Zgubienie przesyłki pocztowej zawierającej dane osobowe bez wątpienia może być kwalifikowane jako naruszenie ochrony danych. Kto zatem powinien dokonać zgłoszenia naruszenia do Prezesa UODO – nadawca czy też Poczta Polska? Wątpliwości te rozwiewamy w artykule.
Kluczowym jest tu ustalenie, kto ma status administratora danych osobowych. Otóż administratorem jest w takim przypadku Poczta Polska S.A. Operator ten jest bowiem zgłoszony do rejestru UKE jako operator pocztowy. Oznacza to, że w oparciu o własną podstawę prawną przetwarza dane osobowe w związku ze świadczeniem usług pocztowych.
Z Pocztą Polską S.A. nie podpisuje się umowy powierzenia przetwarzania danych, ponieważ ma ona status odrębnego administratora.
Oznacza to, że Poczta Polska S.A. jako administrator danych powinna zgłosić naruszenie ochrony danych wiążące się z zagubioną przesyłką a polegające na utracie dostępu do danych osobowych i ryzyku wejścia w ich posiadanie przez osoby nieuprawnione.
Dla Poczty Polskiej obowiązuje również art. 33 RODO, zgodnie z którym w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki − w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia − zgłasza je do Prezesa Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin powinno być dołączone wyjaśnienie przyczyn opóźnienia.
Oczywiście nic nie stoi na przeszkodzie zawiadomieniu Prezesa UODO o zdarzeniu przez podmiot, który nie jest do tego zobowiązany np. nadawcę lub adresata. Nie zwalnia to jednak Poczty Polskiej z obowiązki zawiadomienia. Co więcej, może doprowadzić do zainicjowania procedury kontrolnej u operatora.
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
