Art. 44. - [Zgłoszenie naruszenia ochrony danych osobowych] - Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Dziennik Ustaw
Dz.U.2023.1206 t.j.
Akt obowiązujący Wersja od: 27 czerwca 2023 r.
Art. 44. [Zgłoszenie naruszenia ochrony danych osobowych]
1.
W przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza naruszenie Prezesowi Urzędu. Przepisu nie stosuje się, jeżeli nie wystąpiło ryzyko naruszenia praw i wolności osób fizycznych.2.
W przypadku niedotrzymania terminu, o którym mowa w ust. 1, administrator niezwłocznie zgłasza naruszenie oraz sporządza i przekazuje Prezesowi Urzędu uzasadnienie niedotrzymania tego terminu.3.
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je administratorowi, bez zbędnej zwłoki, nie później jednak niż w ciągu 48 godzin.4.
Zgłoszenie, o którym mowa w ust. 1 i 3, zawiera co najmniej następujące informacje:1)
opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wykazów danych osobowych, których dotyczy naruszenie;2)
imię i nazwisko lub nazwę oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, który może udzielić dodatkowych informacji;3)
opis możliwych konsekwencji naruszenia ochrony danych osobowych;4)
opis środków zastosowanych lub zaproponowanych przez administratora w celu usunięcia naruszenia ochrony danych osobowych, w tym zminimalizowania jego ewentualnych negatywnych skutków.5.
Jeżeli nie można przekazać informacji, o których mowa w ust. 4, w jednym zgłoszeniu, można je udzielać sukcesywnie bez zbędnej zwłoki.6.
Administrator dokumentuje dla celów kontrolnych przypadki naruszenia ochrony danych osobowych, o których mowa w ust. 1, podając okoliczności ich naruszenia, skutki oraz podjęte działania naprawcze, dołączając uwierzytelnioną przez siebie kopię zgłoszenia, o którym mowa w ust. 4.7.
W przypadku gdy naruszenie ochrony danych osobowych dotyczyło danych osobowych:1)
otrzymanych od administratora innego państwa członkowskiego Unii Europejskiej,2)
przesłanych do administratora innego państwa członkowskiego Unii Europejskiej- informacje, o których mowa w ust. 4, przekazuje się bez zbędnej zwłoki administratorowi tego państwa członkowskiego Unii Europejskiej.
8.
Prezes Urzędu może przeprowadzać kontrolę realizacji przez administratora obowiązków, o których mowa w ust. 1-7.