Jak należy liczyć 72 godziny na zgłoszenie naruszenia ochrony danych?

ODPOWIEDŹ

RODO w art. 33 ust. 1 nakłada na administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych. Obowiązek ten powinien zostać wykonany przez administratora bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W opinii Grupy Roboczej Art. 29 (przejętej przez EROD) należy uznać, że administrator stwierdził wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych: „Po otrzymaniu pierwszej informacji o potencjalnym naruszeniu ochrony danych osobowych od osoby fizycznej, organizacji medialnej lub z innego źródła lub po samodzielnym wykryciu incydentu bezpieczeństwa administrator może przeprowadzić krótkotrwałe postępowanie, aby ustalić, czy faktycznie doszło do danego naruszenia. Do momentu zakończenia tego postępowania nie można uznać, że administrator „stwierdził” wystąpienie naruszenia. Oczekuje się jednak, że wstępne postępowanie powinno rozpocząć się możliwie jak najszybciej i doprowadzić do ustalenia z wystarczającą dozą pewności, czy w danym przypadku faktycznie doszło do wystąpienia naruszenia; następnie można przeprowadzić bardziej szczegółowe postępowanie.” (Wytyczne WP 250 rev. 01, s. 12) .

W opisanym przypadku 72 godziny należy liczyć od momentu, w którym IOD posiadł wiedzę o naruszeniu i ustalił, że incydent, który miał miejsce, będzie stanowił naruszenie ochrony danych osobowych.