Od 22 marca 2013 r. dostawcy usług telekomunikacyjnych muszą zawiadamiać GIODO i abonentów o naruszeniu danych osobowych i prowadzić rejestr takich zdarzeń.

Obowiązki takie nakładają na nich przepisy ustawy z dnia 16 listopada 2012 r. o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw (Dz. U. 2012, poz. 1445). Na jej mocy do Prawa telekomunikacyjnego dodano art. 174a-174d, które stanowią że:

1. dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia (art. 174a ust. 1),
2. przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych (art. 174a ust. 2),
3. w przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego (art. 174a ust. 3),
4. przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej (art. 174a ust. 4),
5. zarówno zawiadomienie GIODO, jak i zawiadomienie abonenta lub użytkownika końcowego będącego osobą fizyczną powinny zawierać m.in.: opis charakteru naruszenia danych osobowych, dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia oraz o działaniach podjętych przez dostawcę, opis skutków naruszenia oraz proponowanych przez dostawcę środków naprawczych. Przy czym zawiadomienie GIODO powinno dodatkowo zawierać informacje o zakładanym ryzyku związanym z powstałym naruszeniem oraz o fakcie (lub jego braku) poinformowania abonenta lub użytkownika końcowego, będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych (art. 174a ust. 7, art. 174a ust. 8),
6. zawiadomienia GIODO można dokonać na formularzu, który jest dostępny na stronie internetowej www.giodo.gov.pl w zakładce Elektroniczna Skrzynka Podawcza, jak również na stronie internetowej www.epuap.gov.pl.
7. dostawca publicznie dostępnych usług telekomunikacyjnych nie musi zawiadamiać abonenta lub użytkownika końcowego o naruszeniu, jeżeli wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona (art. 174a ust. 5),
8. jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Generalny Inspektor Ochrony Danych Osobowych może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia (art. 174a ust. 6),
9. dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań, o których mowa w art. 174a ust. 8 pkt 4 i 6, zawierający w szczególności: opis charakteru naruszenia danych osobowych,  informacje o zaleconych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych, informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych, informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych, opis skutków naruszenia danych osobowych, opis zaproponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych (art. 174d ust. 1),
10. dostawca publicznie dostępnych usług telekomunikacyjnych może powierzyć w drodze umowy, innemu przedsiębiorcy, prowadzenie rejestru naruszeń danych osobowych (art. 174d ust. 2),
11. do sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych, kontroli wykonywania przez dostawców publicznie dostępnych usług telekomunikacyjnych wskazanych wyżej obowiązków, stosuje się odpowiednio przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (art. 174b),
12. Generalny Inspektor Ochrony Danych Osobowych przy kierowaniu do dostawcy publicznie dostępnych usług telekomunikacyjnych wystąpień w trybie art. 19a ustawy o ochronie danych osobowych, uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadamiania abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Generalny Inspektor Ochrony Danych Osobowych może publikować takie wystąpienia na swojej stronie podmiotowej BIP, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa (art. 174c).