Należy oddzielić obowiązki administratora danych osobowych dotyczące zgłoszenia incydentu i zawiadomienia o nim od odpowiedzialności za sam incydent.

Na gruncie RODO wszyscy administratorzy danych osobowych mają obowiązek zgłaszania przypadków naruszania ochrony danych osobowych właściwemu organowi. Zgłoszenie nie musi zostać wysłane, gdy jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Niemniej w sytuacji, gdy administrator nie może tak zakwalifikować zaistniałego incydentu, powinien w ciągu 72 godzin zgłosić zdarzenie. W Polsce organem właściwym jest Prezes Urzędu Ochrony Danych Osobowych.

Trzeba także pamiętać, że z naruszeniem może wiązać się obowiązek zawiadomienia o incydencie osób, których dane osobowe zostały nim objęte. Taki obowiązek aktualizuje się, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności tych osób. Zawiadomienie powinno być zrealizowane bez zbędnej zwłoki

Cały artykuł autorstwa radcy prawnego Szymona Szurgacza znajduje się na stronie Rzeczpospolitej: https://www.rp.pl/Kadry/304219947-RODO-naruszenie-zasad-przetwarzania-danych-osobowych-trzeba-zglaszac.html?cid