Close

08.07.2019

Kiedy należy poinformować osobę o naruszeniu ochrony danych?

Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności jednostki.

Ocena stopnia ryzyka zgodnie z zasadą rozliczalności powinna być udokumentowana/możliwa do wykazania. Pojęcie bez zbędnej zwłoki’ należy interpretować w odniesieniu do konkretnej sytuacji, z uwzględnieniem charakteru i wagi naruszenia, konsekwencji oraz niekorzystnych skutków dla osób narażonych.

Co ważne: administrator zawiadamiając osobę musi operować jasnym i prostym językiem opisując charakter naruszenia. Ponadto wskazuje zastosowane środki zaradcze lub proponowane w celu zapobiegnięcia naruszenia ochrony danych lub zminimalizowaniu jego ewentualnych negatywnych skutków.

Wyłączenia

Nie jest wymagane zawiadomienie, jeżeli administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony (i znalazły one zastosowanie w danym przypadku) takie jak szyfrowanie, które uniemożliwia odczyt danych osobom nieuprawnionym.

Co więcej administrator nie musi zawiadamiać danej osoby, jeżeli zastosował następcze środki eliminujące prawdopodobieństwo wysokiego naruszenia praw i wolności osoby, której naruszenie dotyczy.

Jeżeli zawiadomienie wymagałoby niewspółmiernie dużego wysiłku, administrator, zamiast informować każdą osobę, wydaje publiczny komunikat (lub inny podobny środek), który powinien zapewniać równie skuteczny sposób zawiadomienia.

Jeżeli masz pytanie do autora artykułu lub szukasz wsparcia prawnego w zakresie opisywanych zagadnień, skontaktuj się.

Podstawa prawna: RODO (Dz. Urz. UE.L z 2016 r. nr 119 str. 1).