Naruszenie ochrony danych osobowych – kiedy zgłosić je do organu nadzorczego

Zgodnie z art. 33 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Naruszenia nie trzeba zgłaszać, jeśli jest mało prawdopodobne, by skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

W omawianym przypadku bez wątpienia doszło do naruszenia ochrony danych osobowych, skoro karty medyczne zawierające dane osobowe zostały udostępnione osobom trzecim. Nie wiem, czy na tych kartach znajdowały się jeszcze jakieś inne dane osobowe, ale zakładam, że było na nich oznaczenie placówki, w której osoby te się leczyły. Oznacza to, że doszło do wycieku informacji stanowiących dane osobowe wrażliwe (osoba postronna dowiedziała się, kto, gdzie się leczy, a być może dzięki nazwie placówki i dodatkowym informacjom o niej zaczerpniętym chociażby z Internetu – na jaki rodzaj schorzeń). Tym samym trudno uznać, że jest mało prawdopodobne, aby doszło do ryzyka naruszenia praw lub wolności osób fizycznych. Zwracam uwagę, że przepis ten wymaga jedynie zaistnienia ryzyka naruszenia, a nie faktycznego naruszenia praw lub wolności osób fizycznych.

Zgodnie z art. 33 ust. 5 RODO administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Ten obowiązek bez wątpienia musi być zrealizowany, a zmianę formy kart z plastikowej na elektroniczną należy wskazać jako podjęte działanie zaradcze, jeśli faktycznie pozwala na uniknięcie lub ograniczenie podobnych naruszeń w przyszłości.