72 godziny na zgłoszenie naruszenia ochrony danych osobowych pracownika to termin instrukcyjny

Pracodawca pismem z 2 lutego 2024 r. poinformował mnie o naruszeniu ochrony moich danych osobowych. 29 stycznia 2024 r. zawiadomienie o tym zdarzeniu zostało przekazane przez pracodawcę organowi nadzorczemu, tj. prezesowi Urzędu Ochrony Danych Osobowych. Tymczasem wiem, że informację o możliwości wystąpienia ww. naruszenia pracodawca otrzymał już 2 stycznia 2024 r. Czy działania pracodawcy były zgodne z terminami wskazanymi w RODO?

Odpowiadając na pytanie, należy przede wszystkim rozpocząć od analizy art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Zgodnie z nim w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ustanowionej w art. 29 dyrektywy 95/46/WE (Grupa Robocza art. 29), administrator „stwierdza” naruszenie, kiedy ma wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych (vide: Wytyczne dotyczące zgłaszania naruszeń ochrony danych na mocy rozporządzenia 2016/679 (WP 250)).