Termin poinformowania niepełnosprawnego pracownika o naruszeniu ochrony jego danych osobowych

Kiedy naruszenie danych osobowych należy zgłosić organowi nadzorczemu...

Adekwatnie do dyspozycji art. 33 ust. 1 rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. nr 119, s. 1), w razie naruszenia ochrony danych osobowych administrator powinien zgłosić takie naruszenie – organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, a zatem prezesowi Urzędu Ochrony Danych Osobowych (UODO). Wyjątkiem jest sytuacja, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgłoszenie naruszenia ochrony danych osobowych pracownika powinno nastąpić bez zbędnej zwłoki, jeżeli to możliwe, nie później aniżeli w terminie 72 godzin po stwierdzeniu naruszenia. To, czy zgłoszenie naruszenia ochrony danych osobowych nastąpiło bez zbędnej zwłoki (tak szybko, jak pozwalają na to okoliczności danej sprawy) jest weryfikowane przy uwzględnieniu okoliczności naruszenia, a zwłaszcza charakteru i wagi naruszenia, a także jego skutków dla osoby, której dane dotyczą.

Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Oznacza to, że wspomniany 72-godzinny termin na zgłoszenie naruszenia ochrony danych osobowych ma charakter wyłącznie instrukcyjny, tzn. w rzeczywistości nie wiąże administratora danych osobowych.

Zgodnie z wytycznymi dotyczącymi zgłaszania naruszeń ochrony danych na mocy rozporządzenia 2016/679 (WP 250), opublikowanymi przez grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, stwierdzenie takiego naruszenia może zostać dokonane przez administratora danych osobowych dopiero po uzyskaniu wystarczającego stopnia pewności, że doszło do zdarzenia zagrażającego bezpieczeńs