- monitorowanie skuteczności i prawidłowego funkcjonowania zabezpieczeń wdrożonych w postaci technicznych i organizacyjnych środków ochrony,
- zgłaszanie przez osoby uczestniczące w procesie przetwarzania danych osobowych wszelkich zdarzeń związanych z bezpieczeństwem informacji, które mogą świadczyć o braku odpowiednich zabezpieczeń lub nieprawidłowym funkcjonowaniu albo nieskuteczności wdrożonych zabezpieczeń danych osobowych, oraz prowadzenie postępowań wyjaśniających zgłoszone zdarzenia.
Jak prawidłowo reagować na naruszenia ochrony danych
Punktem wyjścia do stwierdzenia przez administratora, czy w realizowanym u niego procesie przetwarzania danych osobowych występuje naruszenie ochrony danych osobowych, jest przeprowadzenie sprawdzenia, czy są wdrożone wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osoby, których dotyczą przetwarzane dane. Właściwymi działaniami prowadzonymi na bieżąco przez administratora lub podmiot przetwarzający, których celem jest wykrywanie naruszeń ochrony danych osobowych, jest:
Przy braku odpowiedniej i szybkiej reakcji na stwierdzone naruszenie ochrony danych osobowych może ono skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych.
Przepisy rodo zobowiązują administratora i podmiot przetwarzający do przeprowadzenia odpowiedniej oceny każdego stwierdzonego naruszenia ochrony danych osobowych, z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego możliwych konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Metodą dokonania prawidłowej oceny stwierdzonego naruszenia ochrony danych osobowych jest oszacowanie ryzyka naruszenia praw i wolności osób fizycznych, którym może skutkować to naruszenie. W zależności od wyników szacowania wymienionego ryzyka administrator jest zobowiązany do:
- zgłoszenia naruszenia ochrony danych osobowych właściwemu organowi nadzorczemu, zgodnie z art. 33 rodo, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych, jeżeli z procesu szacowania ryzyka wynika, że nie można przyjąć, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych,
- zawiadomienia osoby fizycznej, której dotyczą dane, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 rodo – jeżeli z procesu szacowania ryzyka wynika, że naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
W tym miejscu można postawić pytanie: w jakim celu administrator jest zobowiązany zgłaszać naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadamiać o takich naruszeniach osoby fizyczne, których dotyczą przetwarzane dane osobowe? Zgodnie z wyjaśnieniami umieszczonymi w motywie (86) rodo zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu ma na celu umożliwić temu organowi podjęcie interwencji zgodnie z jego zadaniami i uprawnieniami określonymi w rodo. Z motywu (87) rodo dowiadujemy się natomiast, że informowanie osoby, której dane dotyczą o stwierdzonym naruszeniu ma na celu umożliwienie tej osobie podjęcia niezbędnych działań zapobiegawczych – informację należy przekazać w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne uprawnione organy.
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
