Nie jesteś w stanie przekazać wszystkich informacji o naruszeniu ochrony danych w terminie 72 godzin? Pamiętaj, że możesz zgłosić je do Prezesa Urzędu Ochrony Danych Osobowych w późniejszym terminie. Na tym polega tzw. wstępne zgłoszenie naruszenia ochrony danych. W jakich przypadkach można skorzystać z takiego rozwiązania? Wskazówki w tym zakresie znajdziemy m.in. w wytycznych EROD
Jak wiadomo, co do zasady administrator danych osobowych ma jedynie 72 godziny na zgłoszenie naruszenia ochrony danych. Późniejsze zgłoszenie jest dopuszczalne, ale w takim przypadku administrator musi dołączyć do zgłoszenia wyjaśnienie, dlaczego doszło do opóźnienia (art. 33 ust. 1 RODO).
Termin 72 godzin liczy się od momentu powzięcia przez administratora informacji o naruszeniu.
Istnieje też możliwość przekazywania informacji dotyczących naruszenia w sposób sukcesywny, a więc niekoniecznie jednorazowo (art. 33 ust. 4 RODO). W takim przypadku administrator musi dokonać zgłoszenia wstępnego w 72-godzinnym terminie. Następnie powinien to zgłoszenie sukcesywnie uzupełniać – niezwłocznie (bez zbędnej zwłoki) po pozyskaniu brakujących informacji o naruszeniu.
Wstępne zgłoszenie naruszenia ochrony danych nie może być jednak stosowane dowolnie. Z art. 33 ust. 4 RODO wynika, że taka praktyka jest dopuszczalna, gdy nie da się udzielić wszystkich wymaganych informacji o naruszeniu w tym samym czasie. Więcej informacji na ten temat znajdziemy w Wytycznych nr 9/2022 w sprawie zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO. Wskazano w nich, że administrator może sukcesywnie zgłaszać naruszenie ochrony danych, gdy nie ma możliwości dokonania szczegółowych i rzetelnych ustaleń dotyczących naruszenia i związanych z nim konsekwencji – w jego początkowej fazie.
Administrator może sukcesywnie zgłaszać informacje o naruszeniu mającym postać złożonego cyberataku. W takiej sytuacji do ustalenia charakteru naruszenia, jego zakresu, liczby osób, które dotyczyło, wymagane mogą być np. specjalistyczne badania z zakresu informatyki śledczej i analizy po włamaniu.
W pierwszej kolejności administrator powinien dokonać wstępnego zgłoszenia naruszenia ochrony danych we wspomnianym terminie 72 godzin. Takie zgłoszenie powinno być wynikiem niezwłocznie dokonanej wstępnej oceny naruszenia. Administrator z takiej oceny nie jest bowiem zwolniony.
W tym celu w formularzu zgłoszeniowym należy wybrać rodzaj zgłoszenia: „zgłoszenie wstępne”.
W zgłoszeniu należy wówczas zaznaczyć, że brakujące informacje będą sukcesywnie uzupełniane.
Taką dodatkową informacją przekazaną w późniejszym terminie może być także dowód, że do naruszenia ochrony danych ostatecznie nie doszło.
• Biuletyn UODO (9/09/2023)
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
