Kiedy i komu należy zgłaszać naruszenie ochrony danych osobowych?
ODPOWIEDŹ FORMALNA
W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie nie jest wymagane, jeśli: 1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie; 2. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; lub 3. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku zostaje wydany publiczny komunikat lub zastosowany podobny środek.
ODPOWIEDŹ PRAKTYCZNA
W razie incydentu należy jak najszybciej usunąć jego skutki, opisać jego okoliczności i planowaną reakcję, a także – jeśli występuje taki obowiązek – zgłosić naruszenie wraz z wymaganą dokumentacją bez zbędnej zwłoki, w ciągu 72 godzin, organowi nadzorczemu i osobom, których dotyczą dane objęte naruszeniem. Naruszenia nie zgłasza się organowi nadzorczemu, jeśli jest mało prawdopodobne, by w wyniku incydentu (np. utraty danych) mogło dojść do naruszenia praw osób fizycznych. Naruszenia nie zgłasza się osobom, których dotyczą dane objęte incydentem, jeśli administrator: 1. jest w stanie wykazać, że nie występuje wysokie ryzyko naruszenia ich praw; 2. zabezpieczył odpowiednio dane objęte naruszeniem, np. uniemożliwiając dostęp osobom nieuprawnionym; lub 3. wyeliminował prawdopodobieństwo wysokiego ryzyka naruszenia praw osób, których dane są objęte incydentem. Jeśli zawiadomienie wszystkich osób wymagałoby niewspółmiernie dużego wysiłku, to jako alternatywę można zastosować publiczny komunikat lub równie skuteczny środek komunikacji.
Niezależnie od tego, czy zgłasza się incydent, należy go odnotować.
WIĘCEJ:
- Więcej informacji znajdziesz w artykule: Zarządzanie naruszeniami – plan działania