Czy podmiot przetwarzający musi zgłosić naruszenie ochrony danych osobowych

Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) w maju 2018 roku będzie oznaczało dla stron umowy powierzenia przetwarzania danych osobowych nowe obowiązki, w tym ten związany ze zgłaszaniem naruszeń ochrony danych osobowych.

Umowa powierzenia przetwarzania danych osobowych nie jest nową konstrukcją prawną, od dawna jest stosowana pod rządami ustawy o ochronie danych osobowych. Rozpoczęcie obowiązywania RODO wymusi jednak na jej stronach zweryfikowanie dotychczasowych umów głównie, dlatego że RODO poszerza katalog obligatoryjnych elementów umowy powierzenia. Podmiot przetwarzający będzie zobowiązany m.in. wdrożyć środki techniczne i organizacyjne adekwatne do możliwego do wystąpienia naruszenia. Co za tym idzie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, cele, zakres i kontekst przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych, powinien stosować m.in. pseudonimizację i szyfrowanie danych.

Przepisy RODO bardziej szczegółowo niż dzisiejsza ustawa opisują działania, jakie powinien podjąć podmiot przetwarzający, aby zagwarantować bezpieczeństwo powierzonych danych osobowych. Powinny one zapewnić większą transparentność, a także stanowić gwarancję, że podmiot przetwarzający rzeczywiście zapewnia odpowiednie mechanizmy bezpieczeństwa.

Ogólne rozporządzenie o ochronie danych (RODO) dąży do zapewnienia bezpieczeństwa powierzonych danych na wielu płaszczyznach. Wszystko po to, by zminimalizować możliwość wystąpienia incydentu. Ani administrator, ani podmiot przetwarzający nie są jednak w stanie całkowicie uchronić się przed możliwymi do wystąpienia zagrożeniami, dlatego ustawodawca unijny przewidział nową, nieznaną na gruncie ustawy o ochronie danych osobowych procedurę zobowiązującą zarówno administratora, jak i podmiot przetwarzający do zgłaszania występujących incydentów.

O ile w przypadku administratorów taką informację należy kierować do organu nadzorczego (oraz w określonych przypadkach do osoby, której dane dotyczą), o tyle podmiot przetwarzający informuje o naruszeniu tylko administratora. Zgodnie z art. 33 RODO zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:

1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dane dotyczą;

2) imię nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

3) możliwe konsekwencje naruszenia ochrony danych osobowych;

4) środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym stosowanych przepadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

To, w jaki sposób administrator zobowiąże podmiot przetwarzający do informowania o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób zostanie to uregulowane w umowie. Podpowiedzią i drogowskazem może stać się art. 33 RODO, który wskazuje, co w szczególności ma istotne znaczenie w przypadku wystąpienia naruszenia. Warto także szczegółowo określić, kiedy podmiot przetwarzający powinien poinformować o naruszeniu. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.