Ile czasu ma podmiot przetwarzający na powiadomienie ADO o naruszeniu ochrony danych osobowych?
ODPOWIEDŹ
Podmiot przetwarzający ma obowiązek zgłoszenia administratorowi naruszenia ochrony danych osobowych bez zbędnej zwłoki po stwierdzeniu tego naruszenia – art. 33 ust. 2 RODO. Przepisy RODO nie przewidują dla podmiotu przetwarzającego żadnego maksymalnego terminu (instrukcyjnego) ani sankcji jego niedochowania. Należy jednak wskazać, że naruszenie przepisów art. 33 RODO – również przez podmiot przetwarzający – stanowi przesłankę nałożenia na administratora administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO. To zatem administrator danych w ramach zawieranej umowy powierzenia powinien wskazać czas, w jakim podmiot przetwarzający ma obowiązek go powiadomić o naruszeniu przy zachowaniu wskazanej w przepisie 33 ust. 2 przesłanki "bez zbędnej zwłoki".