Komu należy zgłosić zaistniałe naruszenie ochrony danych osobowych?

Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w sytuacji gdy zaistniałe naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, administratorzy zobligowani są do zgłoszenia naruszenia krajowemu organowi nadzorczemu, którym w Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem, jest Prezes UODO, czy też może inny europejski organ nadzorczy.