Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Obowiązki procesora i administratora przy naruszeniu ochrony danych

12-05-2021 Autor: Mirosław Gumularz

Rozkład obowiązków między administratorem danych a procesorem jest zawarty w umowie powierzenia. W sytuacji, w której dojdzie do naruszenia ochrony danych osobowych u podmiotu przetwarzającego, każdy z nich też ma swoje obowiązki związane ze zgłaszaniem naruszenia organowi nadzorczemu.

 

Rodo jest skonstruowane w ten sposób, że każdy proces przetwarzania danych (rozumiany jako zespół operacji zmierzających do tego samego lub tych samych celów) musi spełniać – wyrażony w treści jego przepisów – standard ochrony prywatności. Ten standard wynika z zasad ogólnych i szczegółowych wymogów. Podobnie zróżnicowany podmiotowo jest zakres odpowiedzialności za jego wdrożenie.

Terminy

 

Prawodawca unijny w motywie 87 preambuły rodo wskazuje, że należy wdrożyć środki, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. Ten obowiązek zresztą wynika także z ogólnego wymogu bezpieczeństwa z art. 32 ust. 1 rodo i jest skierowany zarówno do administratora danych, jak i do podmiotu przetwarzającego.

Grupa Robocza art. 29 (obecnie EROD) w wytycznych dotyczących naruszeń (WP 250) wskazuje:

  • to wstępne działania – poprzedzające stwierdzenie naruszenia – powinny zostać zakończone wkrótce po otrzymaniu początkowego ostrzeżenia (tj. w momencie powzięcia przez administratora lub podmiot przetwarzający podejrzenia o możliwości wystąpienia incydentu bezpieczeństwa mogącego wywrzeć wpływ na dane osobowe) – działania te mogą zostać zakończone w późniejszym terminie wyłącznie w wyjątkowych przypadkach;
  • administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności odnośnie do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych;
  • administrator, który powierzył przetwarzanie danych osobowych, „stwierdza” wystąpienie naruszenia w momencie, w którym podmiot przetwarzający poinformował go o jego wystąpieniu;
  • niezwłocznie – nie później niż w terminach wskazanych w art. 33–34 rodo – należy dokonać oceny ryzyka i przekazać informację do organu nadzorczego lub osoby, której dotyczy naruszenie.

Rozkład obowiązków – przykład standardowych klauzul umowy powierzenia

Przykładu umownego rozkładu obowiązków między administratorem a podmiotem przetwarzającym dostarczają zatwierdzone (przez EROD na wniosek DSK) klauzule standardowe powierzenia przetwarzania danych (edpb.europa.eu). W związku z tym należy zwrócić uwagę na to, że:

  • klauzule w zakresie obowiązku informacyjnego po stronie podmiotu przetwarzającego wyraźnie odwołują się do treści art. 33 ust. 3 rodo, nakładając na ten podmiot symetryczne obowiązki do tych, jakie spoczywają na samym administratorze danych (chociaż „otwarty” załącznik D daje podstawę do dalszego dookreślenia);
  • klauzule nie przesądzają, w jakim terminie podmiot przetwarzający powinien przekazać informację o stwierdzeniu naruszenia, ale wymagają jednak, aby strony ten termin uzgodniły (nie może być dłuższy niż termin „niezwłoczności”);
  • klauzule nie wymagają, aby podmiot przetwarzający w określony sposób udokumentował po swojej stronie ocenę zdarzenia pod kątem naruszenia, ale dobrą praktyką będzie tutaj wyraźne uregulowanie takiego obowiązku w umowie powierzenia, odwołując się (odpowiednio) do treści obowiązku administratora wyrażonego w art. 33 ust. 5 rodo.

To podejście potwierdziła EROD w opinii 07/2020 (pkt 133), zalecając, aby umowa powierzenia wskazywała:

  • konkretne ramy czasowe powiadomienia administratora przez podmiot przetwarzający (np. liczba godzin);
  • punkty kontaktowe dotyczące powiadomień;
  • w jaki sposób podmiot przetwarzający ma powiadamiać administratora w przypadku naruszenia.

Jednocześnie Grupa Robocza art. 29 w wytycznych dotyczących naruszeń (WP 250) wskazała, że podmiot przetwarzający mógłby dokonać zgłoszenia (do organu nadzorczego lub osób, których dotyczy naruszenie) w imieniu administratora, jeżeli administrator udzieliłby takiemu podmiotowi przetwarzającemu stosownego zezwolenia, a kwestia ta zostałaby uregulowana w uzgodnieniach umownych między administratorem a podmiotem przetwarzającym. Takiego zgłoszenia należy dokonać zgodnie z art. 33 i 34. W tym kontekście należy jednak pamiętać, że zgodnie z obowiązującymi przepisami odpowiedzialność za dokonanie zgłoszenia spoczywa na administratorze.

Nie wydaje się także wykluczone nałożenie na podmiot przetwarzający obowiązku informowania administratora o każdym zdarzeniu, tj. nawet jeżeli nie jest naruszeniem albo jeżeli nie ma pewności, że jest. W praktyce jednak oznaczałoby to przerzucenie na administratora obowiązku kwalifikacji, czy zdarzenie u podmiotu przetwarzającego jest naruszeniem ochrony danych. Dlatego w praktyce administratora unika się takich postanowień. Sensowne wydaje się natomiast nałożenie na podmiot przetwarzający obowiązku zgłaszania zdarzeń w przypadku wątpliwości co do tego, czy stanowią naruszenie ochrony danych.

 

[...]

 

Autor jest doktorem nauk prawnych, adiunktem na WSB w Warszawie, a także radcą prawnym w  GKK Gumularz Kozik Kancelaria.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.