Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) w maju 2018 roku będzie oznaczało dla stron umowy powierzenia przetwarzania danych osobowych nowe obowiązki, w tym ten związany ze zgłaszaniem naruszeń ochrony danych osobowych. Dowiedz się, w jakich okolicznościach oraz kogo powinien poinformować o tym fakcie podmiot przetwarzający.
Powierzenie przetwarzania danych osobowych jest stosunkiem prawnym łączącym administratora danych oraz podmiot przetwarzający. Jako podmiot przetwarzający (procesora) należy rozumieć osobę fizyczną, prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane w imieniu administratora oraz zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie danych (RODO).
Umowa powierzenia przetwarzania danych osobowych nie jest nową konstrukcją prawną, od dawna była stosowana pod rządami ustawy o ochronie danych osobowych (uodo). Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) wymusi jednak na jej stronach zweryfikowanie dotychczasowych umów, głównie dlatego że RODO poszerza katalog obligatoryjnych elementów umowy powierzenia. W świetle nowych przepisów umowa powierzenia przetwarzania danych osobowych powinna zawierać:
Podmiot przetwarzający jest zobowiązany wdrożyć środki techniczne i organizacyjne adekwatne do możliwego do wystąpienia naruszenia. Co za tym idzie – uwzględniwszy stan wiedzy technicznej, koszt wdrażania oraz charakter, cele, zakres i kontekst przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych, podmiot przetwarzający powinien stosować m.in. pseudonimizację i szyfrowanie danych. Stosowane przez niego rozwiązania powinny zagwarantować zdolność do:
Przepisy RODO bardziej szczegółowo niż dzisiejsza ustawa opisują działania, jakie powinien podjąć podmiot przetwarzający, aby zagwarantować bezpieczeństwo powierzonych danych osobowych. Powinny one zapewnić większą transparentność, a także stanowić gwarancję, że podmiot przetwarzający rzeczywiście zapewnia odpowiednie mechanizmy bezpieczeństwa.
Podmiot przetwarzający może przetwarzać dane wyłącznie na udokumentowane polecenie administratora, a osoby, które zostały przez niego upoważnione, są zobowiązane zachować w tajemnicy informacje o przetwarzanych danych. Są to kolejne elementy, które mają zapewnić bezpieczeństwo przetwarzania powierzonych przez administratora danych osobowych.
Ogólne rozporządzenie o ochronie danych dąży do zapewnienia bezpieczeństwa powierzonych danych na wielu płaszczyznach. Wszystko po to, by zminimalizować możliwość wystąpienia incydentu. Ani administrator, ani podmiot przetwarzający nie są jednak w stanie całkowicie uchronić się przed możliwymi do wystąpienia zagrożeniami, dlatego ustawodawca unijny przewidział nową, nieznaną na gruncie ustawy o ochronie danych osobowych procedurę zobowiązującą zarówno administratora, jak i podmiot przetwarzający do zgłaszania występujących incydentów do organu nadzorczego.
O ile w przypadku administratorów taką informację należy kierować do organu nadzorczego (oraz w określonych przypadkach do osoby, której dane dotyczą), o tyle podmiot przetwarzający informuje o naruszeniu tylko administratora. Zgodnie z art. 33 RODO zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:
1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dane dotyczą;
2) imię nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3) możliwe konsekwencje naruszenia ochrony danych osobowych;
4) środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
To, w jaki sposób administrator zobowiąże podmiot przetwarzający do poinformowania go o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób zostanie to uregulowane w umowie. Wydaje się, że podpowiedzią i drogowskazem może stać się art. 33 RODO, który wskazuje, co w szczególności ma istotne znaczenie w przypadku wystąpienia naruszenia. Warto także szczegółowo określić, kiedy podmiot przetwarzający powinien poinformować administratora o powstałym naruszeniu. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.
Dotychczas nie było obowiązku zgłaszania naruszeń ochrony danych osobowych (obecnie obowiązek informowania o powstałym naruszeniu stosowany jest w prawie telekomunikacyjnym w stosunku do dostawców publicznych), co za tym idzie – nie ma informacji o rzeczywistej skali tego zjawiska. Wiele podmiotów prowadzi własne wewnętrzne rejestry naruszeń, które mają na celu pomóc minimalizować powstanie nowych incydentów. Pojawienie się obowiązku zgłaszania do organu nadzorczego powstałych naruszeń pozwoli poznać prawdziwą skalę tego zjawiska, a także wypracować skuteczniejsze mechanizmy walki z tymi najczęściej występującymi.
To, w jakich okolicznościach oraz kiedy o naruszeniu dowiedział się organ nadzorczy, może mieć kluczowe znaczenie przy ustalaniu wysokości kary finansowej, jaka może zostać nałożona przez organ.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl