Procedura zgłaszania naruszeń

Procedura zgłaszania naruszeń

Zgodnie z art. 34 pkt 1 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie
ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.

Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży
tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych
wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych
wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się, czyli faktycznie doszło do
naruszenia praw lub wolności osoby fizycznej.

RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”.
Oznacza to, że administrator powinien zrealizować ów obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO.
Jedynie w pewnych okolicznościach, gdy jest to uzasadnione, oraz zgodnie z zaleceniami organów ścigania administrator może opóźnić wysłanie zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ, do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom. Sytuacja taka jest wprost przewidziana w art. 45 ust. 6 ustawy z 14 grudnia o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.