Wa\u017cnym elementem dostosowania organizacji do wymog\u00f3w RODO jest wprowadzenie skutecznej procedury obs\u0142ugi narusze\u0144 ochrony danych osobowych. Administrator powinien by\u0107 w stanie wykry\u0107 naruszenie, zminimalizowa\u0107 jego negatywne skutki i szybko poinformowa\u0107 o nim organ nadzorczy oraz osob\u0119 kt\u00f3rej dane dotycz\u0105. Obowi\u0105zek notyfikacji organu nadzorczemu nie powstaje tylko wtedy, gdy jest ma\u0142o prawdopodobne, by naruszenie skutkowa\u0142o ryzykiem naruszenia praw lub wolno\u015bci os\u00f3b fizycznych. Osob\u0119, kt\u00f3rej dane dotycz\u0105 zawiadamia si\u0119 natomiast wtedy, gdy te ryzyko jest wysokie. Sprawne dzia\u0142anie jest o tyle istotne, \u017ce je\u017celi administrator nie zawiadomi organu nadzorczego o naruszeniu w ci\u0105gu 72 godzin od stwierdzenia naruszenia, to zobowi\u0105zany b\u0119dzie uzasadni\u0107 przyczyn\u0119 op\u00f3\u017anienia.<\/p>\n
Tworz\u0105c procedury z zakresu ochrony danych osobowych, warto pami\u0119ta\u0107, \u017ce administrator nie zawsze realizuje procesy zwi\u0105zane z\u00a0przetwarzaniem danych osobowych samodzielnie. Cz\u0119sto administrator korzysta z us\u0142ug podwykonawcy, tzw. podmiotu przetwarzaj\u0105cego (procesora). Ma to miejsce na przyk\u0142ad w\u00a0przypadku korzystania z us\u0142ug podmiotu \u015bwiadcz\u0105cego us\u0142ugi hostingowe, korzystania z zewn\u0119trznej ksi\u0119gowo\u015bci czy te\u017c archiwizacji dokument\u00f3w przez podmiot zewn\u0119trzny. Podmiot przetwarzaj\u0105cy nie jest zobowi\u0105zany do zg\u0142aszania narusze\u0144 Prezesowi Urz\u0119du Ochrony Danych Osobowych. Jego aktywno\u015b\u0107 w tym zakresie ogranicza si\u0119 do zawiadomienia o ka\u017cdym naruszeniu ochrony danych administratora \u2013 zgodnie z RODO podmiot przetwarzaj\u0105cy zobowi\u0105zany jest wykona\u0107 to bez zb\u0119dnej zw\u0142oki.<\/p>\n
Pojawia si\u0119 jednak pytanie, kiedy administrator \u201estwierdza naruszenie\u201d w przypadku naruszenia, kt\u00f3re wyst\u0105pi\u0142o po stronie podmiotu przetwarzaj\u0105cego (a od tego momentu zaczyna bieg termin 72 godzin na zawiadomienie o naruszeniu Prezesa Urz\u0119du Ochrony Danych Osobowych bez obowi\u0105zku wyja\u015bniania przyczyn op\u00f3\u017anienia). W tym zakresie prezentowane s\u0105 dwie koncepcje, a mianowicie: (1) administrator stwierdza naruszenie ochrony danych r\u00f3wnocze\u015bnie z podmiotem przetwarzaj\u0105cym oraz (2) administrator stwierdza naruszenie w momencie w kt\u00f3rym podmiot przetwarzaj\u0105cy poinformowa\u0142 go o wyst\u0105pieniu naruszenia. Co ciekawe, Europejska Rada Ochrony Danych (w\u00f3wczas jeszcze jako Grupa Robocza Art. 29) w wytycznych w sprawie powiadamiania o naruszeniu ochrony danych osobowych na mocy RODO mia\u0142a okazj\u0119 wypowiedzie\u0107 si\u0119 na ten temat i zaj\u0119\u0142a\u2026 raz jedno, a raz drugie stanowisko.<\/p>\n
