyczą dane objęte naruszeniem. Naruszenia nie zgłaszamy organowi nadzorczemu, jeśli jest mało prawdopodobne, by w wyniku incydentu (np. utraty danych), mogło dojść do naruszenia praw osób fizycznych. Naruszenia nie zgłaszamy osobom, których dotyczą dane objęte incydentem, jeśli a) jesteśmy w stanie wykazać, że nie występuje wysokie ryzyko naruszenia ich praw, b) zabezpieczyliśmy odpowiednio dane objęte naruszeniem, np. uniemożliwiając dostęp osobom nieuprawnionym), lub c) wyeliminowaliśmy prawdopodobieństwo wysokiego ryzyka naruszenia praw osób, których dane są objęte incydentem. Jeśli zawiadomienie wszystkich osób wymagałoby niewspółmiernie dużego wysiłku, to jako alternatywę można zastosować publiczny komunikat lub równie skuteczny środek komunikacji.

Niezależnie, czy zgłaszamy incydent, musimy go odnotować

-
Udostępnij na: -

Najpopularniejsze

Najnowsze na blogu