Fajgielski Paweł, Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
Obowiązek zgłaszania naruszeń ochrony danych organowi nadzorczemu stanowi nowe rozwiązanie wprowadzone do ogólnych przepisów o ochronie danych na mocy art. 33 unijnego rozporządzenia o ochronie danych. Prawodawca unijny zdefiniował pojęcie naruszenia ochrony danych osobowych, nałożył obowiązek zgłoszenia naruszenia organowi nadzorczemu, określił termin na dopełnienie tego obowiązku, wskazał minimalne wymogi co do treści zgłoszenia oraz nałożył na administratora obowiązek dokumentowania naruszeń. Niedopełnienie obowiązku zgłoszeniowego może pociągnąć za sobą odpowiedzialność w postaci nałożenia na administratora przez organ nadzorczy administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 r.o.d.o.
Procedury prawne pokazane w formie interaktywnych schematów, dzięki którym sprawdzisz, jak krok po kroku przebiega postępowanie w danej sprawie.
Dowiedz się więcej o LEX Navigator.
Zamów bezpłatną prezentację zdalną , podczas której przedstawimy Ci to narzędzie.
Krok: uzyskanie informacji o naruszeniu przepisów o ochronie danych osobowych
Administrator może uzyskać informacje o naruszeniu przepisów o ochronie danych z różnych źródeł. Najbardziej typowe przypadki uzyskania tego rodzaju informacji, to poinformowanie o tym przez osobę zatrudnioną przy przetwarzaniu danych oraz uzyskanie informacji od podmiotu przetwarzającego dane, który na mocy art. 33 ust. 2 r.o.d.o. ma obowiązek bez zbędnej zwłoki zgłosić naruszenie administratorowi.
Krok: ocena, czy naruszenie przepisów stanowi naruszenie ochrony danych osobowych w rozumieniu r.o.d.o.
Po uzyskaniu informacji o naruszeniu przepisów o ochronie danych administrator powinien ocenić, czy naruszenie to stanowi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 r.o.d.o., a więc czy jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Prawodawca unijny zawęził pojęcie naruszenia ochrony danych osobowych jedynie do tych przypadków, w których występuje tzw. incydent bezpieczeństwa pociągający za sobą skutki wskazane w przepisach. Oznacza to, że w przypadku innego rodzaju naruszeń przepisów o ochronie danych (np. naruszenia zasad, obowiązków informacyjnych itp.) administrator nie ma obowiązku zawiadamiania o tym organu nadzorczego.