Jakie są sposoby informowania osób o naruszeniu ich danych?

Forma, w jakiej podmioty danych powinny być zawiadomione o naruszeniu, nie została wprost wskazana w RODO. Ostateczny jej dobór będzie zależał od danych kontaktowych podmiotów danych, którymi dysponuje administrator.

Mając na względzie znaczenie zawiadomienia, powinno być ono sporządzone w formie, która umożliwi podmiotowi danych na wielokrotne zapoznanie się z jego treścią. Bardzo ważne jest, aby zawiadomienie zostało dostarczone do adresata w możliwie najkrótszym czasie. Wybierając mniej efektywny środek komunikacji, administrator może spowodować nieuzasadnioną zwłokę w przekazaniu informacji.

W tym kontekście wadą przesyłki nadanej drogą tradycyjną jest czas niezbędny na jej doręczenie podmiotowi danych. Dla porównania zasadniczą zaletą elektronicznej formy komunikacji jest jej szybkość, co jest pożądane z uwagi na obowiązek powiadomienia podmiotu danych bez zbędnej zwłoki (art. 34 ust. 1 RODO). Forma ta umożliwia adresatowi wielokrotne zapoznanie się z komunikatem oraz jego wydruk w razie potrzeby.

Co do zasady administrator bezpośrednio powiadamia osoby, których dane naruszono, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą, (art. 34 ust. 3 lit. c RODO).

Do powiadamiania osób, których dane naruszono, administrator powinien stosować komunikaty dedykowane, które nie powinny być przesyłane razem z innymi informacjami, na przykład newsletterem, czy standardową wiadomością. Pomoże to przekazać informacje o naruszeniu w jasny i przejrzysty sposób. Powiadomienia ograniczającego się do komunikatu prasowego, czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu.

Źródło: UODO

» RODO w pytaniach i odpowiedziach