Czy procesor będzie musiał zgłosić administratorowi naruszenie ochrony danych

Przepisy ogólnego rozporządzenia o ochronie danych (RODO) bardziej szczegółowo niż dzisiejsza ustawa opisują działania, jakie powinien podjąć podmiot przetwarzający, aby zagwarantować bezpieczeństwo powierzonych danych osobowych. Powinny one zapewnić transparentność, a także stanowić gwarancję, że podmiot przetwarzający rzeczywiście zapewnia odpowiednie mechanizmy bezpieczeństwa.

Ogólne rozporządzenie o ochronie danych dąży do zapewnienia bezpieczeństwa powierzonych danych na wielu płaszczyznach. Wszystko po to, by zminimalizować możliwość wystąpienia incydentu. Ani administrator, ani podmiot przetwarzający nie są jednak w stanie całkowicie uchronić się przed możliwymi do wystąpienia zagrożeniami, dlatego ustawodawca unijny przewidział nową, nieznaną na gruncie ustawy o ochronie danych osobowych procedurę zobowiązującą zarówno administratora, jak i podmiot przetwarzający do zgłaszania występujących incydentów do organu nadzorczego.

O ile w przypadku administratorów taką informację należy kierować do organu nadzorczego (oraz w określonych przypadkach do osoby, której dane dotyczą), o tyle podmiot przetwarzający informuje o naruszeniu tylko administratora.

To, w jaki sposób administrator zobowiąże podmiot przetwarzający do poinformowania go o naruszeniu ochrony danych osobowych, w dużej mierze będzie wynikało z tego, w jaki sposób zostanie to uregulowane w umowie. Wydaje się, że podpowiedzią i drogowskazem może stać się art. 33 RODO, który wskazuje, co w szczególności ma istotne znaczenie w przypadku wystąpienia naruszenia. Warto także, szczegółowo określić, kiedy podmiot przetwarzający powinien poinformować administratora o powstałym naruszeniu. Może się bowiem okazać, że użycie nieostrych pojęć, takich jak „w miarę możliwości”, „niezwłocznie” czy „bez zbędnej zwłoki”, może okazać się niewystarczające i rodzić konflikt między administratorem a podmiotem przetwarzającym.