Kiedy podmiot przetwarzający powinien przekazać informacje?

Zgodnie z art. 33 ust. 1 podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

Podmiotowi przetwarzającemu w przepisach RODO nie został wyznaczony precyzyjny termin przekazania administratorowi informacji o wystąpieniu incydentu bezpieczeństwa danych osobowych. Jednak przepisy wskazują, że do takiego powiadomienia powinno dojść „bez zbędnej zwłoki”, czyli w zasadzie od razu po stwierdzeniu, że doszło do naruszenia ochrony danych osobowych. W tej sytuacji, jeśli to podmiot przetwarzający stwierdzi, że doszło do incydentu naruszenia ochrony danych osobowych, powinien niezwłocznie przekazać administratorowi danych niezbędne informacje, tak aby ten mógł dokonać zgłoszenia do organu nadzorczego.

Wskazówka!

Termin przekazania administratorowi danych informacji o wystąpieniu incydentu naruszenia danych osobowych powinien wynikać z umowy powierzenia przetwarzania danych. Określenie tego terminu w umowie powierzenia przetwarzania, np. na 24 godziny, stanowi zabezpieczenie zarówno dla administratora, który może wymagać, by właśnie w takim czasie zostały mu przekazane informacje dotyczące naruszenia, oraz dla podmiotu przetwarzającego, który jest zobowiązany do prze­kazania odpowiednich informacji w czasie określonym w umowie i administrator danych nie może zrobić mu zarzutu, że nie przekazał wcześniej określonych informacji, np. że nie zrobił tego po 12 godzinach.

Ważne!

Trzeba również pamiętać, że zgłoszenia dokonuje administrator danych, a nie podmiot przetwarzający. Jeżeli zatem w danej firmie dojdzie do incydentu naruszenia bezpieczeństwa danych osobowych w zakresie, w jakim firma ta działa jako podmiot przetwarzający na rzecz administratora danych, który powierzył jej przetwarzanie danych, to w takiej sytuacji zgłoszenia naruszenia ochrony danych powinien dokonać admi­nistrator danych! Obowiązkiem podmiotu przetwarzającego jest wyłącznie zgłoszenie takiego naruszenia administratorowi danych.

 

Warto również zauważyć, że osoba, która przypadkowo dostała dane osobowe, np. wysłano maila zawierającego dane osobowe na błędny adres e-mail, nie zgłasza takiego naruszenia Prezesowi Urzędu Ochrony Danych Osobowych.

Powinna natomiast zawiadomić administratora danych o zaistniałym naruszeniu ochrony danych osobowych i to administrator powinien dokonać kwalifikacji incydentu i postępować z nim zgodnie z wdrożoną u siebie procedurą.

 

Celem wprowadzenia obowiązku zgłaszania naruszenia ochrony danych osobowych było minimalizowanie szkód dla osób, których dane dotyczą, a które mogą wyniknąć wskutek takich incydentów.

W tej sytuacji administratorzy danych powinni w szczególność wdrożyć odpowiednią procedurę, w zakresie której zostaną opracowane wytyczne dotyczące wykrywania naruszeń, ich kwalifikacji, oceny ryzyka dotyczącego naruszenia praw lub wolności osób fizycznych oraz procedurę zgłaszania takich incydentów.