PYTANIA I ODPOWIEDZI

Jak powinien wyglądać modelowy audyt podmiotu przetwarzającego w razie incydentu oraz czy (i co) powinna zawierać analiza ryzyka po incydencie?

ODPOWIEDŹ

W przypadku naruszenia ochrony danych osobowych na danych administratora, przetwarzanych przez podmiot przetwarzający, sugerowane jest przeprowadzenie audytu doraźnego, w ramach którego należałoby podjąć działania mające na celu:

  1. minimalizację skutków zdarzenia,
  2. wyjaśnienie okoliczności zdarzenia,
  3. zabezpieczenie dowodów zdarzenia,
  4. weryfikację naruszenia ochrony danych osobowych pod kątem ewentualnego zgłoszenia w ciągu 72 godzin do Prezesa Urzędu, niezbędną do wykonania zobowiązania wynikającego z art. 33 RODO,
  5. weryfikację naruszenia ochrony danych osobowych pod kątem ewentualnego niezwłocznego zawiadomienia osoby, której dane objęte są naruszeniem, niezbędną do wykonania zobowiązania wynikającego z art. 34 RODO.

Powyższe oczywiście jest niezbędne z perspektywy administratora do właściwej oceny naruszenia i realizacji wymogów RODO. Nic nie stoi jednak na przeszkodzie, aby na skutek naruszenia, u procesora przeprowadzić dalej idący audyt, związany nie tylko z tym pojedynczym zdarzeniem, ale z ogólnym kontekstem działania organizacji w zakresie, w jakim może to dotyczyć stosunku powierzenia, w tym zasobów organizacji - procesora, które uczestniczą w przetwarzaniu danych w imieniu administratora.

Przykładowo, możemy zwrócić się do procesora o udostępnienie wyników analizy ryzyka dla zasobów uczestniczących w przetwarzaniu tych danych, którą to analizę procesor powinien był wykonać (i być może na skutek naruszenia ponowić), zgodnie z art. 32 RODO.

Czytaj także:


„Sami możemy rozwiązać wątpliwości związane z RODO”

Jesteś tego pewien?

Zamów
wsparcie

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>