Zgłoszenie naruszenia ochrony danych może być przekazywane sukcesywnie
Nie jesteś w stanie przekazać wszystkich informacji o naruszeniu ochrony danych w terminie 72 godzin? Pamiętaj, że możesz zgłosić je do Prezesa Urzędu Ochrony Danych Osobowych w późniejszym terminie. Na tym polega tzw. wstępne zgłoszenie naruszenia ochrony danych. W jakich przypadkach można skorzystać z takiego rozwiązania? Wskazówki w tym zakresie znajdziemy m.in. w wytycznych EROD
Krótki termin na zgłoszenie naruszenia ochrony danych
Jak wiadomo, co do zasady administrator danych osobowych ma jedynie 72 godziny na zgłoszenie naruszenia ochrony danych. Późniejsze zgłoszenie jest dopuszczalne, ale w takim przypadku administrator musi dołączyć do zgłoszenia wyjaśnienie, dlaczego doszło do opóźnienia (art. 33 ust. 1 RODO).
Termin 72 godzin liczy się od momentu powzięcia przez administratora informacji o naruszeniu.
Najpierw wstępne zgłoszenie naruszenia ochrony danych
Istnieje też możliwość przekazywania informacji dotyczących naruszenia w sposób sukcesywny, a więc niekoniecznie jednorazowo (art. 33 ust. 4 RODO). W takim przypadku administrator musi dokonać zgłoszenia wstępnego w 72-godzinnym terminie. Następnie powinien to zgłoszenie sukcesywnie uzupełniać – niezwłocznie (bez zbędnej zwłoki) po pozyskaniu brakujących informacji o naruszeniu.
Sukcesywne uzupełnianie zgłoszenia
Wstępne zgłoszenie naruszenia ochrony danych nie może być jednak stosowane dowolnie. Z art. 33 ust. 4 RODO wynika, że taka praktyka jest dopuszczalna, gdy nie da się udzielić wszystkich wymaganych informacji o naruszeniu w tym samym czasie. Więcej informacji na ten temat znajdziemy w Wytycznych nr 9/2022 w sprawie zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO. Wskazano w nich, że administrator może sukcesywnie zgłaszać naruszenie ochrony danych, gdy nie ma możliwości dokonania szczegółowych i rzetelnych ustaleń dotyczących naruszenia i związanych z nim konsekwencji – w jego początkowej fazie.
Administrator może sukcesywnie zgłaszać informacje o naruszeniu mającym postać złożonego cyberataku. W takiej sytuacji do ustalenia charakteru naruszenia, jego zakresu, liczby osób, które dotyczyło, wymagane mogą być np. specjalistyczne badania z zakresu informatyki śledczej i analizy po włamaniu.
Jak dokonać wstępnego zgłoszenia naruszenia ochrony danych
W pierwszej kolejności administrator powinien dokonać wstępnego zgłoszenia naruszenia ochrony danych we wspomnianym terminie 72 godzin. Takie zgłoszenie powinno być wynikiem niezwłocznie dokonanej wstępnej oceny naruszenia. Administrator z takiej oceny nie jest bowiem zwolniony.
W tym celu w formularzu zgłoszeniowym należy wybrać rodzaj zgłoszenia: „zgłoszenie wstępne”.
W zgłoszeniu należy wówczas zaznaczyć, że brakujące informacje będą sukcesywnie uzupełniane.
Taką dodatkową informacją przekazaną w późniejszym terminie może być także dowód, że do naruszenia ochrony danych ostatecznie nie doszło.
• Biuletyn UODO (9/09/2023)
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
