Kategorie szkoleń | Egzaminy | Kontakt
  • 1
  • 3
  • 57

Czy w przypadku naruszenia ustawy o ochronie danych osobowych w organizacji (dane osobowe klientów zostały udostępnione osobom trzecim) Administrator Bezpieczeństwa Informacji jest zobowiązany oprócz zgłoszenia do zarządu spółki zaistniałego naruszenia powiadomić o incydencie GIODO?

Jeśli jest zobowiązany to czy pracodawca może wobec ABI wyciągnąć konsekwencje?

Ryszard_Czarnecki
  • Zapytał
  • @ Ryszard_Czarnecki | 19.01.2016
    • lider
    • laureat
    • 17
    • 20
    • 24

Odpowiedź (1)

  • 0

Treść art. 30 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW statuuje następujące obowiązki:

 

  1. Państwa członkowskie zapewniają, by w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, w miarę możliwości nie później niż 72 godzin po stwierdzeniu naruszenia, zgłosił naruszenie organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to stwarzało ryzyko naruszenia praw i wolności osób fizycznych. W przypadku gdy zgłoszenie naruszenia organowi nadzorczemu nie następuje w terminie 72 godzin, towarzyszy mu uzasadnienie opóźnienia.
  2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
  3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
  4. a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wykazów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko lub nazwę oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  5. d) opisywać środki zastosowane lub proponowane przez administratora w celu naprawy naruszenia ochrony danych osobowych, w tym w stosownym przypadku zminimalizowania jego ewentualnych negatywnych skutków.
  6. Jeżeli – i w takim zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.
  7. Państwa członkowskie zapewniają, by administrator dokumentował wszelkie naruszenia ochrony danych osobowych, o których mowa w ust. 1, wraz z okolicznościami naruszenia danych osobowych, jego skutkami oraz podjętymi działaniami naprawczymi. Dokumentacja ta pozwala organowi nadzorczemu na weryfikację przestrzegania niniejszego artykułu.
  8. Państwa członkowskie zapewniają, by w przypadku gdy naruszenie ochrony danych osobowych dotyczy danych osobowych przesłanych przez lub do administratora innego państwa członkowskiego, informacje, o których mowa w ust. 3, zostały dostarczone bez zbędnej zwłoki administratorowi tego państwa członkowskiego.

 

Z powyższego przepisu wnioskować można obowiązek ABI zgłaszania naruszeń organowi nadzorczemu (GIODO) naruszeń ochrony danych osobowych.

 

Co do kwestii odpowiedzialności ABI względem pracodawcy, pracodawca może rozważać skorzystanie z instrumentów przewidzianych w kodeksie pracy o ile funkcja i obowiązki ABI mieszczą się w treści umowy o pracę łączącej strony. W zależności od ciężaru naruszenia można rozważać nałożenie na pracownika kar porządkowych zgodnie z kodeksem pracy, a w przypadku gdy waga naruszenia będzie nosiła znamiona ciężkiego naruszenia podstawowych obowiązków pracowniczych – rozważać możliwość rozwiązania umowy o pracę zawartej z pracownikiem bez wypowiedzenia z winy pracownika

  • Odpowiedział
  • @ | 24.10.2016
  • TRENER MODERATOR ALTKOM AKADEMII