Obowiązki administratora danych osobowych w związku z naruszeniem RODO

Jakie środki zaradcze powinien wprowadzić administrator, aby zminimalizować ryzyko występowania naruszeń danych osobowych? A jakie niezbędne czynności musi wykonać w sytuacji, kiedy doszło już do incydentu naruszenia?

Obowiązki administratora danych osobowych w związku z naruszeniem RODO

-

28 sierpnia 2019

Administrator jest zobowiązany do podjęcia określonych działań, aby jak najbardziej zminimalizować ryzyko naruszenia ochrony danych osobowych. Przepisy RODO nie określają szczegółowo, jakie działania powinien podjąć administrator. Przepisy wskazują jednak, że powinien on zabezpieczyć przetwarzane dane. Najważniejszym elementem całego szeregu czynności jest szybkość działania, zarówno wobec osób fizycznych, których dane dotyczą, jak i organu nadzorczego.

Gdy dojdzie do naruszenia danych osobowych, RODO przewiduje dla administratora następujące obowiązki:

  • wprowadzenie procedur umożliwiających stwierdzenie i ocenę pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych,

  • zgłoszenie incydentu organowi nadzorczemu,

  • powiadomienie o naruszeniu osób, których dane dotyczą,

  • prowadzenie wewnętrznej ewidencji incydentów,

  • podejmowanie działań przeciwdziałających skutkom naruszeń oraz zapobieganie im.

Administrator

Gdy dane osobowe zostaną naruszone, administratorzy powinni podjąć działania jak najszybciej. Zapisy RODO mówią, że zgłoszenie do Urzędu Ochrony Danych musi nastąpić w przeciągu 72 godzin od momentu stwierdzenia naruszenia. W przypadku niedochowania tego czasu należy dodatkowo złożyć wyjaśnienia powodów opóźnienia. Oznacza to, że aby sprawnie zareagować na naruszenie należy wypracować procedury działania w przypadku jego wystąpienia. Zadaniem procedur jest przyspieszenie i ujednolicenie reakcji na naruszenia praw i wolności osób fizycznych. Tworząc procedury, powinno wziąć się pod uwagę następujące kwestie:

  • zakres jej stosowania,

  • cel, w jakim procedura została stworzona,

  • opis etapów zarządzania naruszeniem danych osobowych — od jego wykrycia aż do usunięcia,

  • opis postępowania personelu administratora w przypadku wystąpienia naruszenia,

  • stworzenie katalogu ewentualnych zagrożeń, jakie mogą wystąpić w związku z rodzajem i sposobem przetwarzania danych osobowych.

Zapobieganie incydentom oraz szybka reakcja na nie to najważniejszy element każdej polityki bezpieczeństwa danych osobowych.

Dzięki dobrze zdefiniowanej i prawidłowo wdrożonej procedurze administrator jest w stanie określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jest to istotne, ponieważ w zależności od stopnia ryzyka kształtują się obowiązki w stosunku do organu nadzorczego. 

Jeżeli:

  • prawdopodobieństwo zaistnienia ryzyka jest niskie, to administrator nie jest zobligowany do zgłoszenia naruszenia Prezesowi UODO, musi jedynie wpisać incydent do wewnętrznej ewidencji naruszeń,

  • prawdopodobieństwo wystąpienia ryzyka jest wysokie, to administrator oprócz wpisu do ewidencji naruszeń, musi podjąć działania wobec organu nadzorczego, a w niektórych przypadkach powiadomienie osób, których dane dotyczą.

Przepisy RODO wprowadzają dodatkowy obowiązek niezwłocznego powiadomienia podmiotu danych, jeżeli występuje wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą – chyba że administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych, których dotyczy naruszenie lub zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.  

Jednak niezależnie od ryzyka obowiązkiem administratora jest zastosowanie niezbędnych środków zaradczych, by zminimalizować ryzyko oraz zabezpieczyć dane osobowe.

Współadministratorzy

Zgodnie z artykułem 26 RODO współadministratorzy, w ramach wspólnego przedsięwzięcia, mają za zadanie określić zakres swojej odpowiedzialności dotyczącej wykonywania obowiązków. Najważniejsze jest, by ustalone zakresy wpływały na skuteczne wywiązywanie się z obowiązków administratorskich, wynikających z przepisów RODO. Określenie odpowiedzialności łączy się z ustaleniem, kto będzie odpowiedzialny za wywiązanie się z obowiązków (określonych w art. 33 i 34 RODO), a jakie obowiązki będą dotyczyć pozostałych współadmnistratorów. Zaleca się również, aby strony wskazały administratora, który będzie wykonywać lub będzie pilnować wykonywania wszystkich obowiązków ustanowionych w przepisach RODO w zakresie zgłaszania naruszeń. 

Podmiot przetwarzający 

Podmiot przetwarzający dokonuje przetwarzania danych wyłącznie w imieniu administratora danych. Podmiotem przetwarzającym jest zazwyczaj podmiot zewnętrzny wobec firmy, np. firma IT, zajmująca się oprogramowaniem firmy lub biuro rachunkowe. 

Administrator ponosi odpowiedzialność za przetwarzanie danych — w swoim imieniu lub przez podmiot przetwarzający. Zgodnie z art. 28 ust. 3 lit. f RODO, umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 przepisów RODO.

Jeżeli podmiot przetwarzający zidentyfikuje naruszenie ochrony danych osobowych, to jego obowiązkiem jest bezzwłoczne zgłoszenie tego administratorowi. Bezzwłocznie oznacza najszybciej, jak to możliwe, taki termin powinien być dookreślony w umowach powierzenia. Należy pamiętać przy tym, że Administrator musi dokonać zgłoszenia do organu nadzorczego w określonym czasie.  

W sytuacji, gdy podmiot świadczy usługi kilku administratorom, a incydent wpływa na nich wszystkich, to podmiot jest zobowiązany, żeby bez zbędnej zwłoki zgłosić naruszenie każdemu z administratorów.

Administrator przy wyborze podmiotu przetwarzającego musi mieć na względzie przede wszystkim bezpieczeństwo. To oznacza, że powinien wybrać podmiot, który zapewni gwarancje w obszarach wiedzy fachowej, wiarygodności, wdrożenia środków technicznych oraz organizacyjnych — odpowiadającym wymogom rozporządzenia RODO. 

Jest to istotne, ponieważ sytuacja naruszenia ochrony danych osobowych wymaga jak najszybszego zablokowania nieuprawnionego dostępu do danych, tym bardziej że dotyczy to danych przetwarzanych w ramach powierzenia, to administrator powinien wydać polecenie podmiotowi przetwarzającemu i dopilnować, by żądanie organu nadzorczego zostało zrealizowane skutecznie i w jak najkrótszym czasie.

Jeżeli jednak podmiot przetwarzający nie wywiąże się z obowiązku reakcji na incydent naruszenia ochrony danych osobowych, to może to skutkować zastosowaniem uprawnień określonych w art. 58 RODO

Urząd Ochrony Danych Osobowych stwierdza, że nie wszystkie podmioty przetwarzające wybrane przez administratorów, spełniają postawione wymogi i gwarantują pełne bezpieczeństwo danych. Dodatkowo nie zapewniają skutecznych i szybkich rozwiązań, służących wywiązaniu się z obowiązków określonych w art. 33 i 34. 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!