Aktualny

Czy IOD ma dokonać zgłoszenia naruszenia ochrony danych osobowych

Michał Kowalski

Autor: Michał Kowalski

Dodano: 25 września 2024
0da9cc34bcea872ae970d48a2f657cc4d29c9567-large (1)

Podstawowym obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu. Czy za zgłoszenia te może odpowiadać inspektor ochrony danych? Jaka jest rola IOD w dokonywaniu zgłoszeń naruszenia ochrony danych?

Zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych zadaniem ADO

W przypadku naruszenia ochrony danych osobowych, administrator zgłasza je organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenia dokonuje się bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 ust. 1 RODO). Obowiązek zgłoszenia naruszenia ochrony danych do organu nadzorczego został więc wyraźnie przypisany administratorowi danych osobowych. W kompetencjach ADO leży także zawiadomienie o naruszeniu osób, których dane dotyczą.

IOD nie zgłasza naruszeń ochrony danych osobowych do Prezesa UODO

Z kolei inspektor ochrony danych ma następujące zadania:

  •  informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia o ochronie danych oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  •  monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  •  udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  •  współpraca z organem nadzorczym (Prezesem UODO);
  •  pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1 RODO).
Uwaga

Zgłaszanie naruszeń ochrony danych nie jest obowiązkiem IOD. To obowiązek, który powinien wykonać administrator (art. 33 ust. 1 RODO).

IOD ocenia ryzyko naruszenia praw i wolności osób fizycznych

Co zatem powinien zrobić IOD? W pierwszej kolejności powinien podjąć próbę ustalenia, czy zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO jest konieczne. Takie zgłoszenie nie jest wymagane, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1 RODO). Jeśli IOD ustali, że prawdopodobieństwo to jest przynajmniej średnie, wówczas powinien zarekomendować administratorowi niezwłoczne zgłoszenie naruszenia do Prezesa UODO, bez względu na to, że termin naruszenia minął.

Uwaga

IOD powinien ustalić prawdopodobieństwo naruszenia praw i wolności osób fizycznych a następnie w zależności od wyników ustaleń zarekomendować administratorowi zgłoszenie naruszenia lub brak reakcji.

Inspektorowi grozi odpowiedzialność odszkodowawcza w wyniku niedokonania zgłoszenia

Zatajenie naruszenia będzie niewykonaniem obowiązku nałożonego przez RODO, za co administratorowi grozi kara pieniężna (teoretycznie nawet do kwoty 10 mln euro). W konsekwencji administrator może dochodzić od IOD odszkodowania, jeżeli wykaże, że inspektor przyczynił się do powstania tej szkody.

Michał Kowalski

Autor: Michał Kowalski

Radca prawny, specjalista z zakresu prawa pracy i ubezpieczeń społecznych oraz prawa oświatowego, redaktor licznych publikacji

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x