„Naruszenie ochrony danych osobowych” – zgodnie z art. 4 pkt 12 RODO jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Zgodnie z art. 33 ust. 2 RODO podstawowym obowiązkiem każdego podmiotu przetwarzającego jest, w przypadku stwierdzenia naruszenia ochrony danych osobowych niezwłoczne zawiadomienie o tym fakcie administratora danych, gdyż ten w uzasadnionych przypadkach ma następnie w myśl art. 33 ust. 1 RODO 72 godziny na zgłoszenie takiego naruszenia do organu nadzorczego.
W kwestii zgłaszania przez podmiot przetwarzający naruszenia ochrony danych administratorowi i współpracy między tymi podmiotami w ramach naruszenia, należy również ustalić jakie obowiązki w tym zakresie formułuje w stosunku do podmiotu przetwarzającego zawarta z administratorem umowa powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.
W przypadku kontroli Prezesa UODO, która może dotyczyć także podmiotu przetwarzającego, organ nadzorczy, na podstawie art. 58 ust. 1 RODO może żądać od podmiotu przetwarzającego dostarczenia wszelkich informacji i dostępu do wszelkich danych osobowych oraz do wszystkich pomieszczeń (w tym do sprzętu i środków służących do przetwarzania danych osobowych) potrzebnych organowi do realizacji jego zadań. W myśl postanowień art. 84 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych organ kontrolujący ma prawo wglądu do dokumentów i informacji mających bezpośredni związek z zakresem kontroli, przeprowadzania oględzin miejsc, przedmiotów, sprzętu oraz systemów informatycznych służących do przetwarzania danych, żądać ustnych lub pisemnych wyjaśnień, a także przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego.
Dlatego najważniejszym aspektem działań podmiotu przetwarzającego w przypadku naruszenia ochrony danych osobowych jest wypełnienie obowiązku wynikającego z art. 33 ust. 2 RODO oraz możliwość wykazania spełniania obowiązków przyjętych w ramach umowy powierzenia przetwarzania danych osobowych zawartej z administratorem danych (w szczególności będzie to: wdrożenie zgodnie z art. 32 ust. 1 RODO odpowiednich środków organizacyjnych i technicznych w stosunku do istniejącego ryzyka wystąpienia naruszeń, szkolenie pracowników, wydanie im stosownych upoważnień do przetwarzania danych osobowych, oświadczenia pracowników o zachowaniu w poufności danych osobowych, do których mają dostęp, pomoc administratorowi danych w wywiązaniu się przez niego z obowiązków nałożonych w art. 32 – 36 RODO tj. m.in. przygotowania opisu i zgłoszenia naruszenia do organu nadzorczego, zawiadomienia osób, których danych osobowych naruszenie dotyczy).