Obowiązek zgłaszania naruszeń

Administrator danych osobowych jest zobowiązany do dokumentowania naruszeń ochrony danych osobowych.

Zgodnie z RODO naruszenie ochrony danych osobowych, należy bezwzględnie zgłosić w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

W ocenie Ministra Cyfryzacji nie zawsze występuje konieczność zgłoszenia przypadków naruszenia bezpieczeństwa danych osobowych. Takich przypadków, które nie wywołują bezpośredniego skutku względem osób, których dane dotyczą nie trzeba zgłaszać. Taka sytuacja ma miejsce wtedy, gdy – przykładowo – doszło do przypadkowego zniszczenia nośnika z danymi osobowymi przez osobę upoważnioną do przetwarzania, jednak istniałyby jednocześnie inne nośniki, na których przechowywane są te same dane. Mogłaby być to również sytuacja, gdy poza obszar przetwarzania danych dane nawet w dużych zasobach są wyniesione przez osobę mającą prawo do ich dostępu, ale nie zostały ujawnione i niedługo potem bezpiecznie wróciły na swoje miejsce.