W wytycznych przyj\u0119tych 3 pa\u017adziernika 2017 roku, Grupa Robocza Art. 29 stwierdzi\u0142a co nast\u0119puje:<\/em><\/p>\n „Art. 33 ust. 2 jasno wskazuje, \u017ce je\u017celi administrator korzysta z us\u0142ug podmiotu przetwarzaj\u0105cego,\u00a0podmiot taki po stwierdzeniu naruszenia ochrony danych osobowych musi zg\u0142osi\u0107 je administratorowi\u00a0\u201ebez zb\u0119dnej zw\u0142oki\u201d. Administrator korzysta z us\u0142ug podmiotu przetwarzaj\u0105cego dla w\u0142asnych cel\u00f3w;\u00a0<\/em>co do zasady nale\u017cy zatem uzna\u0107, \u017ce \u201estwierdza\u201d naruszenie r\u00f3wnocze\u015bnie z podmiotem przetwarzaj\u0105cym<\/em><\/strong>„.<\/em><\/p>\n Wytyczne te poddano przegl\u0105dowi i zosta\u0142y one zmienione w dniu 8 lutego 2018 roku, w tym r\u00f3wnie\u017c w zakresie pogl\u0105du na temat stwierdzenia naruszenia ochrony danych przez administratora. W zaktualizowanych wytycznych stwierdzono co nast\u0119puje:<\/p>\n \u201e„W art. 33 ust. 2 wskazano wyra\u017anie, \u017ce w przypadku, gdy administrator korzysta z us\u0142ug podmiotu\u00a0przetwarzaj\u0105cego, a podmiot przetwarzaj\u0105cy stwierdzi wyst\u0105pienie naruszenia ochrony danych\u00a0osobowych, kt\u00f3re przetwarza w imieniu administratora, musi zg\u0142osi\u0107 to naruszenie administratorowi \u201ebez zb\u0119dnej zw\u0142oki\u201d. Nale\u017cy przy tym podkre\u015bli\u0107, \u017ce podmiot przetwarzaj\u0105cy nie musi oceni\u0107\u00a0prawdopodobie\u0144stwa wyst\u0105pienia ryzyka wynikaj\u0105cego z naruszenia przed jego zg\u0142oszeniem administratorowi; odpowiedzialno\u015b\u0107 za przeprowadzenie takiej oceny w momencie stwierdzenia wyst\u0105pienia naruszenia spoczywa na administratorze. Podmiot przetwarzaj\u0105cy musi jedynie ustali\u0107, czy dosz\u0142o do naruszenia, a nast\u0119pnie zg\u0142osi\u0107 to naruszenie administratorowi. Administrator korzysta z us\u0142ug podmiotu przetwarzaj\u0105cego, aby realizowa\u0107 wyznaczone cele;\u00a0<\/em>dlatego te\u017c zasadniczo nale\u017cy przyj\u0105\u0107, \u017ce administrator \u201estwierdzi\u0142\u201d wyst\u0105pienie naruszenia w momencie, w kt\u00f3rym podmiot przetwarzaj\u0105cy poinformowa\u0142 go o jego wyst\u0105pieniu”.<\/em><\/strong><\/p>\n Analiza art. 33 RODO oraz motyw\u00f3w RODO nie daje jednoznacznej odpowiedzi na pytanie kt\u00f3re stanowisko jest w\u0142a\u015bciwe. Cho\u0107 osobi\u015bcie za racjonalny uwa\u017cam pogl\u0105d Grupy Roboczej Art. 29 zaprezentowany w \u201edrugim podej\u015bciu\u201d do tego tematu, tak przepis art. 33 ust. 2 RODO, kt\u00f3ry wskazuje, \u017ce: \u201epodmiot przetwarzaj\u0105cy po stwierdzeniu<\/u> naruszenia ochrony danych osobowych bez zb\u0119dnej zw\u0142oki zg\u0142asza je administratorowi\u201d, skutecznie zniech\u0119ca mnie do zajmowania w tym zakresie jednoznacznego stanowiska. Racjonalnym by\u0142oby aby administrator stosuj\u0105cy si\u0119 do wytycznych Europejskiej Rady Ochrony Danych nie ponosi\u0142 z tego tytu\u0142u negatywnych konsekwencji. Wydaje si\u0119 wi\u0119c, \u017ce skoro Grupa Robocza Art. 29 zaj\u0119\u0142a najpierw jedno stanowisko, a nast\u0119pnie w wyniku przegl\u0105du je zmieni\u0142a, to za wi\u0105\u017c\u0105ce nale\u017ca\u0142oby uzna\u0107 te p\u00f3\u017aniejsze wytyczne. Niemniej jednak, wed\u0142ug znanych mi \u2013 nieoficjalnych \u2013 informacji, polski organ nadzorczy sk\u0142ania\u0142 si\u0119 kiedy\u015b do pierwszego podej\u015bcia. Nie mam jednak wiedzy czy takie podej\u015bcie prezentowane jest nadal.