Obowiązek zgłaszania naruszeń do organu nadzorczego wynika wprost z przepisów RODO. Kwestia ta uregulowana została w art. 33 RODO. Przepis ma przede wszystkim na celu ochronę podstawowych praw i wolności osób fizycznych, a w szczególności ich prawa do ochrony danych osobowych. Zgłoszenia naruszeń mają umożliwić reakcję organu nadzorczego na zaistniałe incydenty oraz pozwolić ograniczyć ich negatywne skutki.
ADMINISTRATOR MA OBOWIĄZEK INFORMOWANIA O INCYDENCIE
Obowiązek informowania o incydencie spoczywa na Administratorze, a warunkiem koniecznym jest wystąpienie naruszenia ochrony danych osobowych, tj. „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Administrator nie musi zgłaszać naruszenia, jeżeli w jego konsekwencji nie występuje ryzyko naruszenia praw i wolności osób fizycznych. Każdy incydent wymaga więc przeprowadzenia stosownej oceny. Administrator, oceniając występowanie obowiązku zgłoszenia naruszenia ochrony danych osobowych, powinien uwzględnić kontekst przetwarzanych danych i okoliczności zdarzenia. Aby rozważyć możliwość wystąpienia szkód oraz krzywd, jakie mogą dotknąć osoby fizyczne wskutek naruszenia.
PRZYKŁADY NARUSZEŃ NIEOBJĘTYCH OBOWIĄZKIEM ZGŁOSZENIA DO UODO
Wśród przykładów naruszeń ochrony danych osobowych, które nie generują ryzyka naruszenia praw lub wolności osób fizycznych wskazać można:
przypadkowe usunięcie danych osobowych w sytuacji, gdy można je bez problemu odzyskać np. odtwarzając z kopii zapasowej,
upublicznienie danych służbowych pracownika,
ujawnienie danych w sytuacji, gdy były one już wcześniej celowo publicznie udostępnione.
ADMINISTRATOR DOKONUJE ZGŁOSZENIA „BEZ ZBĘDNEJ ZWŁOKI”
Przepis stanowi, że o naruszeniu powiadamia się organ „bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”. Stwierdzeniem naruszenia jest ten moment, w którym Administrator powziął wiedzę, że incydent spełnia definicję naruszenia ochrony danych osobowych. Zgłoszenie powinno nastąpić tak szybko, jak umożliwiają to okoliczności danej sprawy, nawet jeśli nie zostały one jeszcze w pełni poznane. Każde nieuzasadnione przekroczenie terminu zgłoszenia będzie działało na niekorzyść Administratora.
DOKONANIE ZGŁOSZENIA PO UPŁYWANIE 72 GODZIN
Prawodawca dopuszcza, aby czas na dokonanie zgłoszenia wynosił więcej niż 72 godziny. Jeżeli nie jest możliwe podjęcie stosownych działań w ciągu 72 godzin, to dopuszczalne jest ich dokonanie po upływie tego czasu. Warunkiem koniecznym jest, aby zaistniałe opóźnienia wynikały z uzasadnionych przyczyn, o których Administrator powinien stosownie poinformować organ nadzorczy.
INFORMOWANIE O INDYDENCIE OSOBY, KTÓREJ DANE DOTYCZĄ
Oprócz organu nadzorczego Administrator ma również obowiązek informowania osób, których dane dotyczą, o ile naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności tych osób. Podobnie jak w przypadku zgłoszenia naruszenia do UODO, Administrator bez zbędnej zwłoki powinien zawiadomić te osoby (obowiązek ten wynika z art. 34 RODO).
Sprawne i szybkie działanie Administratora w takiej sytuacji może mieć duże znaczenie dla ochrony praw i wolności osób fizycznych. Zawiadomienie osób, których dotyczy naruszenie umożliwia podjęcie przez nie działań lub zastosowanie środków, które mogą zminimalizować negatywne skutki naruszenia.
ORGANY NADZORCZE KONSEKWENTNIE KONTROLUJĄ PRZESTRZEGANIE ART. 33 i 34 RODO
W czerwcu 2019 roku szwedzki organ nadzorczy nałożył karę w wysokości 200 000 koron szwedzkich, czyli około 85 000 zł. Ukarany został wtedy szwedzki organ publiczny za zbyt późne powiadomienie organu nadzorczego o naruszeniu ochrony danych. Ustalono, że Administrator powziął wiedzę o wystąpieniu naruszenia już 28 marca 2019 roku, a nieprawidłowości zauważalne były jeszcze w maju tego samego roku.
Kara za naruszenie art. 33 i 34 RODO została nałożona również w Polsce i to nie jeden raz:
JAK UNIKNĄĆ KARY ZA NIEPRZESTRZEGANIE ART. 33 i 34 RODO
Kluczowa w tym aspekcie jest sprawna wewnętrzna obsługa incydentów w organizacji. Każdy incydent dotyczący danych osobowych należy zgłosić do osoby odpowiedzialnej za obszar ochrony danych (np. do Inspektora Ochrony Danych) najlepiej telefonicznie oraz mailowo z podaniem wszystkich szczegółów dotyczących zdarzenia.