Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych

1.  Uczestnicy procedury:

• Inspektor Ochrony Danych Osobowych;
• Administrator danych.

2.  Wymagane dokumenty:

• zawiadomienie o naruszeniu ochrony danych osobowych;
• ewidencja naruszeń ochrony danych osobowych.

3.  Wymagalność zawiadomienia osoby, której dane dotyczą:

Zawiadomienie jest wymagane jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

 Zawiadomienie powinno jasnym i prostym językiem opisać charakter naruszenia ochrony danych osobowych oraz zawierać:

• imię i nazwisko Inspektora Ochrony Danych Osobowych oraz jego dane kontaktowe
• możliwe konsekwencje naruszenia ochrony danych osobowych
• środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

4.  Przypadki, w których nie jest wymagane zawiadomienie:

• administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie – w szczególności takie jak szyfrowanie;
• administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
• zawiadomienie osoby, której dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku – w tym przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

5.  Procedura:

• na podstawie raportu ASI opracować zawiadomienie osoby, której dane dotyczy, o naruszeniu ochrony jej danych;
• zarejestrować zawiadomienie w Ewidencji naruszeń ochrony danych osobowych;
• przedstawić zawiadomienie Administratorowi danych do podpisu;
• przesłać zawiadomienie listem poleconym za potwierdzeniem odbioru;
• drugi egzemplarz zarchiwizować w teczce akt.

• Zawiadamianie o naruszeniu ochrony danych.pdf