O incydencie trzeba zawiadomić organ nadzorczy i osoby, których dane dotyczą

UODO właśnie ukarał kolejny podmiot za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, oraz niezawiadomieniu o incydencie osób, których dane dotyczą, w tym przypadku karą pieniężną w wysokości ponad 13 tys. zł. Urząd Ochrony Danych Osobowych w ten sposób przypomina wszystkim administratorom danych, że o incydencie trzeba zawiadomić organ nadzorczy i osoby, których dane dotyczą…

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. A w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.

Podkreślić należy, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Możliwe konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób.

W tym przypadku ukarany podmiot podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia.

Administratorze pamiętaj: o incydencie trzeba zawiadomić organ nadzorczy i osoby, których dane dotyczą!

Zapraszamy też do naszego RODO FAQ do tematu „Naruszenie ochrony danych osobowych – co to takiego i co wtedy robić?”

źródło informacji: tutaj