Jednym  z obowiązków administratora danych osobowych wynikających z przepisów unijnego Rozporządzenia o ochronie danych osobowych (RODO) jest notyfikacja naruszeń ochrony danych osobowych czyli zgłoszenie faktu powstania naruszenia Prezesowi Urzędu Ochrony Danych Osobowych a niekiedy nawet osobie, której te dane dotyczą.

Zgodnie z artykułem 4 pkt. 12 RODO naruszenie ochrony danych oznacz naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Z definicji tej wynika, że aby dane zdarzenie mogło zostać uznane za naruszenie to musi spełniać łącznie trzy przesłanki, a mianowicie:

  • musi dotyczyć danych osobowych, które są przesyłane, przechowywane lub w inny sposób przetwarzane przez podmiot, którego to naruszenie dotyczy,
  • jego skutkiem musi być zmodyfikowanie, utracenie, zniszczenie, ujawnienie lub nieuprawniony dostęp do danych osobowych,
  • naruszenie jest następstwem nieprzestrzegania zasady bezpieczeństwa danych.

Przykładem naruszenia może być fakt, że pracownik przez pomyłkę wysłał wiadomość e-mail zawierającą dane osobowe klienta do podmiotu postronnego, który nie był uprawniony do uzyskania takich danych lub też okoliczność, w której dojdzie do kradzieży lub zgubienia nośnika (laptopa, przenośnego dysku), na którym znajdują się dane osobowe.

W przypadku wystąpienia naruszenia ochrony danych administrator powinien niezwłocznie dokonać zgłoszenia tego faktu do Prezesa Urzędu Ochrony Danych Osobowych nie później niż w terminie 72 godzin od jego wystąpienia. W sytuacji kiedy doszło do przekroczenia wspomnianego powyżej terminu administrator danych obowiązany jest dołączyć do zgłoszenia wyjaśnienie, w którym wskaże przyczyny powstałego opóźnienia. Wspomnieć należy również, że podmiot przetwarzający powinien zgłosić naruszenie administratorowi danych bez zbędnej zwłoki tak, aby mógł on zgłosić ten fakt właściwemu organowi w ciągu 72 godzin od stwierdzenie tego naruszenia. Zgodnie z wytycznymi Grupy Roboczej Art. 29 w takim przypadku 72 godziny liczone jest od momentu, w którym to przetwarzający stwierdził powstanie naruszenia a nie moment, w którym administrator został o nim poinformowany.

W sytuacji, kiedy zmuszeni jesteśmy do zgłoszenia faktu naruszenia ochrony danych osobowych to z godnie z przepisami RODO zgłoszenie takie powinno co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków

Przepisy Rozporządzenia nakładają na administratora obowiązek wprowadzenia odpowiednich środków organizacyjnych oraz technicznych, które to mają za zadanie przeciwdziałać powstaniu tym naruszeniom a w przypadku ich wystąpienia określać sposób postępowania z nimi. Dobrym rozwiązaniem pozwalającym spełnić powyższy wymóg jest przygotowanie a następnie wdrożenie odpowiednich procedur dotyczących przetwarzania danych osobowych i ich ochrony, w których to wskazane zostaną jednoznaczne wytyczne oraz instrukcje dla osób, które zajmują się przetwarzaniem danych osobowych.

W przypadku wystąpienie naruszenia administrator danych powinien udokumentować ten fakt wskazując jednocześnie jego przyczynę, skutki oraz działania zaradcze, które podjął w celu usunięcia skutków tego naruszenia. W takiej sytuacji pomocnym będzie posiadanie polityki przetwarzania danych lub innego zbioru reguł, w którym to określona zostanie procedura określająca zasady postępowania w przypadku wystąpienia naruszenia, w tym właśnie sposób raportowania o powstałym naruszeniu. Posiadanie odpowiednich procedur oraz dokumentacji w znacznym stopniu ułatwi administratorowi wywiązanie się z nałożonych przez RODO obowiązków, w tym właśnie z obowiązku prawidłowego udokumentowania naruszenia czy też jego zgłoszenia do właściwego organu.

W tym miejscu warto podkreślić, że jeżeli ryzyko naruszenia praw lub wolności osoby, której dane dotyczą jest niskie czyli takie, że jest mało prawdopodobnym, że na skutek wystąpienia naruszenia ktoś zostanie pokrzywdzonym to nie jest koniecznym dokonanie jego zgłoszenia. Tym samym stwierdzić należy, że obowiązek notyfikacyjny nie ma charakteru bezwzględnego. W przypadku naruszenia administrator powinien samodzielnie ocenić czy dane naruszenie faktycznie powoduje powstanie ryzyka dla osoby, której dane dotyczą. Pamiętać jednak należy, że w takim przypadku administrator zobowiązany jest do wykazania, iż ryzyko tego naruszenia jest niskie i po stronie podmiotu, którego dane dotyczą nie powstała żadna szkoda. W razie odmiennego stanowiska administrator narażony jest na sankcje administracyjne.