Naruszenie ochrony danych u procesora – czy musi powiadomić o tym administratora
Podmiot przetwarzający informuje o naruszeniu ochrony danych osobowych tylko administratora, który powierzył mu te dane do przetwarzania.
Umowa powierzenia przetwarzania danych osobowych nie jest nową konstrukcją prawną. Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) wymusiło jednak na jej stronach zweryfikowanie dotychczasowych umów, głównie dlatego że RODO poszerzyło katalog obligatoryjnych elementów umowy powierzenia. Podmiot przetwarzający jest zobowiązany m.in. wdrożyć środki techniczne i organizacyjne adekwatne do możliwego do wystąpienia naruszenia.
Przepisy RODO bardziej szczegółowo niż ustawa o ochronie danych osobowych z 1997 roku opisują działania, jakie powinien podjąć podmiot przetwarzający, aby zagwarantować bezpieczeństwo powierzonych danych osobowych. Powinny one zapewnić większą transparentność, a także stanowić gwarancję, że podmiot przetwarzający rzeczywiście zapewnia odpowiednie mechanizmy bezpieczeństwa. Ogólne rozporządzenie o ochronie danych (RODO) dąży do zapewnienia bezpieczeństwa powierzonych danych na wielu płaszczyznach. Wszystko po to, by zminimalizować możliwość wystąpienia incydentu.
Ani administrator, ani podmiot przetwarzający nie są jednak w stanie całkowicie uchronić się przed możliwymi do wystąpienia zagrożeniami, dlatego ustawodawca unijny przewidział nową, nieznaną na gruncie ustawy o ochronie danych osobowych z 1997 roku procedurę zobowiązującą zarówno administratora, jak i podmiot przetwarzający do zgłaszania występujących incydentów. O ile w przypadku administratorów taką informację należy kierować do organu nadzorczego (oraz w określonych przypadkach do osoby, której dane dotyczą), o tyle podmiot przetwarzający informuje o naruszeniu tylko administratora.
Czy uregulować zgłaszanie naruszeń w umowie
To, w jaki sposób administrator zobowiąże podmiot przetwarzający do informowania o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób ureguluje to w umowie. Podpowiedzią i drogowskazem może stać się art. 33 ogólnego rozporządzenia o ochronie danych, który wskazuje, co w szczególności ma istotne znaczenie w przypadku wystąpienia naruszenia. Warto także szczegółowo określić, kiedy podmiot przetwarzający powinien poinformować o naruszeniu ochrony danych osobowych. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.
To, w jakich okolicznościach oraz kiedy o naruszeniu dowiedział się organ nadzorczy, może mieć kluczowe znaczenie przy ustalaniu wysokości kary finansowej, która może zostać nałożona przez organ.
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
- Czy spółdzielnia mieszkaniowa udostępnia dane osobowe do założenia księgi wieczystej dla lokalu
- Czy jednostka samorządowa musi udostępniać dane osobowe na żądanie ośrodka pomocy społecznej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
