W okresie, w którym właściwa komisja wyborcza do spraw przeprowadzenia głosowania dysponuje spisem wyborców, jest ona administratorem danych osobowych zapisanych w tym spisie. To na tej komisji jako na administratorze ciąży obowiązek reakcji na naruszenie zasad ochrony danych osobowych, w tym zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych.
Można powiedzieć, że komisja wyborcza przede wszystkim występuje w roli administratora danych osobowych.
Gminna komisja wyborcza jest administratorem danych osobowych w zakresie danych kandydatów zgłoszonych przez komitety wyborcze. A komisja wyborcza dysponująca spisem wyborców (dostępem do niego) jest administratorem danych z tego spisu.
Dane te są jej bowiem udostępnione a nie powierzone do przetwarzania. Wynika to z faktu, że komisja realizuje własne cele przetwarzania tych danych, tj. wykonuje swoje ustawowe obowiązki w zakresie organizacji i przeprowadzenia wyborów. To komisja wyborcza jest jedynym podmiotem, który decyduje o sposobach i celach przetwarzania danych osobowych zawartych w spisie wyborców.
RODO ustanawia na administratorach danych osobowych obowiązek reagowania na incydenty związane z ochroną danych osobowych. Obowiązek „samodenuncjacji” ustanawia art. 33 RODO, zgodnie z którym w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je do Prezesa Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Administrator powinien ponadto zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych jeżeli może to powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zawiadomienie powinno być dokonane bez zbędnej zwłoki. Zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- możliwe konsekwencje naruszenia ochrony danych osobowych;
- środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zawiadomienia nie trzeba dokonywać gdy:
- administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
- zawiadomienie wymagałoby niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Jeżeli administrator nie dokonał zawiadomienia podmiotu danych to może tego od niego zarządzać organ nadzorczy znający sprawę wskutek zgłoszenia.