Więcej
Nawigacja
ROZDZIAŁ I Przepisy ogólne (1-4)
Artykuł 1. Przedmiot i celeArtykuł 2. Materialny zakres stosowaniaArtykuł 3. Terytorialny zakres stosowaniaArtykuł 4. Definicje
ROZDZIAŁ II Zasady (5-11)
Artykuł 5. Zasady dotyczące przetwarzania danych osobowychArtykuł 6. Zgodność przetwarzania z prawemArtykuł 7. Warunki wyrażenia zgodyArtykuł 8. Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnegoArtykuł 9. Przetwarzanie szczególnych kategorii danych osobowychArtykuł 10. Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawaArtykuł 11. Przetwarzanie niewymagające identyfikacji
ROZDZIAŁ III Prawa osoby, której dane dotyczą (12-23)
Artykuł 12. Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotycząArtykuł 13. Informacje podawane w przypadku zbierania danych od osoby, której dane dotycząArtykuł 14. Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotycząArtykuł 15. Prawo dostępu przysługujące osobie, której dane dotycząArtykuł 16. Prawo do sprostowania danychArtykuł 17. Prawo do usunięcia danych („prawo do bycia zapomnianym”)Artykuł 18. Prawo do ograniczenia przetwarzaniaArtykuł 19. Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzaniaArtykuł 20. Prawo do przenoszenia danychArtykuł 21. Prawo do sprzeciwuArtykuł 22. Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanieArtykuł 23. Ograniczenia
ROZDZIAŁ IV Administrator i podmiot przetwarzający (24-43)
Artykuł 24. Przedmiot i celeArtykuł 25. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danychArtykuł 26. WspóładministratorzyArtykuł 27. Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w UniiArtykuł 28. Podmiot przetwarzającyArtykuł 29. Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającegoArtykuł 30. Rejestrowanie czynności przetwarzaniaArtykuł 31. Współpraca z organem nadzorczymArtykuł 32. Bezpieczeństwo przetwarzania
Artykuł 33. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
Artykuł 34. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowychArtykuł 35. Ocena skutków dla ochrony danychArtykuł 36. Uprzednie konsultacjeArtykuł 37. Wyznaczenie inspektora ochrony danychArtykuł 38. Status inspektora ochrony danychArtykuł 39. Zadania inspektora ochrony danychArtykuł 40. Kodeksy postępowaniaArtykuł 41. Monitorowanie zatwierdzonych kodeksów postępowaniaArtykuł 42. CertyfikacjaArtykuł 43. Podmiot certyfikujący
ROZDZIAŁ V Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych (44-50)
Artykuł 44. Ogólna zasada przekazywaniaArtykuł 45. Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochronyArtykuł 46. Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeńArtykuł 47. wiążące reguły korporacyjnychArtykuł 48. Przekazywanie lub ujawnianie niedozwolone na mocy prawa UniiArtykuł 49. Wyjątki w szczególnych sytuacjachArtykuł 50. Międzynarodowa współpraca na rzecz ochrony danych osobowych
ROZDZIAŁ VI Niezależne organy nadzorcze (51-59)
Artykuł 51. Organ nadzorczyArtykuł 52. NiezależnośćArtykuł 53. Ogólne warunki dotyczące członków organu nadzorczegoArtykuł 54. Zasady ustanawiania organu nadzorczegoArtykuł 55. WłaściwośćArtykuł 56. Właściwość wiodącego organu nadzorczegoArtykuł 57. ZadaniaArtykuł 58. UprawnieniaArtykuł 59. Sprawozdanie z działalności
ROZDZIAŁ VII Współpraca i spójność (60-70)
Artykuł 60. Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczyArtykuł 61. Wzajemna pomocArtykuł 62. Wspólne operacje organów nadzorczychArtykuł 63. Mechanizm spójnościArtykuł 64. Opinia Europejskiej Rady Ochrony DanychArtykuł 65. Rozstrzyganie sporów przez Europejską Radę Ochrony DanychArtykuł 66. Tryb pilnyArtykuł 67. Wymiana informacjiArtykuł 68. Europejska Rada Ochrony DanychArtykuł 69. NiezależnośćArtykuł 70. Zadania Europejskiej Rady Ochrony DanychArtykuł 71. SprawozdaniaArtykuł 72. ProceduraArtykuł 73. PrzewodniczącyArtykuł 74. Zadania przewodniczącegoArtykuł 75. SekretariatArtykuł 76. Poufność
ROZDZIAŁ VIII Środki ochrony prawnej, odpowiedzialność i sankcje (77-84)
Artykuł 77. Prawo do wniesienia skargi do organu nadzorczegoArtykuł 78. Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemuArtykuł 79. Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemuArtykuł 80. Reprezentowanie osób, których dane dotycząArtykuł 81. Zawieszenie postępowaniaArtykuł 82. Prawo do odszkodowania i odpowiedzialnośćArtykuł 83. Ogólne warunki nakładania administracyjnych kar pieniężnychArtykuł 84. Sankcje
ROZDZIAŁ IX Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem (85-91)
Artykuł 85. Przetwarzanie a wolność wypowiedzi i informacjiArtykuł 86. Przetwarzanie a publiczny dostęp do dokumentów urzędowychArtykuł 87. Przetwarzanie krajowego numeru identyfikacyjnegoArtykuł 88. Przetwarzanie w kontekście zatrudnieniaArtykuł 89. Zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznychArtykuł 90. Obowiązek zachowania tajemnicyArtykuł 91. Istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe
ROZDZIAŁ X Akty delegowane i akty wykonawcze (92-93)
Artykuł 92. Wykonywanie przekazanych uprawnieńArtykuł 93. Procedura komitetowa
ROZDZIAŁ XI Przepisy końcowe (94-95)
Artykuł 94. Uchylenie dyrektywy 95/46/WEArtykuł 95. Stosunek do dyrektywy 2002/58/WEArtykuł 96. Stosunek do uprzednio zawartych umówArtykuł 97. Sprawozdania KomisjiArtykuł 98. Przegląd innych aktów prawnych Unii dotyczących ochrony danychArtykuł 99. Wejście w życie i stosowanie
RODO > Artykuł 33. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
Pobierz jako plik PDF

Artykuł 33 RODO. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

Article 33 GDPR. Notification of a personal data breach to the supervisory authority

1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

Powiązane teksty
Powiązane teksty

2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

3. The notification referred to in paragraph 1 shall at least:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;

b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;

c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

(c) describe the likely consequences of the personal data breach;

d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

4. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki

4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.

5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article.

Ogólne rozporządzenie o ochronie danych (RODO)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 33 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


aby uzyskać dostęp do pełnego tekstu

Motywy

(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(85) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

(85) A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay.

(87) Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu.

(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

(88) Przy określaniu szczegółowych przepisów o formie i procedurach mających zastosowanie do zawiadamiania o naruszeniu ochrony danych osobowych należy wziąć pod uwagę okoliczności naruszenia, w tym fakt, czy dane osobowe były zabezpieczone odpowiednimi technicznymi środkami ochrony skutecznie ograniczającymi prawdopodobieństwo oszustwa dotyczącego tożsamości lub innych form nadużycia. W przepisach tych i procedurach należy ponadto uwzględnić prawnie uzasadnione interesy organów ścigania, jeżeli przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia ochrony danych osobowych.

(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

Wytyczne & Case Law zostaw komentarz
[js-disqus]