Czy w przypadku gdy firma zgłosiła naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych a od ostatniej korespondencji minęło 8 miesięcy można przyjąć, że wyjaśnienia uznano za wystarczające?

Firma produkcyjna spółka z o.o. zgłosiła naruszenie ochrony danych osobowych do UODO (zhakowano serwer z danymi fakturowymi w tym osób fizycznych również kontrahentów spółki). Natychmiast zostały podjęte środki zabezpieczające, aby do takich sytuacji nie doszło w przyszłości, o czym poinformowano UODO w zgłoszeniu. Spółka otrzymała wówczas dodatkowe zapytanie od UODO celem dalszego uszczegółowienia jak doszło do wycieku danych i jakie procedury zostały wdrożone. Firma udzieliła kolejnych wyjaśnień. Mija już 8-m-cy od ostatniej korespondencji z UODO, i do dnia dzisiejszego nie ma żadnej reakcji ze strony UODO.

Czy należy rozumieć, że UODO uznało wyjaśnienia za wystarczające i nie będzie wszczynane żadnego postępowanie? Jak długo należy czekać? Co powinna uczynić spółka, aby czuć się bezpiecznie, że UODO np. za dwa/trzy lata nie wyda decyzji/postanowienia w tej sprawie? Jak należy postąpić w przypadku gdyby spółka dowiedziała się, że skradzione dane fakturowe ktoś próbował sprzedać w Internecie? Czy firma powinna o tym poinformować UODO i np. prokuraturę?