Czy IOD ma dokonać zgłoszenia naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych, administrator zgłasza je organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenia dokonuje się bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 ust. 1 RODO). Obowiązek zgłoszenia naruszenia ochrony danych do organu nadzorczego został więc wyraźnie przypisany administratorowi danych osobowych. W kompetencjach ADO leży także zawiadomienie o naruszeniu osób, których dane dotyczą.

Z kolei inspektor ochrony danych ma następujące zadania:

•  informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia o ochronie danych oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

•  monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

•  udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

•  współpraca z organem nadzorczym (Prezesem UODO);

•  pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1 RODO).

Co zatem powinien zrobić IOD? W pierwszej kolejności powinien podjąć próbę ustalenia, czy zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO jest konieczne. Takie zgłoszenie nie jest wymagane, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1 RODO). Jeśli IOD ustali, że prawdopodobieństwo to jest przynajmniej średnie, wówczas powinien zarekomendować administratorowi niezwłoczne zgłoszenie naruszenia do Prezesa UODO, bez względu na to, że termin naruszenia minął.

Inspektorowi grozi odpowiedzialność odszkodowawcza w wyniku niedokonania zgłoszenia

Zatajenie naruszenia będzie niewykonaniem obowiązku nałożonego przez RODO, za co administratorowi grozi kara pieniężna (teoretycznie nawet do kwoty 10 mln euro). W konsekwencji administrator może dochodzić od IOD odszkodowania, jeżeli wykaże, że inspektor przyczynił się do powstania tej szkody.