Tak, ponieważ wystąpienie naruszenia obliguje ADO do innych działań niż samo zagrożenie naruszenia.
Firmowa procedura naruszeń nie jest wprost wymagana w przepisach RODO. To administrator decyduje, jakie środki bezpieczeństwa przetwarzania danych stosować w organizacji. Niemniej jednak, jeżeli zostanie wprowadzona, to w istocie należy w niej odróżnić w niej postępowanie na wypadek stwierdzenia naruszenia i na wypadek stwierdzenia zagrożenia naruszenia. W tym pierwszym przypadku konieczne jest bowiem zawiadomienie Prezesa UODO o naruszeniu (art. 33 ust. 1 RODO), a w określonych sytuacjach także podmiotów danych (art. 34 ust. 1 RODO). Natomiast w przypadku podmiotu przetwarzającego istnieje obowiązek zawiadomienia administratora (art. 33 ust. 2 RODO).
Nie ma obowiązku informowania Prezesa UODO o naruszeniu, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W tym kontekście należy ocenić, czy np. sama awaria serwera wywołuje takie skutki. Być może w takim przypadku zawiadomienie nie będzie konieczne.
Żaden z tych obowiązków nie aktualizuje się natomiast w przypadku stwierdzenia ryzyka naruszenia. Wówczas zalecane jest podjęcie innych działań np. wdrożenie stosownych środków bezpieczeństwa przetwarzania danych (art. 32 RODO) czy też wyciągnięcie konsekwencji służbowych względem osób, które swymi zaniedbaniami doprowadziły do takiego ryzyka.
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
