Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Jaka jest rola podmiotu przetwarzającego i jakie zadania leżą po jego stronie w momencie, gdy dochodzi do naruszenia ochrony danych osobowych?

Do zadań podmiotu przetwarzającego należy jedynie ustalenie, czy doszło do naruszenia ochrony danych osobowych i niezwłoczne zgłoszenie tego do administratora danych osobowych. To po stronie administratora leży dokonanie oceny ryzyka naruszenia praw, a gdy wynika taka potrzeba poinformowanie o naruszeniu Prezesa UODO i osób, którego ono dotyczy.

Przed uruchomieniem wszelkich procesów i działań, które prowadzą do minimalizacji negatywnych konsekwencji tego naruszenia, kluczowe jest stwierdzenie przez administratora, czy doszło do naruszenia ochrony danych osobowych. W przypadku, gdy do niego doszło, administrator powinien w miarę możliwości od razu, nie później niż w terminie 72 godzin od stwierdzenia naruszenia zgłosić je do organu nadzorczego, chyba że jest mało prawdopodobne, że naruszenie skutkuje naruszeniem praw lub wolności osób fizycznych.

Reasumując, prawidłowe działanie administratora danych osobowych jest ściśle powiązane z podmiotem przetwarzającym. Aby administrator mógł szybko wywiązywać się z realizacji swoich obowiązków, podmiot przetwarzający musi działać prawidłowo. Art. 33 ust.2 RODO zobowiązuje go, by w momencie stwierdzenia naruszenia ochrony danych osobowych od razu zgłosił je do administratora.  Grupa Robocza Art. 20 wskazuje w  „Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679”, że podmiot przetwarzający nie musi oceniać ryzyka naruszenia praw lub wolności osób fizycznych, czy też prawdopodobieństwa wystąpienia naruszenia ochrony danych osobowych. To administrator danych osobowych jest odpowiedzialny za przeprowadzenie takiej oceny, a podmiot przetwarzający ustala jedynie, czy doszło do naruszenia ochrony danych osobowych.

Źródło:
Newsletter UODO dla Inspektorów ochrony danych nr 5/2021(26) Maj 2021

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość