Przepisy RODO nakładają na administratora obowiązek notyfikacji naruszeń ochrony danych osobowych organowi nadzorczemu, a w niektórych przypadkach również podmiotowi danych. Dotychczasowe przepisy ustawy o ochronie danych osobowych nie przewidywały analogicznego obowiązku, dlatego administratorzy muszą wdrożyć odpowiednie procedury, które umożliwią im wypełnienie nowych zobowiązań.
Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W wytycznych dotyczących realizacji obowiązku notyfikacji naruszeń, wydanych w październiku 2017 r. przez Grupę Roboczą Artykułu 29, wymieniono przykładowe naruszenia, które, co do zasady, nie będą wymagały zgłoszenia:
- utrata nośnika danych, na którym przechowywano zaszyfrowane dane osobowe – pod warunkiem, że nie został ujawniony zastosowany algorytm szyfrujący oraz administrator posiada kopię utraconych danych;
- krótkookresowy brak dostępu do danych z uwagi na krótką przerwę w zasilaniu.
Ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności człowieka musi dokonać administrator w oparciu o obiektywne kryteria. Analizując możliwe zagrożenia dla podmiotu danych należy uwzględnić w szczególności utratę kontroli nad własnymi danymi osobowymi, dyskryminację, negatywne konsekwencje wizerunkowe, kradzież tożsamości, straty finansowe, czy naruszenie tajemnicy zawodowej.
Jeśli administrator uzna, że istnieje prawdopodobieństwo, że naruszenie będzie skutkowało powstaniem ryzyka dla praw lub wolności osób fizycznych, jest zobowiązany niezwłocznie dokonać zgłoszenia od organu nadzorczego, przy czym zgłoszenie to nie powinno być złożone później niż 72 godziny od stwierdzenia naruszenia.
Zgłoszenie może być wykonywane w etapach, jeśli administrator nie jest w stanie zgromadzić wszystkich niezbędnych informacji, wymaganych do opisu naruszenia w przewidzianym terminie. Zawiadomienie musi bowiem opisywać co najmniej:
- Charakter naruszenia danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
- Możliwe konsekwencje naruszenia zasad ochrony danych,
- Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu lub zminimalizowania ewentualnych negatywnych skutków,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji – jeśli inspektor został powołany lub zorganizowano taki punkt informacyjny.
Jeśli zgłoszenie naruszenia nastąpi po upływie 72 godzin, do zgłoszenia przekazanego organowi nadzorczemu należy dołączyć wyjaśnienie przyczyn opóźnienia.
Przepisy RODO wymagają również, aby podmiot przetwarzający zgłaszał naruszenia ochrony danych osobowych, które zaistniały w obszarze znajdującym się pod kontrolą tego podmiotu. W tym przypadku jednak zgłoszenie kierowane jest do administratora, a nie organu nadzorczego i dotyczy zgłaszania wszystkich naruszeń ochrony danych osobowych, które miały miejsce w podmiocie przetwarzającym, w odniesieniu do danych powierzonych mu przez administratora.
Dla naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora. Dzięki uzyskanym informacjom podmiot danych ma bowiem możliwość szybszej reakcji na zaistniałe naruszenie np. poprzez zmianę swoich haseł dostępowych do określonej usługi.
Zawiadomienie podmiotu danych nie jest wymagane jedynie w przypadkach gdy:
- administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
- wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Niewypełnianie przez administratora lub podmiot przetwarzający obowiązku zgłaszania naruszenia jest zagrożone sankcją w postaci kary pieniężnej w wysokości do 10 000 000 EURO lub do 2% całkowitego światowego obrotu.
Należy również pamiętać, że w każdym przypadku stwierdzenia naruszenia ochrony danych – także wówczas gdy naruszenie nie skutkuje powstaniem obowiązku zgłoszenia naruszenia – administrator, zgodnie z art. 33 ust. 5 RODO, dokumentuje okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta ma na celu umożliwienie organowi nadzorczemu weryfikowanie przestrzegania przepisów dotyczących zgłaszania naruszeń.