1.
Dostawca usług komunikacji elektronicznej zawiadamia Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem UODO”, o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”.
2.
Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem usług telekomunikacyjnych.
3.
Prezes UODO zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu dostępu do tych środków i ich stosowania.
4.
W przypadku gdy naruszenie danych osobowych może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również tego abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z wyjątkiem ust. 7.
5.
Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes UODO wydaje w drodze decyzji.
6.
Przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.
7.
Zawiadomienie, o którym mowa w ust. 4, nie jest wymagane, jeżeli dostawca usług komunikacji elektronicznej wykazał wdrożenie technologicznych środków ochrony, o których mowa w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona została naruszona.
8.
Dostawca usług komunikacji elektronicznej wykazuje spełnienie warunków, o których mowa w ust. 7, przekazując niezwłocznie Prezesowi UODO odpowiednią dokumentację.
9.
Jeżeli dostawca usług komunikacji elektronicznej nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu danych osobowych, Prezes UODO może nałożyć na tego dostawcę, w drodze decyzji, obowiązek przekazania temu abonentowi lub użytkownikowi końcowemu, takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.
10.
W przypadku gdy naruszenie danych osobowych ma wpływ na abonentów lub użytkowników końcowych będących osobami fizycznymi z innych państw członkowskich, Prezes UODO informuje inne zainteresowane organy z państw członkowskich o tym naruszeniu.
