ROLA I ZADANIA PODMIOTU PRZETWARZAJĄCEGO W SYTUACJI WYSTĄPIENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Zgodnie z art. 4 pkt 8 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Z kolei zgodnie z art. 4 pkt. 7 ww. rozporządzenia  administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Stwierdzenie przez administratora wystąpienia naruszenia ochrony danych osobowych jest bowiem kluczowe dla uruchomienia procesów oraz podjęcia działań zmierzających do minimalizacji jego negatywnych konsekwencji. Na mocy art. 33 ust.1 RODO, administrator w przypadku naruszenia ochrony danych osobowych, jest zobowiązany bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia zgłosić je organowi nadzorczemu. Wyjątkiem jest sytuacja, w której to jest mało prawdopodobne by naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Z kolei w sytuacji, o której mowa w art. 34 ust.1 RODO, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu. Dla zapewnienia prawidłowej i szybkiej realizacji tych obowiązków istotne znaczenie ma bowiem prawidłowe działanie podmiotu przetwarzającego. Na mocy art. 33 ust. 2 RODO, podmiot przetwarzający jest zobowiązany, w przypadku stwierdzenia naruszenia ochrony danych osobowych, by bez zbędnej zwłoki zgłosił je administratorowi.

W związku z tym co powyżej, podmiot przetwarzający ustala jedynie, czy doszło do naruszenia ochrony danych osobowy oraz niezwłocznie zgłasza to naruszenie administratorowi, tak aby mógł wywiązać się z ciążących na nim obowiązków t.j. dokonanie oceny ryzyka naruszenia praw lub wolności osób fizycznych, które wynika z naruszenia, a w stosownych przypadkach poinformowanie Prezesa UODO i osób, których ono dotyczy.

 

Podstawa prawna:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)