Jak zgłosić naruszenie ochrony danych do PUODO?

  

Od dnia 25 maja 2018 r. administratorzy danych osobowych mają obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Dla polskich firm organem tym jest Prezes Urzędu Ochrony Danych Osobowych.

W celu ułatwienia administratorom realizacji tego obowiązku, na stronie internetowej Urzędu Ochrony Danych Osobowych udostępniony został formularz zgłoszenia naruszenia ochrony danych osobowych. Zgodnie z instrukcją podaną na stronie, zgłoszenia naruszenia dokonuje się elektronicznie, poprzez wypełnienie formularza i załączenie do pisma ogólnego dostępnego na platformie biznes.gov.pl.

Nie w każdym przypadku zgłoszenie naruszenia do PUODO jest obowiązkowe. Urzędu nie trzeba powiadamiać o naruszeniach, które nie skutkują ryzykiem naruszenia praw lub wolności osób fizycznych lub jest mało prawdopodobne, by taki skutek wystąpił.

Po stwierdzeniu incydentu w obszarze ochrony danych, administrator powinien ocenić, na ile jest ono poważne. Może on zasięgnąć w tym zakresie opinii Inspektora Ochrony Danych, jeżeli został powołany. W przypadku gdy naruszenie kwalifikuje się do zgłoszenia, powinno być ono zgłoszone w terminie 72h od jego stwierdzenia.

Jeżeli w powyższym terminie administrator nie jest w stanie ustalić wszystkich faktów, które należy podać w zgłoszeniu naruszenia zgodnie z wymogami RODO, może dokonać najpierw zgłoszenia wstępnego, a następnie – po ustaleniu pozostałych okoliczności – wysłać zgłoszenie uzupełniające. Wzór formularza zgłoszenia dostępnego na stronie Urzędu Ochrony Danych Osobowych przewiduje taką możliwość.

Zgodnie z RODO, jeżeli administrator nie dokonał zgłoszenia w terminie 72 godzin od stwierdzenia naruszenia, to powinien wyjaśnić przyczyny opóźnienia.

Wprowadzenie obowiązku zgłaszania naruszeń, nakłada na administratora także inne obowiązki, w tym zapewnienie zdolności do wykrywania naruszeń, a także właściwej reakcji już po stwierdzeniu naruszenia.

Szczególnie w przypadku poważniejszych naruszeń, które mogą skutkować ryzykiem dla praw lub wolności osób, których dane dotyczą, administrator powinien podjąć działania mające na celu zminimalizowanie jest negatywnych skutków.

Dodaj komentarz