Czy podmiot przetwarzający musi zgłaszać administratorowi naruszenie ochrony danych

Powierzenie przetwarzania danych osobowych jest stosunkiem prawnym łączącym administratora danych oraz podmiot przetwarzający. Jako podmiot przetwarzający (procesora) należy rozumieć osobę fizyczną, prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane w imieniu administratora oraz zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie danych (RODO).

Umowa powierzenia przetwarzania danych osobowych nie jest nową konstrukcją prawną, od dawna była stosowana pod rządami ustawy o ochronie danych osobowych (uodo). Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) wymusi jednak na jej stronach zweryfikowanie dotychczasowych umów, głównie dlatego że RODO poszerza katalog obligatoryjnych elementów umowy powierzenia. W świetle nowych przepisów umowa powierzenia przetwarzania danych osobowych powinna zawierać:

• przedmiot i czas trwania przetwarzania,
• kategorię osób, których dane dotyczą,
• charakter i cel przetwarzania,
• prawa i obowiązki administratora oraz
• obowiązki podmiotu przetwarzającego.

Podmiot przetwarzający jest zobowiązany wdrożyć środki techniczne i organizacyjne adekwatne do możliwego do wystąpienia naruszenia. Co za tym idzie – uwzględniwszy stan wiedzy technicznej, koszt wdrażania oraz charakter, cele, zakres i kontekst przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych, podmiot przetwarzający powinien stosować m.in. pseudonimizację i szyfrowanie danych. Stosowane przez niego rozwiązania powinny zagwarantować zdolność do:

• ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
• szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
• regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania.

Przepisy RODO bardziej szczegółowo niż dzisiejsza ustawa opisują działania, jakie powinien podjąć podmiot przetwarzający, aby zagwarantować bezpieczeństwo powierzonych danych osobowych. Powinny one zapewnić większą transparentność, a także stanowić gwarancję, że podmiot przetwarzający rzeczywiście zapewnia odpowiednie mechanizmy bezpieczeństwa.

Ogólne rozporządzenie o ochronie danych dąży do zapewnienia bezpieczeństwa powierzonych danych na wielu płaszczyznach. Wszystko po to, by zminimalizować możliwość wystąpienia incydentu. Ani administrator, ani podmiot przetwarzający nie są jednak w stanie całkowicie uchronić się przed możliwymi do wystąpienia zagrożeniami, dlatego ustawodawca unijny przewidział nową, nieznaną na gruncie ustawy o ochronie danych osobowych procedurę zobowiązującą zarówno administratora, jak i podmiot przetwarzający do zgłaszania występujących incydentów do organu nadzorczego.

O ile w przypadku administratorów taką informację należy kierować do organu nadzorczego (oraz w określonych przypadkach do osoby, której dane dotyczą), o tyle podmiot przetwarzający informuje o naruszeniu tylko administratora. Zgodnie z art. 33 RODO zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:

1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dane dotyczą;

2) imię nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

3) możliwe konsekwencje naruszenia ochrony danych osobowych;

4) środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

To, w jaki sposób administrator zobowiąże podmiot przetwarzający do poinformowania go o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób zostanie to uregulowane w umowie. Wydaje się, że podpowiedzią i drogowskazem może stać się art. 33 RODO, który wskazuje, co w szczególności ma istotne znaczenie w przypadku wystąpienia naruszenia. Warto także szczegółowo określić, kiedy podmiot przetwarzający powinien poinformować administratora o powstałym naruszeniu. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.

Dotychczas nie było obowiązku zgłaszania naruszeń ochrony danych osobowych (obecnie obowiązek informowania o powstałym naruszeniu stosowany jest w prawie telekomunikacyjnym w stosunku do dostawców publicznych), co za tym idzie – nie ma informacji o rzeczywistej skali tego zjawiska. Wiele podmiotów prowadzi własne wewnętrzne rejestry naruszeń, które mają na celu pomóc minimalizować powstanie nowych incydentów. Pojawienie się obowiązku zgłaszania do organu nadzorczego powstałych naruszeń pozwoli poznać prawdziwą skalę tego zjawiska, a także wypracować skuteczniejsze mechanizmy walki z tymi najczęściej występującymi.