Każdy pracownik o najmniejszym zdarzeniu związanym z ochroną danych osobowych powinien niezwłocznie zawiadomić swojego bezpośredniego przełożonego lub inspektora ochrony danych (jeżeli został powołany). Nie można działać na własną rękę lub zastanawiać się, czy warto fatygować tym faktem przełożonego. Należy dmuchać na zimne, ponieważ w ocenie pracownika mały incydent może okazać się dużym naruszeniem, mającym poważne skutki dla podmiotów danych. W zależności od wagi naruszenia administrator danych musi niezwłocznie podjąć działanie.

Jak postępować w razie wystąpienia zagrożenia?

  1. Zabezpieczyć dane osobowe – jeżeli jest taka możliwość.
  2. Nie działać na własną rękę – niezwłocznie zgłosić zdarzenie bezpośredniemu przełożonemu, najwyższemu kierownictwu lub inspektorowi ochrony danych (jeśli został powołany). W modelu ochrony danych opartym na ryzyku (risk based approach) informacja o faktycznych zdarzeniach o charakterze zagrożeń jest niezmiernie cenna, ponieważ pozwala wiarygodnie ocenić skuteczność przyjętych rozwiązań. Z tego względu lepiej jest analizować jak najwięcej przypadków. Dodatkowo, wyrobienie w sobie czysto psychologicznego przyzwolenia na bagatelizowanie symptomów potencjalnych naruszeń, doprowadza do stopniowego, postępującego znieczulenia na sprawy związane z ochroną prywatności.
  3. Ustalić okoliczności naruszenia ochrony danych osobowych.
  4. Sporządzić dokumentację naruszenia (notatkę).
  5. Zastosować działania zapobiegawcze, żeby ponownie nie doszło do zdarzenia.
  6. Współpracować z inspektorem ochrony danych osobowych oraz przedstawicielem organu nadzorczego.

Szybkość działania jest kluczowa przede wszystkim z uwagi na redukcję skutków naruszenia przede wszystkim z uwagi na redukcję skutków naruszenia. Na kwalifikację oraz ewentualne zgłoszenie naruszenia mamy tylko 72 godziny.