Spis treści

Artykuł 33 - Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
  3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
    1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
    3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
    4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  4. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki
  5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
GDPR Risk Tracker - zgłaszanie naruszenia ochrony danych osobowych

Artykuł 33 RODO nakłada na administratorów danych osobowych obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. Jeśli doszło do naruszenia bezpieczeństwa danych osobowych, które może prowadzić do ryzyka dla praw i wolności osób, których te dane dotyczą, administrator jest zobowiązany poinformować odpowiedni organ nadzorczy o tym incydencie.

Powiadomienie ma na celu zapewnienie przejrzystości i odpowiedniej reakcji w przypadku naruszeń ochrony danych osobowych oraz pomaga chronić interesy osób, których dane są zagrożone. Aby ocenić, czy dane naruszenie bezpieczeństwa danych osobowych może prowadzić do ryzyka dla praw i wolności osób, których te dane dotyczą, a co za tym idzie istnieje konieczność zgłoszenia naruszenia do organu nadzorczego konieczne jest dokonanie analizy ryzyka. To proces oceny potencjalnych zagrożeń i ryzyka związanego z przetwarzaniem danych osobowych w organizacji. GDPR Risk Tracer jest narzędziem do przeprowadzania analizy ryzyka w oparciu o autorską metodę analizy ryzyka dostosowaną do przepisów RODO.