Operator pocztowy odpowiada za naruszenia danych w związku z przesyłką korespondencji

W przedstawionej sytuacji niewątpliwie dochodzi do naruszenia zasad ochrony danych osobowych, polegający na przetwarzaniu danych osobowych w taki sposób, że dochodzi do ujawnienia (upublicznienia) danych osobowych nadawców i adresatów przesyłek. Działanie takie jest nieprawidłowe, gdyż doręczyciel nie był zapewne uprawniony do takiego doręczenia przesyłek lecz miał je dostarczyć bezpośrednio adresatowi lub do skrzynki pocztowej adresata. W związku z tym za rozsypanie korespondencji odpowiada ten, kto tego dokonał. Jeżeli naruszycielem jest doręczyciel (np. listonosz, kurier) to odpowiedzialność spoczywa na administratorze danych osobowych, którego pracownikiem jest ten listonosz lub kurier.

RODO nie ustanawia na podmiotach innych niż administrator danych osobowych obowiązku reagowania na incydenty związane z ochroną danych osobowych. Obowiązek „samodenuncjacji” spoczywa bowiem wyłącznie na administratorze danych osobowych. Ustanawia go art. 33 RODO, zgodnie z którym w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je do Prezesa Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.