Zgodnie z art. 33 ust. 1 podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
Podmiotowi przetwarzającemu w przepisach RODO nie został wyznaczony precyzyjny termin przekazania administratorowi informacji o wystąpieniu incydentu bezpieczeństwa danych osobowych. Jednak przepisy wskazują, że do takiego powiadomienia powinno dojść „bez zbędnej zwłoki”, czyli w zasadzie od razu po stwierdzeniu, że doszło do naruszenia ochrony danych osobowych. W tej sytuacji, jeśli to podmiot przetwarzający stwierdzi, że doszło do incydentu naruszenia ochrony danych osobowych, powinien niezwłocznie przekazać administratorowi danych niezbędne informacje, tak aby ten mógł dokonać zgłoszenia do organu nadzorczego.
Wskazówka!
Termin przekazania administratorowi danych informacji o wystąpieniu incydentu naruszenia danych osobowych powinien wynikać z umowy powierzenia przetwarzania danych. Określenie tego terminu w umowie powierzenia przetwarzania, np. na 24 godziny, stanowi zabezpieczenie zarówno dla administratora, który może wymagać, by właśnie w takim czasie zostały mu przekazane informacje dotyczące naruszenia, oraz dla podmiotu przetwarzającego, który jest zobowiązany do przekazania odpowiednich informacji w czasie określonym w umowie i administrator danych nie może zrobić mu zarzutu, że nie przekazał wcześniej określonych informacji, np. że nie zrobił tego po 12 godzinach.
Ważne!
Trzeba również pamiętać, że zgłoszenia dokonuje administrator danych, a nie podmiot przetwarzający. Jeżeli zatem w danej firmie dojdzie do incydentu naruszenia bezpieczeństwa danych osobowych w zakresie, w jakim firma ta działa jako pod...
Dalsza część jest dostępna dla użytkowników z wykupionym planem