Wśród aktualizacji można znaleźć częściowo zmieniony pkt 73, który mówi, że "sama obecność przedstawiciela w państwie członkowskim nie uruchamia systemu one-stop-shop. Z tego powodu naruszenie będzie musiało zostać zgłoszone każdemu organowi nadzorczemu, w którego państwie członkowskim, gdzie zamieszkują osoby, których dane dotyczą. Za to (te) powiadomienie (powiadomienia) odpowiada administrator danych." Ostatnia część stoi w opozycji do poprzedniej wersji, która wyraźnie zapewniała, że powiadomienie będzie "dokonywane zgodnie z pełnomocnictwem udzielonym przez administratora danych jego przedstawicielowi i na odpowiedzialność administratora danych".

W tej samej kwestii EDPB dodała dalej, że funkcja przedstawiciela w Unii jest "niezgodna z rolą zewnętrznego inspektora ochrony danych ("DPO"), dlatego odpowiedzialność za powiadomienie organu nadzorczego w przypadku naruszenia danych osobowych spoczywa na administratorze danych zgodnie z art. 27 ust. 5 GDPR. Przedstawiciel może być jednak zaangażowany w proces powiadamiania, jeśli zostało to wyraźnie określone w pisemnym pełnomocnictwie."

Wytyczne liczą łącznie 33 strony i można w nich znaleźć następujące zagadnienia:

SPIS TREŚCI

0. Przedmowa

Wstęp

I. POWIADAMIANIE O NARUSZENIU OCHRONY DANYCH OSOBOWYCH NA MOCY GDPR

A. Podstawowe względy bezpieczeństwa

B. Co to jest naruszenie ochrony danych osobowych?

1. Definicja

2. Rodzaje naruszeń danych osobowych

3. Możliwe konsekwencje naruszenia danych osobowych

II. ARTYKUŁ 33 - ZAWIADOMIENIE ORGANU NADZORCZEGO

A. Kiedy należy dokonać zgłoszenia

1. Wymogi art. 33

2. Kiedy administrator staje się "świadomy"?

3. Współadministratorzy

4. Obowiązki przetwórcy

B. Dostarczanie informacji organowi nadzorczemu

1. Informacje, które należy dostarczyć

2. Powiadamianie w etapach

3. Powiadomienia opóźnione

C. Naruszenia transgraniczne i naruszenia w zakładach spoza UE

1. Naruszenia transgraniczne

2. Naruszenia w zakładach spoza UE

D. Warunki, w których powiadomienie nie jest wymagane

III. ARTYKUŁ 34 - INFORMOWANIE OSOBY, KTÓREJ DANE DOTYCZĄ

A. Informowanie osób fizycznych

B. Informacje, których należy udzielić

C. Kontaktowanie się z osobami fizycznymi

D. Warunki, w których komunikacja nie jest wymagana

IV. OCENA RYZYKA I WYSOKIEGO RYZYKA

A. Ryzyko jako czynnik powodujący konieczność powiadomienia

B. Czynniki do uwzględnienia przy ocenie ryzyka

V. ODPOWIEDZIALNOŚĆ I PROWADZENIE REJESTRÓW

A. Dokumentowanie naruszeń

B. Rola inspektora ochrony danych

VI. OBOWIĄZKI W ZAKRESIE ZGŁASZANIA NA MOCY INNYCH INSTRUMENTÓW PRAWNYCH

VII. ZAŁĄCZNIK

A. Schemat przedstawiający wymogi w zakresie powiadamiania

B. Przykłady naruszeń ochrony danych osobowych oraz podmioty, które należy powiadomić

Więcej: https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

ZOBACZ W NASZYM SKLEPIE RODO - LINK