Tak, ponieważ wystąpienie naruszenia obliguje ADO do innych działań niż samo zagrożenie naruszenia.
Firmowa procedura naruszeń nie jest wprost wymagana w przepisach RODO. To administrator decyduje, jakie środki bezpieczeństwa przetwarzania danych stosować w organizacji. Niemniej jednak, jeżeli zostanie wprowadzona, to w istocie należy w niej odróżnić w niej postępowanie na wypadek stwierdzenia naruszenia i na wypadek stwierdzenia zagrożenia naruszenia. W tym pierwszym przypadku konieczne jest bowiem zawiadomienie Prezesa UODO o naruszeniu (art. 33 ust. 1 RODO), a w określonych sytuacjach także podmiotów danych (art. 34 ust. 1 RODO). Natomiast w przypadku podmiotu przetwarzającego istnieje obowiązek zawiadomienia administratora (art. 33 ust. 2 RODO).
Nie ma obowiązku informowania Prezesa UODO o naruszeniu, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W tym kontekście należy ocenić, czy np. sama awaria serwera wywołuje takie skutki. Być może w takim przypadku zawiadomienie nie będzie konieczne.
Żaden z tych obowiązków nie aktualizuje się natomiast w przypadku stwierdzenia ryzyka naruszenia. Wówczas zalecane jest podjęcie innych działań np. wdrożenie stosownych środków bezpieczeństwa przetwarzania danych (art. 32 RODO) czy też wyciągnięcie konsekwencji służbowych względem osób, które swymi zaniedbaniami doprowadziły do takiego ryzyka.
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
