Administrator danych (ADO) wspólnie z inspektorem ochrony danych (IOD), jeżeli został powołany, przeprowadzają ocenę naruszenia. Następnie, jeśli naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych np. jeśli istnieje ryzyko, że naruszenie może prowadzić do kradzieży lub fałszowania tożsamości, straty finansowej, nie później niż w ciągu 72 godzin administrator danych zawiadamia organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Jeżeli ten czas zostanie przekroczony należy dołączyć wyjaśnienie przyczyn opóźnienia). Jeżeli ryzyko naruszenia praw i wolności jest wysokie należy również poinformować osoby, których dane zostały naruszone. Trzeba udzielić im wskazówek co do dalszego postępowania, pomocy w podjęciu przez nich działań zapobiegających lub ograniczających negatywne konsekwencje naruszenia. Wyjątkiem jest sytuacja, kiedy jest mało prawdopodobne, że zdarzenie to będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Decyzję o zgłoszeniu naruszenia do Prezesa Urzędu Ochrony Danych Osobowych w imieniu administratora danych podejmuje najwyższe kierownictwo. Inspektor ochrony danych pełni jedynie funkcję doradczą w tym zakresie.

Co powinno zawierać zgłoszenie naruszenia ochrony danych osobowych?

Zgłoszenie dotyczące naruszenia ochrony danych osobowych powinno zawierać:

  1. Opis charakteru naruszenia.
  2. Kategorie i przybliżoną ilość osób, których dane dotyczą.

Na stronie internetowej Urzędu Ochrony Danych Osobowych znajduje się gotowy formularz interaktywny do zgłoszenia naruszenia ochrony danych osobowych: https://uodo.gov.pl/pl/134/233.

Jeżeli naruszenie ochrony danych osobowych powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych, jak najszybciej powinien powiadomić o naruszeniu wszystkie osoby, których dane dotyczą. Należy przy tym pamiętać o zasadzie przejrzystości, czyli zawiadomienie powinno być napisane jasnym i prostym językiem i powinno zawierać przede wszystkim:

  1. Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeśli został powołany)
  2. Opis możliwych konsekwencji naruszenia.
  3. Opis środków zastosowane lub proponowane przez administratora danych w celu zaradzeniu naruszenia i jego skutków.

Jak zgłosić naruszenie RODO?

Zgłoszenia można dokonać na cztery sposoby:

  1. Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza zgłoszenia naruszenia ochrony danych osobowych.
  2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP:/UODO/SkrytkaESP.
  3. Elektronicznie poprzez wysłanie wypełnionego formularza (udostępnionego na stronie Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl/134/233) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl lub platformie epuap.gov.pl.
  4. Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.

W sytuacji, kiedy naruszenie obejmuje dane osobowe w różnych krajach Unii Europejskiej, to Prezes Urzędu Ochrony Danych Osobowych może być wiodącym organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien przeprowadzić analizę przypadku, który organ nadzorczy (czy Prezes Urzędu Ochrony Danych Osobowych, czy inny europejski organ nadzorczy) jest wiodący w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem.

Podmiot zgłaszający naruszenie nie może zapomnieć o zasadzie rozliczalności wynikającej z RODO, dlatego musi udokumentować każde naruszenie ochrony danych osobowych w dedykowanym do tego Rejestrze incydentów / naruszeń.

Niezwykle istotne jest dynamiczne działanie. Administrator danych musi ustalić przyczyny zdarzenia, zasięg oraz potencjalne konsekwencje. Następnie niezwykle ważne jest podjęcie decyzji, czy należy o tym zdarzeniu zawiadomić Prezesa UODO oraz osoby, których dane zostały ujawnione.

Brak zgłoszenia naruszenia do organu nadzorczego może skutkować dużo wyższymi karami finansowymi za nieprzestrzeganie przepisów ogólnego rozporządzenia o ochronie danych osobowych. Należy również pamiętać, że administrator ma na to 72 godziny i jeśli do zgłoszenia dojdzie później, to musi dołączyć do niego specjalne wyjaśnienie. Takie sytuacje w naszym kraju miały już miejsce, np.:

  1. Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. – 85.588 zł.
  2. Śląski Uniwersytet Medyczny w Katowicach – 25.000 zł.
  3. Anwara Sp. z o.o. – 21.000 zł.
  4. Sopockie Towarzystwo ERGO HESTIA S.A. – 159.176 zł.
  5. Cyfrowy Polsat S.A – 1.136.975 zł (kontrola PUODO wykazała, że administrator zgłosił naruszenie oraz powiadomił osoby, których dane dotyczą po kilku miesiącach).