Terminy w RODO: 72 Godziny na Zgłoszenie i Inne Obowiązki
Zarządzanie danymi osobowymi to nie tylko kwestia dobrych praktyk, ale przede wszystkim ścisłego przestrzegania terminów narzuconych przez RODO. Poznaj najważniejsze obowiązki i ramy czasowe, aby działać zgodnie z prawem i unikać kosztownych kar.
Zgłaszanie Naruszeń Ochrony Danych: Kluczowe Terminy
To jeden z najbardziej krytycznych i czasochłonnych obowiązków administratora danych. Szybka i prawidłowa reakcja na incydent ma kluczowe znaczenie dla ograniczenia negatywnych skutków i wykazania należytej staranności przed organem nadzorczym.
Zgłoszenie do organu nadzorczego (UODO)
Masz na to 72 godziny od momentu stwierdzenia naruszenia. Co ważne, jest to czas liczony w godzinach zegarowych, obejmujący również weekendy i święta. Opóźnienie jest dopuszczalne tylko wtedy, gdy potrafisz je rzetelnie uzasadnić.
Wyjątek: Nie musisz zgłaszać naruszenia, jeśli jest mało prawdopodobne, by powodowało ono ryzyko naruszenia praw lub wolności osób fizycznych. Pamiętaj jednak, aby dokładnie udokumentować tę decyzję i jej uzasadnienie.
Powiadomienie osoby, której dane dotyczą
Jeśli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności, musisz powiadomić o nim osobę, której dane dotyczą. RODO nakazuje zrobić to "bez zbędnej zwłoki". W praktyce oznacza to jak najszybciej po ocenie ryzyka i ustaleniu, że jest ono wysokie.
Realizacja Praw Osób (Dostęp, Usunięcie): Terminy
Każda osoba fizyczna ma prawo kontrolować swoje dane. Twoim obowiązkiem jako administratora jest umożliwienie jej tego w określonych ramach czasowych. Sprawna obsługa żądań buduje zaufanie i świadczy o profesjonalizmie organizacji.
Odpowiedź na żądanie
Na odpowiedź na żądanie (np. o dostęp do danych, ich sprostowanie, usunięcie czy przeniesienie) masz jeden miesiąc od dnia otrzymania żądania.
Termin ten można przedłużyć o kolejne dwa miesiące, jeśli żądanie ma skomplikowany charakter lub jest ich wiele. Musisz jednak w ciągu pierwszego miesiąca poinformować osobę o takim przedłużeniu i podać jego przyczyny.
Inne kluczowe obowiązki i terminy
- Ocena skutków dla ochrony danych (DPIA): Należy ją przeprowadzić przed rozpoczęciem przetwarzania, które z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności (np. przy wdrażaniu nowych technologii, profilowaniu na dużą skalę).
- Przechowywanie danych (retencja): Dane osobowe można przechowywać tylko tak długo, jak jest to niezbędne do celów, w których są przetwarzane. Okresy retencji powinny być zdefiniowane w wewnętrznych politykach i przestrzegane.
- Rejestr czynności przetwarzania: Musi być prowadzony i aktualizowany na bieżąco. To dokument, który żyje wraz z organizacją i odzwierciedla wszystkie operacje na danych.
- Powołanie Inspektora Ochrony Danych (IOD): Jeśli Twoja organizacja ma taki obowiązek, powołanie IOD i zgłoszenie go do UODO powinno nastąpić bez zbędnej zwłoki.
Podsumowanie w pigułce
| Zadanie | Termin |
|---|---|
| Zgłoszenie naruszenia do UODO | 72 godziny od stwierdzenia |
| Powiadomienie osoby o naruszeniu (wysokie ryzyko) | Bez zbędnej zwłoki |
| Odpowiedź na żądanie osoby | 1 miesiąc (możliwość przedłużenia o 2) |
| Poinformowanie o przedłużeniu terminu odpowiedzi | W ciągu 1 miesiąca od otrzymania żądania |
Nie jesteś pewien, czy musisz zgłosić naruszenie?
Użyj naszego kalkulatora ryzyka, aby szybko ocenić sytuację i podjąć właściwą decyzję.
Oceń swój przypadek