Zgodnie z ogólnym rozporządzeniem o ochronie danych administrator ma obowiązek zgłoszenia naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych. Obowiązek ten powstaje, chyba że chyba jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Czy taki sam obowiązek istnieje w przypadku, gdy doszło do naruszenia ochrony danych u procesora?
RODO nakłada obowiązek zgłaszania naruszenia ochrony danych wyłącznie na administratora. Musi on dokonać takiego zgłoszenia bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (art. 33 ust. 1). Obowiązek zgłoszenia naruszenia nie spoczywa natomiast na podmiocie przetwarzającym.
To administrator danych osobowych dokonuje zgłoszenia do Prezesa UODO w przypadku naruszenia ochrony danych.
Powyższe nie oznacza jednak braku obowiązku zgłoszenia naruszenia ochrony danych u procesora tj. w ramach danych osobowych powierzonych do przetwarzania. RODO nie przewiduje w tym zakresie żadnych wyjątków. Także w tym przypadku obowiązek zgłoszenia naruszenia spoczywa na administratorze danym, z którym podmiot przetwarzający zawarł umowę powierzenia.
W przypadku stwierdzenia naruszenia ochrony danych osobowych powierzonych do przetwarzania zgłoszenia do PUODO dokonuje administrator.
Podmiot przetwarzający informuje o naruszeniu ochrony danych osobowych tylko administratora, który powierzył mu te dane do przetwarzania. Zawiadomienie to musi być dokonane bez zbędnej zwłoki (art. 33 ust. 2 RODO).
Procesor nie zgłasza naruszenia ochrony danych osobowych organowi nadzorczemu ani osobom, których dane dotyczą, lecz administratorowi.
W jaki sposób? Kwestię tę może precyzować umowa powierzenia przetwarzania danych. To, w jaki sposób administrator zobowiąże podmiot przetwarzający do informowania o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób ureguluje to umowa powierzenia.
W szczególności warto określić w tej umowie, kiedy podmiot przetwarzający powinien poinformować o naruszeniu ochrony danych osobowych. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.
To, w jakich okolicznościach oraz kiedy o naruszeniu dowiedział się organ nadzorczy, może mieć kluczowe znaczenie przy ustalaniu wysokości kary pieniężnej, która może zostać nałożona przez organ nadzorczy.
· rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 28, art. 33
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
