Zgłoszenie naruszenia danych przez IOD jako pełnomocnika administratora

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

W praktyce administrator może mieć wątpliwości, czy czynności zawiadomienia w zakresie naruszenia ochrony danych musi być dokonana obligatoryjnie przez niego (administratora) czy może istnieje możliwość zlecenia dokonywania tych czynności pełnomocnikowi – przykładowo inspektorowi ochrony danych. Odnoszą się do przywołanej wątpliwości można uznać, iż skoro rolą inspektora jest między innymi współpraca z organem nadzorczym, to nie ma przeciwwskazań aby było on osobą umocowaną w imieniu administratora do dokonywania czynności związanych z zawiadamianiem w przypadku incydentów dotyczących ochrony danych.

Przepisy dotyczące ochrony danych nie normują szczegółowo kwestii związanych z umocowaniem osoby do dokonywania czynności w zakresie zawiadamiania UODO o przypadkach naruszeń ochrony danych. Można więc przyjąć, że pełnomocnictwo takie może wydać zarząd spółki prawa handlowego, mający status administratora danych. Pełnomocnictwo może być jednorazowe – i dotyczyć konkretnego przypadku naruszenia ochrony danych jak również udzielone „na przyszłość” - na wypadek naruszeń jakich nie można wykluczyć w krótszej lub dłuższej perspektywie czasu. Wydaje się, że obie opcje są dopuszczalne, jednak pełnomocnictwo ogólne będzie rozwiązaniem bardziej praktycznym.