Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.

Ogólne rozporządzenie o ochronie danych wprowadza w art. 33 obowiązek zgłaszania naruszeń ochrony danych organowi nadzorczemu. Z kolei art. 34 RODO przewiduje obowiązek zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.

Nie są to obowiązki nieznane polskim przepisom. Do wejścia w życie RODO  są one jednak ograniczone wyłącznie do  działalności telekomunikacyjnej uregulowanej w przepisach ustawy z dnia 16 lipca 2004 roku – Prawo telekomunikacyjne.

Zgodnie z treścią art. 174 a Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia. Naruszenie danych osobowych w rozumieniu Prawa telekomunikacyjnego stanowi przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych. Przepis ten jest bardzo zbliżony do art. 33 i 34 RODO, które przewiduję obowiązek zawiadamiania organu nadzorczego oraz podmiotu danych o naruszeniu ochrony danych osobowych.

Zawiadomienie skierowane do Generalnego Inspektora Ochrony Danych Osobowych powinno zawierać w szczególności:

1)  opis charakteru naruszenia danych osobowych oraz zakładane ryzyko związane z naruszeniem;

2)  dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;

3)  informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;

4)  informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;

5)  informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego, będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych;

6)  opis skutków naruszenia danych osobowych;

7) opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.

Jednocześnie w określonych sytuacjach dostawca publicznie dostępnych usług telekomunikacyjnych jest zobowiązany poinformować o naruszeniu danych osobowych także abonenta lub użytkownika końcowego będącego osobą fizyczną. Ma to miejsce w przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną. Dotyczy to naruszeń,  które w szczególności mogą skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej. Wówczas dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.

Zawiadomienie skierowane do abonenta lub użytkownika końcowego będącego osobą fizyczną powinno zawierać:

1)  opis charakteru naruszenia danych osobowych;

2)  dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;

3)  informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;

4)  informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;

5)  opis skutków naruszenia danych osobowych;

6)  opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.

Z poważaniem,
Tomasz Cygan

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

6 − two =