Gdy dochodzi do naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powinien zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie należy sporządzić jasnym i prostym językiem, z podaniem wszystkich informacji wymaganych przepisami prawa art. 34. ust.2 RODO.
W czerwcu 2022 roku organ nadzorczy wydał decyzję upominającą jednego z administratorów w sprawie sposobu zawiadomienia o naruszeniu ochrony danych osobowych osób, których te dane dotyczą. Chodzi o sprawę, w której administrator dokonał zgłoszenia naruszenia ochrony danych osobowych polegającego na uzyskaniu nieuprawnionego dostępu do służbowego konta poczty elektronicznej pracownika spółki. Administrator ustalił w szczególności, że dane osób, których dotyczyło zgłoszone naruszenie obejmowały m.in.: imię, nazwisko, adres zamieszkania/adres korespondencyjny, numer PESEL oraz numer dokumentu tożsamości (dowód osobisty/paszport). W zgłoszeniu administrator poinformował, że dokonał zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, a także przedstawił zanonimizowaną treść zawiadomienia, które skierował do tych osób.
W wyniku analizy treści zawiadomienia UODO uznał, że pierwotne zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych nie zawierało wymaganych stosownie do art. 34 ust.2 RODO informacji:
• opisu charakteru naruszenia ochrony danych osobowych,
• imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,
• opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz
• opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
W związku z tym organ nadzorczy zwrócił się do administratora o podjęcie stosownych działań mających na celu niezwłoczne, ponowne i prawidłowe, tj. obejmujące wszystkie ww. i wymagane prawem elementy. Analiza kolejnego zawiadomienia wykazała, że administrator nadal nie zawarł wszystkich wymaganych elementów, stosownie do art. 34 ust. 2 RODO. Pominięto opis charakteru naruszenia ochrony danych osobowych uwzględniającego kategorie danych osobowych objęte naruszeniem, czy opis możliwych konsekwencji naruszenia ochrony danych osobowych. Spółka poprzestała jedynie na ogólnych sformułowaniach. Wskazanie wymaganych przepisami prawa informacji nastąpiło dopiero po wszczęciu przez Prezesa UODO postępowania administracyjnego.