Mocą artykułów 33 oraz 34 Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadza obowiązek zgłaszania naruszeń ochrony danych osobowych we własnych strukturach organowi nadzorczemu, jak również zawiadomienie osoby, której naruszone dane dotyczą.

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki ? nie później jednak niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, którym w myśl nowej regulacji będzie Urząd Ochrony Danych Osobowych (UODO). Obowiązkiem objęty jest także podmiot przetwarzający dane, przy czym jego zgłoszenie winno bez zbędnej zwłoki trafić do administratora, brak jednak tutaj sprecyzowanego terminu.

Naruszeniem danych osobowych w rozumieniu RODO jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Należy zaznaczyć, że omawiane przepisy regulują treść zgłoszenia, określając jego minimalną zawartość.

Przewidziano również sytuację, w której do naruszenia dochodzi na szerszą skalę. Administrator ma wówczas możliwość sukcesywnego udzielania informacji w późniejszym czasie, jednakże wciąż bez zbędnej zwłoki.

Trzeba zaznaczyć, iż obowiązek nie jest bezwzględny. Przepisy nie wymagają zgłaszania takich naruszeń, w których jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych. Każdy z administratorów winien dokonać oceny, czy w konkretnym przypadku naruszenie skutkuje opisanym ryzykiem, gdyż konstrukcja przepisu tworzy domniemanie jego istnienia, a tym samym nakłada na administratora ciężar udowodnienia, że tak nie jest.

Co więcej, RODO ustanawia powinność prowadzenia przez administratora dokumentacji, w której odnotowane będą wszelkie naruszenia ochrony danych osobowych, a zwłaszcza ich okoliczności, skutki oraz podjęte działania zaradcze. Sposób prowadzenia dokumentacji musi pozwolić Urzędowi na weryfikowanie przestrzegania obowiązku.

Drugim aspektem obowiązku notyfikacyjnego jest określone w art. 34 RODO zawiadomienie osoby, której naruszenie danych dotyczy. Obowiązek zawiadomienia aktualizuje się wyłącznie wtedy, kiedy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Zawiadomienia dokonuje się bez zbędnej zwłoki, a przepisy wymagają od niego jasnego i przejrzystego języka, ułatwiającego zrozumienie komunikatu.

Podobnie jak w przypadku zgłoszenia, zawiadomienie nie ma charakteru bezwzględnego, gdyż RODO wskazuje na przesłanki, które zwalniają z jego dokonania.

Na sam koniec należy wspomnieć o konsekwencjach, które grożą za nieprzestrzeganie nakładanych przez RODO obowiązków. Uchylanie się od obowiązku notyfikacyjnego skutkuje nakładaniem dotkliwych administracyjnych sankcji pieniężnych zgodnie z art. 83 ust. 4 Rozporządzenia.

Jednakże bardzo możliwe, że polscy przedsiębiorcy zatrudniający mniej niż 250 pracowników, którzy nie przetwarzają danych wrażliwych ani nie udostępniają ich innym podmiotom, zostaną z wymogów częściowo zwolnieni. Projekt nowej ustawy o ochronie danych osobowych, przewiduje taką możliwość m.in. w odniesieniu do omawianego obowiązku zawiadomienia uregulowanego w art. 34 RODO. Niemniej jednak prace nad projektem wciąż trwają, stąd ciężko jednoznacznie określić ich końcowy efekt.