RODO, przy stwierdzeniu naruszenia bezpieczeństwa ochrony danych, nakłada na administratora danych (pod groźbą sankcji finansowej) obowiązki związane z notyfikacją naruszeń i powiadamianiem osób, których danych dotyczyło naruszenie.
Art. 34 RODO zobowiązuje administratora danych do powiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych, mogącym powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Co ważne, administrator musi dokonać zawiadomienia niezwłocznie. Zawiadomienie powinno zostać dokonane tym szybciej, im poważniejsze, zgodnie z oceną administratora danych, jest prawdopodobieństwo naruszenia praw lub wolności podmiotów danych.
Administrator powinien pamiętać, że zawiadomienie należy przekazać jasnym i prostym językiem, dostosowanym do kategorii adresatów. Zwolnienie z obowiązku zawiadomienia podmiotów danych o naruszeniu bezpieczeństwa zostało przewidziane w 3 przypadkach:
- Gdy administrator wdrożył odpowiednie środki techniczne i organizacyjne, które nawet mimo zaistnienia incydentu, wykluczają możliwość dostępu do danych przez osoby nieuprawnione.
- Gdy administrator dokonał zabezpieczających czynności następczych, eliminujących ryzyko naruszenia praw lub wolności osób fizycznych.
- Gdy zawiadomienie wymagałoby niewspółmiernie dużego wysiłku – wtedy rozwiązaniem będzie komunikat przekazany do opinii publicznej, a nie bezpośrednio do podmiotów danych.
RODO, utrzymane w duchu wprowadzenia jak najwyższych standardów ochrony danych, za pomocą wskazanego obowiązku, umożliwia przeciwdziałanie negatywnym skutkom naruszenia. Podmioty danych, poinformowane o naruszeniu bezpieczeństwa danych, mogą podjąć działania minimalizujące skutki naruszenia. Informacja o tym, co stało się z danymi, w jaki sposób doszło do naruszenia, oraz jakie dane zostały dotknięte naruszeniem, pozwala osobom których dane dotyczą zapobiegać ewentualnym naruszeniom ich praw oraz jeszcze mocniej uszczelniać system ochrony danych.
