Przedsiębiorcy będą musieli zgłaszać przypadki naruszenia ochrony danych osobowych do Generalnego Inspektora.

20 kwietnia 2017
Przedsiębiorcy będą musieli zgłaszać przypadki naruszenia ochrony danych osobowych do Generalnego Inspektora.

Rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r., w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE, które wejdzie w życie 25 maja 2018 r. wprowadza nowy obowiązek, który będzie ciążył na wszystkich administratorach danych osobowych. Mianowicie, administratorzy danych osobowych będą zobowiązani do zgłoszenia organowi nadzorczemu przypadków, w których doszło do naruszenia ochrony danych osobowych, a w stosownych przypadkach także osobie, której dane zostały naruszone, chyba że istnieje małe prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą.

Zgodnie z Rozporządzeniem, naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
 

Powyższe zgłoszenie powinno nastąpić bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że istnieje małe ryzyko, aby naruszenie skutkowało naruszeniem praw i wolności osób, których dane dotyczą. Jeżeli administrator danych dokona zgłoszenia naruszenia po terminie wskazanym powyżej, powinien dołączyć wyjaśnienie przyczyn opóźnienia.
 

Obowiązek notyfikacji naruszenia osobom, których dane dotyczą powstanie w przypadku, gdy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
 

Ponadto, administrator danych osobowych będzie miał obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności dokonanego naruszenia, jego skutków oraz podjętych przez administratora środków zaradczych.
 

Za naruszenie powyższego obowiązku grozi nałożenie przez organ nadzorczy kary pieniężnej, która może wynieść nawet do 10.000.000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% światowego obrotu przedsiębiorstwa – przy czym zastosowanie będzie miała kara wyższa.

Zobacz również: