Czy podmiot przetwarzający musi zgłaszać administratorowi naruszenie ochrony danych

Agnieszka Stępień

Autor: Agnieszka Stępień

Dodano: 8 stycznia 2018
Czy podmiot przetwarzający musi zgłaszać administratorowi naruszenie ochrony danych

Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) w maju 2018 roku będzie oznaczało dla stron umowy powierzenia przetwarzania danych osobowych nowe obowiązki, w tym ten związany ze zgłaszaniem naruszeń ochrony danych osobowych. Dowiedz się, w jakich okolicznościach oraz kogo powinien poinformować o tym fakcie podmiot przetwarzający.

Powierzenie przetwarzania danych osobowych jest stosunkiem prawnym łączącym administratora danych oraz podmiot przetwarzający. Jako podmiot przetwarzający (procesora) należy rozumieć osobę fizyczną, prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane w imieniu administratora oraz zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie danych (RODO).

Co trzeba uregulować w umowie powierzenia

Umowa powierzenia przetwarzania danych osobowych nie jest nową konstrukcją prawną, od dawna była stosowana pod rządami ustawy o ochronie danych osobowych (uodo). Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) wymusi jednak na jej stronach zweryfikowanie dotychczasowych umów, głównie dlatego że RODO poszerza katalog obligatoryjnych elementów umowy powierzenia. W świetle nowych przepisów umowa powierzenia przetwarzania danych osobowych powinna zawierać:

  • przedmiot i czas trwania przetwarzania,
  • kategorię osób, których dane dotyczą,
  • charakter i cel przetwarzania,
  • prawa i obowiązki administratora oraz
  • obowiązki podmiotu przetwarzającego.

Jakie obowiązki ma podmiot przetwarzający

Podmiot przetwarzający jest zobowiązany wdrożyć środki techniczne i organizacyjne adekwatne do możliwego do wystąpienia naruszenia. Co za tym idzie – uwzględniwszy stan wiedzy technicznej, koszt wdrażania oraz charakter, cele, zakres i kontekst przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych, podmiot przetwarzający powinien stosować m.in. pseudonimizację i szyfrowanie danych. Stosowane przez niego rozwiązania powinny zagwarantować zdolność do:

  • ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania.

Przepisy RODO bardziej szczegółowo niż dzisiejsza ustawa opisują działania, jakie powinien podjąć podmiot przetwarzający, aby zagwarantować bezpieczeństwo powierzonych danych osobowych. Powinny one zapewnić większą transparentność, a także stanowić gwarancję, że podmiot przetwarzający rzeczywiście zapewnia odpowiednie mechanizmy bezpieczeństwa.

Uwaga

Podmiot przetwarzający może przetwarzać dane wyłącznie na udokumentowane polecenie administratora, a osoby, które zostały przez niego upoważnione, są zobowiązane zachować w tajemnicy informacje o przetwarzanych danych. Są to kolejne elementy, które mają zapewnić bezpieczeństwo przetwarzania powierzonych przez administratora danych osobowych.

Z jakich elementów musi składać się zgłoszenie naruszenia

Ogólne rozporządzenie o ochronie danych dąży do zapewnienia bezpieczeństwa powierzonych danych na wielu płaszczyznach. Wszystko po to, by zminimalizować możliwość wystąpienia incydentu. Ani administrator, ani podmiot przetwarzający nie są jednak w stanie całkowicie uchronić się przed możliwymi do wystąpienia zagrożeniami, dlatego ustawodawca unijny przewidział nową, nieznaną na gruncie ustawy o ochronie danych osobowych procedurę zobowiązującą zarówno administratora, jak i podmiot przetwarzający do zgłaszania występujących incydentów do organu nadzorczego.

O ile w przypadku administratorów taką informację należy kierować do organu nadzorczego (oraz w określonych przypadkach do osoby, której dane dotyczą), o tyle podmiot przetwarzający informuje o naruszeniu tylko administratora. Zgodnie z art. 33 RODO zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:

1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dane dotyczą;

2) imię nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

3) możliwe konsekwencje naruszenia ochrony danych osobowych;

4) środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jak uregulować zgłaszanie naruszeń przez procesora w umowie powierzenia

To, w jaki sposób administrator zobowiąże podmiot przetwarzający do poinformowania go o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób zostanie to uregulowane w umowie. Wydaje się, że podpowiedzią i drogowskazem może stać się art. 33 RODO, który wskazuje, co w szczególności ma istotne znaczenie w przypadku wystąpienia naruszenia. Warto także szczegółowo określić, kiedy podmiot przetwarzający powinien poinformować administratora o powstałym naruszeniu. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.

Dotychczas nie było obowiązku zgłaszania naruszeń ochrony danych osobowych (obecnie obowiązek informowania o powstałym naruszeniu stosowany jest w prawie telekomunikacyjnym w stosunku do dostawców publicznych), co za tym idzie – nie ma informacji o rzeczywistej skali tego zjawiska. Wiele podmiotów prowadzi własne wewnętrzne rejestry naruszeń, które mają na celu pomóc minimalizować powstanie nowych incydentów. Pojawienie się obowiązku zgłaszania do organu nadzorczego powstałych naruszeń pozwoli poznać prawdziwą skalę tego zjawiska, a także wypracować skuteczniejsze mechanizmy walki z tymi najczęściej występującymi.

Ważne:

To, w jakich okolicznościach oraz kiedy o naruszeniu dowiedział się organ nadzorczy, może mieć kluczowe znaczenie przy ustalaniu wysokości kary finansowej, jaka może zostać nałożona przez organ.

Agnieszka Stępień

Autor: Agnieszka Stępień

dr nauk prawnych, nauczyciel akademicki z zakresu ochrony danych osobowych, adiunkt w Instytucie Bezpieczeństwa w Społecznej Akademii Nauk, współzałożycielka Instytutu Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel