art. 402
Ustawa z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej
Dz.U. 2024 poz. 1221
Treść przepisu
Art. 402.
1.
Dostawca usług komunikacji elektronicznej zawiadamia Prezesa Urzędu Ochrony Danych
Osobowych, zwanego dalej „Prezesem UODO”, o naruszeniu danych osobowych w terminie
i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków
mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych,
na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności
elektronicznej
(Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”.
2.
Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie,
utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych
przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem usług telekomunikacyjnych.
3.
Prezes UODO zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach
naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu
dostępu do tych środków i ich stosowania.
4.
W przypadku gdy naruszenie danych osobowych może wywrzeć niekorzystny wpływ na prawa
abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca usług telekomunikacyjnych
niezwłocznie zawiadamia o takim naruszeniu również tego abonenta lub użytkownika końcowego
na zasadach określonych w rozporządzeniu 611/2013, z wyjątkiem ust. 7.
5.
Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes UODO wydaje w
drodze decyzji.
6.
Przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa
abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie,
które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi,
szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub
innej ustawowo chronionej tajemnicy zawodowej.
7.
Zawiadomienie, o którym mowa w ust. 4, nie jest wymagane, jeżeli dostawca usług komunikacji
elektronicznej wykazał wdrożenie technologicznych środków ochrony, o których mowa
w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych
przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona
została naruszona.
8.
Dostawca usług komunikacji elektronicznej wykazuje spełnienie warunków, o których
mowa w ust. 7, przekazując niezwłocznie Prezesowi UODO odpowiednią dokumentację.
9.
Jeżeli dostawca usług komunikacji elektronicznej nie zawiadomił abonenta lub użytkownika
końcowego będącego osobą fizyczną o naruszeniu danych osobowych, Prezes UODO może
nałożyć na tego dostawcę, w drodze decyzji, obowiązek przekazania temu abonentowi
lub użytkownikowi końcowemu, takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne
skutki naruszenia.
10.
W przypadku gdy naruszenie danych osobowych ma wpływ na abonentów lub użytkowników
końcowych będących osobami fizycznymi z innych państw członkowskich, Prezes UODO informuje
inne zainteresowane organy z państw członkowskich o tym naruszeniu.
Źródło: Internetowy System Aktów Prawnych — ISAP (isap.sejm.gov.pl), pozyskano 12.07.2026. · PDF źródłowy