Jakie informacje musi zawierać zgłoszenie naruszenia kierowane do Prezesa UODO?
Zgodnie z art. 33 ust. 3 rozporządzenia 2016/679, administrator powinien wskazać w zgłoszeniu naruszenia następujące informacje:
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
- wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- wskazanie środków, jakie zostały zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Istotne jest, aby opis charakteru naruszenia był na tyle szczegółowy i jasny, aby organ nadzorczy mógł ocenić całość zdarzenia i podjąć skuteczne działania. Oznacza to, że całe zdarzenie, jakie miało miejsce, powinno być opisane jak najdokładniej, tj. opisywać co się wydarzyło (np. kradzież laptopa/utrata dokumentacji), jakich kategorii danych dotyczyło (np. imię, nazwisko, numer PESEL, wyniki badań USG, login i hasło do konta), czas i miejsce zdarzenia (data, godzina, miejscowość) oraz udział innych podmiotów w zaistniałym naruszeniu (np. procesor, operator pocztowy, kancelaria prawna/księgowa).
Przede wszystkim należy również pamiętać, aby poinformować organ nadzorczy o danych dotyczących inspektora ochrony danych, tj. imieniu i nazwisku, adresie poczty elektronicznej lub numerze telefonu lub o innym punkcie kontaktowym, tak żeby Prezes UODO mógł bez przeszkód uzyskać niezbędne informacje dotyczące zgłoszonego naruszenia. Administrator powinien wskazać osobie, której dane dotyczą, możliwe konsekwencje naruszenia ochrony danych osobowych (określić jakie ryzyka związane są z naruszeniem określonych kategorii danych) oraz przedstawić środki – jakie wprowadził w swojej organizacji w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości oraz środki – jakie rekomenduje przedsięwziąć osobiście podmiotom danych w celu ochrony ich praw lub wolności.