Administratorzy mają obowiązek zgłaszać Prezesowi UODO naruszenia ochrony danych osobowych, które mogą stwarzać ryzyko naruszenia praw lub wolności osób fizycznych.
Zgodnie z motywem 85 RODO natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
Jest już dostępny zaktualizowany poradnik UODO dotyczący naruszeń ochrony danych osobowych https://uodo.gov.pl/pl/138/3561.
Zgodnie z Poradnikiem, może się okazać, że naruszenie ochrony danych osobowy finalnie nie spowoduje naruszenia praw lub wolności osób fizycznych. Ocenie administratorów podlega wyłącznie ryzyko wystąpienia takiej sytuacji, a nie faktycznie powstałe szkody. Aby prawidłowo ocenić ryzyko, administratorzy powinni oszacować:
➢ wagę potencjalnych konsekwencji;
➢ oraz prawdopodobieństwo ich wystąpienia;
uwzględniając następujące okoliczności zdarzenia:
➢ rodzaj naruszenia ochrony danych osobowych83;
➢ charakter, wrażliwość i zakres danych osobowych;
➢ łatwość identyfikacji osób, których dane dotyczą;
➢ dotkliwość konsekwencji dla osób, których dane dotyczą;
➢ cechy szczególne osób, których dane dotyczą;
➢ cechy szczególne administratora;
➢ liczbę osób, których dane dotyczą.
Zgodnie z Poradnikiem, Administratorzy muszą ustalić, czy naruszenie ochrony danych osobowych może
wiązać się z:
➢ brakiem ryzyka;
➢ ryzykiem, co wymaga zgłoszenia go Prezesowi UODO84;
➢ lub wysokim ryzykiem, co oznacza obowiązek zgłoszenia go Prezesowi
UODO oraz zawiadomienia osób, których dane dotyczą.
Brak ryzyka
Zgodnie z Poradnikiem, choć co do zasady naruszenia ochrony danych osobowych stwarzają pewne ryzyko naruszenia praw lub wolności osób fizycznych, zdarzają się sytuacje, w których można jednoznacznie stwierdzić, że takie ryzyko prawdopodobnie nie wystąpi.
Są to przede wszystkim przypadki dotyczące:
➢ ujawnienia danych, które są już publicznie dostępne;
➢ ujawnienia lub utracenia danych zaszyfrowanych w sposób zapewniający ich nieczytelność dla osób nieupoważnionych (jeżeli są one zabezpieczone kluczem, który nie został naruszony, a administrator ma dostęp do ich kopii zapasowej);
➢ incydentów, którym administratorzy definitywnie zaradzili.
Zgłoszenia można dokonać elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl.
Administrator zobowiązany jest do udokumentowania naruszenia. Na podstawie art. 33 ust. 5 RODO Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
Zgodnie z Poradnikiem, każde „stwierdzone” naruszenie ochrony danych osobowych, niezależnie od jego rodzaju, charakteru czy ryzyka negatywnych skutków, powinno zostać dokładnie udokumentowane, tak aby w razie potrzeby móc przedstawić szczegółowy przebieg wydarzeń oraz podjęte kroki. Dzięki temu administratorzy mogą wykazać przed organem nadzorczym, że właściwie przeanalizowali sytuację i skutecznie zadbali o interesy osób, których naruszenie dotyczy.
