Od dnia 25 maja 2018 r. administratorzy danych osobowych mają obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Dla polskich firm organem tym jest Prezes Urzędu Ochrony Danych Osobowych.
W celu ułatwienia administratorom realizacji tego obowiązku, na stronie internetowej Urzędu Ochrony Danych Osobowych udostępniony został formularz zgłoszenia naruszenia ochrony danych osobowych. Zgodnie z instrukcją podaną na stronie, zgłoszenia naruszenia dokonuje się elektronicznie, poprzez wypełnienie formularza i załączenie do pisma ogólnego dostępnego na platformie biznes.gov.pl.
Nie w każdym przypadku zgłoszenie naruszenia do PUODO jest obowiązkowe. Urzędu nie trzeba powiadamiać o naruszeniach, które nie skutkują ryzykiem naruszenia praw lub wolności osób fizycznych lub jest mało prawdopodobne, by taki skutek wystąpił.
Po stwierdzeniu incydentu w obszarze ochrony danych, administrator powinien ocenić, na ile jest ono poważne. Może on zasięgnąć w tym zakresie opinii Inspektora Ochrony Danych, jeżeli został powołany. W przypadku gdy naruszenie kwalifikuje się do zgłoszenia, powinno być ono zgłoszone w terminie 72h od jego stwierdzenia.
Jeżeli w powyższym terminie administrator nie jest w stanie ustalić wszystkich faktów, które należy podać w zgłoszeniu naruszenia zgodnie z wymogami RODO, może dokonać najpierw zgłoszenia wstępnego, a następnie – po ustaleniu pozostałych okoliczności – wysłać zgłoszenie uzupełniające. Wzór formularza zgłoszenia dostępnego na stronie Urzędu Ochrony Danych Osobowych przewiduje taką możliwość.
Zgodnie z RODO, jeżeli administrator nie dokonał zgłoszenia w terminie 72 godzin od stwierdzenia naruszenia, to powinien wyjaśnić przyczyny opóźnienia.
Wprowadzenie obowiązku zgłaszania naruszeń, nakłada na administratora także inne obowiązki, w tym zapewnienie zdolności do wykrywania naruszeń, a także właściwej reakcji już po stwierdzeniu naruszenia.
Szczególnie w przypadku poważniejszych naruszeń, które mogą skutkować ryzykiem dla praw lub wolności osób, których dane dotyczą, administrator powinien podjąć działania mające na celu zminimalizowanie jest negatywnych skutków.