Podmiot przetwarzający informuje o naruszeniu ochrony danych osobowych tylko administratora, który powierzył mu te dane do przetwarzania.
Umowa powierzenia przetwarzania danych osobowych nie jest nową konstrukcją prawną. Rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) wymusiło jednak na jej stronach zweryfikowanie dotychczasowych umów, głównie dlatego że RODO poszerzyło katalog obligatoryjnych elementów umowy powierzenia. Podmiot przetwarzający jest zobowiązany m.in. wdrożyć środki techniczne i organizacyjne adekwatne do możliwego do wystąpienia naruszenia.
Przepisy RODO bardziej szczegółowo niż ustawa o ochronie danych osobowych z 1997 roku opisują działania, jakie powinien podjąć podmiot przetwarzający, aby zagwarantować bezpieczeństwo powierzonych danych osobowych. Powinny one zapewnić większą transparentność, a także stanowić gwarancję, że podmiot przetwarzający rzeczywiście zapewnia odpowiednie mechanizmy bezpieczeństwa. Ogólne rozporządzenie o ochronie danych (RODO) dąży do zapewnienia bezpieczeństwa powierzonych danych na wielu płaszczyznach. Wszystko po to, by zminimalizować możliwość wystąpienia incydentu.
Ani administrator, ani podmiot przetwarzający nie są jednak w stanie całkowicie uchronić się przed możliwymi do wystąpienia zagrożeniami, dlatego ustawodawca unijny przewidział nową, nieznaną na gruncie ustawy o ochronie danych osobowych z 1997 roku procedurę zobowiązującą zarówno administratora, jak i podmiot przetwarzający do zgłaszania występujących incydentów. O ile w przypadku administratorów taką informację należy kierować do organu nadzorczego (oraz w określonych przypadkach do osoby, której dane dotyczą), o tyle podmiot przetwarzający informuje o naruszeniu tylko administratora.
To, w jaki sposób administrator zobowiąże podmiot przetwarzający do informowania o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób ureguluje to w umowie. Podpowiedzią i drogowskazem może stać się art. 33 ogólnego rozporządzenia o ochronie danych, który wskazuje, co w szczególności ma istotne znaczenie w przypadku wystąpienia naruszenia. Warto także szczegółowo określić, kiedy podmiot przetwarzający powinien poinformować o naruszeniu ochrony danych osobowych. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.
To, w jakich okolicznościach oraz kiedy o naruszeniu dowiedział się organ nadzorczy, może mieć kluczowe znaczenie przy ustalaniu wysokości kary finansowej, która może zostać nałożona przez organ.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
