Aktualny

Czy podmiot przetwarzający musi zgłosić naruszenie ochrony danych osobowych

Agnieszka Stępień

Autor: Agnieszka Stępień

Dodano: 29 grudnia 2017
Czy podmiot przetwarzający musi zgłosić naruszenie ochrony danych osobowych
Pytanie:  Zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych administrator powinien zgłosić naruszenie ochrony danych osobowych do organu nadzorczego i w niektórych przypadkach powiadomić o nim osobę, której dane dotyczą. Czy takie same zasady odnoszą się do podmiotu przetwarzającego?
Odpowiedź: 

Podmiot przetwarzający informuje o naruszeniu ochrony powierzonych danych osobowych tylko administratora, który powierzył mu te dane do przetwarzania.

Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) w maju 2018 roku będzie oznaczało dla stron umowy powierzenia przetwarzania danych osobowych nowe obowiązki, w tym ten związany ze zgłaszaniem naruszeń ochrony danych osobowych.

Co zmieni się w umowach powierzenia

Umowa powierzenia przetwarzania danych osobowych nie jest nową konstrukcją prawną, od dawna jest stosowana pod rządami ustawy o ochronie danych osobowych. Rozpoczęcie obowiązywania RODO wymusi jednak na jej stronach zweryfikowanie dotychczasowych umów głównie, dlatego że RODO poszerza katalog obligatoryjnych elementów umowy powierzenia. Podmiot przetwarzający będzie zobowiązany m.in. wdrożyć środki techniczne i organizacyjne adekwatne do możliwego do wystąpienia naruszenia. Co za tym idzie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, cele, zakres i kontekst przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych, powinien stosować m.in. pseudonimizację i szyfrowanie danych.

Przepisy RODO bardziej szczegółowo niż dzisiejsza ustawa opisują działania, jakie powinien podjąć podmiot przetwarzający, aby zagwarantować bezpieczeństwo powierzonych danych osobowych. Powinny one zapewnić większą transparentność, a także stanowić gwarancję, że podmiot przetwarzający rzeczywiście zapewnia odpowiednie mechanizmy bezpieczeństwa.

Ważne:

Podmiot przetwarzający może przetwarzać dane wyłącznie na udokumentowane polecenie administratora, a osoby, które zostały przez niego upoważnione, są zobowiązane zachować w tajemnicy informacje o przetwarzanych danych.

Jakie informacje zawrzeć w zgłoszeniu naruszenia

Ogólne rozporządzenie o ochronie danych (RODO) dąży do zapewnienia bezpieczeństwa powierzonych danych na wielu płaszczyznach. Wszystko po to, by zminimalizować możliwość wystąpienia incydentu. Ani administrator, ani podmiot przetwarzający nie są jednak w stanie całkowicie uchronić się przed możliwymi do wystąpienia zagrożeniami, dlatego ustawodawca unijny przewidział nową, nieznaną na gruncie ustawy o ochronie danych osobowych procedurę zobowiązującą zarówno administratora, jak i podmiot przetwarzający do zgłaszania występujących incydentów.

O ile w przypadku administratorów taką informację należy kierować do organu nadzorczego (oraz w określonych przypadkach do osoby, której dane dotyczą), o tyle podmiot przetwarzający informuje o naruszeniu tylko administratora. Zgodnie z art. 33 RODO zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:

1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dane dotyczą;

2) imię nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

3) możliwe konsekwencje naruszenia ochrony danych osobowych;

4) środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym stosowanych przepadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jak uregulować informowanie o naruszeniu w umowie

To, w jaki sposób administrator zobowiąże podmiot przetwarzający do informowania o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób zostanie to uregulowane w umowie. Podpowiedzią i drogowskazem może stać się art. 33 RODO, który wskazuje, co w szczególności ma istotne znaczenie w przypadku wystąpienia naruszenia. Warto także szczegółowo określić, kiedy podmiot przetwarzający powinien poinformować o naruszeniu. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.

Ważne:

To, w jakich okolicznościach oraz kiedy o naruszeniu dowiedział się organ nadzorczy, może mieć kluczowe znaczenie przy ustalaniu wysokości kary finansowej, jaka może zostać nałożona przez organ.

Agnieszka Stępień

Autor: Agnieszka Stępień

dr nauk prawnych, nauczyciel akademicki z zakresu ochrony danych osobowych, adiunkt w Instytucie Bezpieczeństwa w Społecznej Akademii Nauk, współzałożycielka Instytutu Ochrony Danych Osobowych

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x