Naruszenie ochrony danych z przeszłości – jak z nim postąpić

Michał Kowalski

Autor: Michał Kowalski

Dodano: 20 stycznia 2020
0da9cc34bcea872ae970d48a2f657cc4d29c9567-large (1)
Pytanie:  Nowy inspektor ochrony danych wykrył naruszenie ochrony danych, które miało miejsce w przeszłości, przed objęciem przez niego funkcji IOD. Jak powinien zareagować?
Odpowiedź: 

IOD powinien ustalić prawdopodobieństwo naruszenia praw i wolności osób fizycznych a następnie w zależności od wyników ustaleń zarekomendować administratorowi zgłoszenie naruszenia lub brak reakcji.

To ADO a nie IOD zgłasza naruszenia

Inspektor ochrony danych ma następujące zadania:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  • współpraca z organem nadzorczym;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1 RODO).
Uwaga

Zgłaszanie naruszeń ochrony danych nie jest obowiązkiem IOD. To obowiązek, który powinien wykonać administrator (art. 33 ust. 1 RODO).

Zgłaszamy także naruszenia z przeszłości

Co zatem powinien zrobić IOD? W pierwszej kolejności powinien podjąć próbę ustalenia, czy zgłoszenie naruszenia Prezesowi UODO jest konieczne. Takie zgłoszenie nie jest wymagane, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1 RODO). Jeśli IOD ustali, że prawdopodobieństwo to jest przynajmniej średnie, wówczas powinien zarekomendować administratorowi niezwłoczne zgłoszenie naruszenia do Prezesa UODO, bez względu na to, że termin naruszenia minął.

Uwaga

Zatajenie naruszenia będzie niewykonaniem obowiązku nałożonego przez RODO, za co administratorowi grozi kara pieniężna (teoretycznie nawet do kwoty 10 mln euro).

Michał Kowalski

Autor: Michał Kowalski

Radca prawny, specjalista z zakresu prawa pracy i ubezpieczeń społecznych oraz prawa oświatowego, redaktor licznych publikacji

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x