<\/p>\n Wydaje si\u0119, \u017ce w tym przypadku uzasadniona by\u0142aby aktywno\u015b\u0107 Prezesa Urz\u0119du Ochrony Danych Osobowych i wydanie oficjalnych, jednoznacznych wytycznych dla administrator\u00f3w, co ujednolici\u0142oby praktyk\u0119 rynkow\u0105. Organ nadzorczy otrzymuje przecie\u017c zg\u0142oszenia narusze\u0144 ochrony danych osobowych na co dzie\u0144, wi\u0119c wydaje si\u0119 \u017ce uda\u0142o si\u0119 wypracowa\u0107 w tym zakresie okre\u015blony model dzia\u0142ania. Warto doda\u0107, \u017ce polski organ nadzorczy wyda\u0142 ju\u017c wytyczne dla administrator\u00f3w w zakresie zg\u0142aszania narusze\u0144 ochrony danych (swoj\u0105 drog\u0105 bardzo ciekawe i merytoryczne \u2013 zach\u0119cam do zapoznania si\u0119), jednak\u017ce problem ten niestety nie zosta\u0142 tam rozstrzygni\u0119ty. Wed\u0142ug mojej wiedzy problem ten nie zosta\u0142 dot\u0105d poruszony w \u017cadnym oficjalnym dokumencie.<\/p>\n Niejako na marginesie wskazuj\u0119, \u017ce art. 33 ust. 1 RODO nie jest jedynym przepisem, kt\u00f3ry reguluje obowi\u0105zek informowania Prezesa UODO o naruszeniu ochrony danych. Kr\u00f3tszy termin na dokonanie zawiadomienia maj\u0105 podmioty \u015bwiadcz\u0105ce publicznie dost\u0119pne us\u0142ugi \u0142\u0105czno\u015bci elektronicznej. Dostawcy takich us\u0142ug zobowi\u0105zani s\u0105 do powiadomienia Prezesa UODO o naruszeniu ochrony danych nie p\u00f3\u017aniej ni\u017c 24 godziny po wykryciu naruszenia ochrony danych, je\u015bli jest to wykonalne. Wym\u00f3g ten wynika z artyku\u0142u 2 rozporz\u0105dzenia Komisji (UE) nr 611\/2013. Co istotne, przepis ten precyzuje, \u017ce: \u201euznaje si\u0119, \u017ce dosz\u0142o do wykrycia naruszenia ochrony danych osobowych, gdy dostawca<\/u> uzyska\u0142 wystarczaj\u0105c\u0105 wiedz\u0119 o zaistnieniu zdarzenia naruszaj\u0105cego ochron\u0119, kt\u00f3re doprowadzi\u0142o do naruszenia ochrony danych osobowych(\u2026)\u201d<\/em>. Wi\u0119c w tym przypadku unijny prawodawca precyzyjnie okre\u015bli\u0142 moment od kt\u00f3rego nale\u017cy liczy\u0107 wspomniane 24 godziny.<\/p>\n <\/p>\n Daniel Tr\u0119dkiewicz<\/p>\n Aplikant radcowski<\/p>\n da****************<\/span>@******<\/span>ek.pl<\/span><\/p>","protected":false},"excerpt":{"rendered":" Wa\u017cnym elementem dostosowania organizacji do wymog\u00f3w RODO jest wprowadzenie skutecznej procedury obs\u0142ugi narusze\u0144 ochrony danych osobowych. Administrator powinien by\u0107 w stanie wykry\u0107 naruszenie, zminimalizowa\u0107 jego negatywne skutki i szybko poinformowa\u0107 o nim organ nadzorczy oraz osob\u0119 kt\u00f3rej dane dotycz\u0105. Obowi\u0105zek notyfikacji organu nadzorczemu nie powstaje tylko wtedy, gdy jest ma\u0142o prawdopodobne, by naruszenie skutkowa\u0142o ryzykiem […]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[10,27],"tags":[],"class_list":["post-2888","post","type-post","status-publish","format-standard","hentry","category-prawo-cywilne","category-wszystkie-blogi"],"yoast_head":"\n