materiał powstał we współpracy z firmą Sage
Gdyby podobna sytuacja zdarzyła się w Unii Europejskiej po 25 maja tego roku, Uber jako administrator danych osobowych, mógłby spodziewać się kary finansowej w wysokości nawet 20 mln euro lub 4 proc. światowego obrotu. W nowej rzeczywistości RODO – unijnego rozporządzenia o ochronie danych osobowych – na zaraportowanie zidentyfikowanego „incydentu bezpieczeństwa” firmy będą mieć tylko 72 godziny.
Nowe obowiązki
RODO nakłada na administratorów danych osobowych (ADO) nowe obowiązki związane z szybką identyfikacją i przeciwdziałaniem naruszeniom bezpieczeństwa danych.
Ta nowa, choć nie wyjątkowa, dla polskiego porządku prawnego regulacja (istnieje już u nas podobne rozwiązanie w art. 174a prawa telekomunikacyjnego: obowiązek zawiadamiania o incydencie zarówno organu nadzorczego, jak i abonenta lub użytkownika końcowego, który ciąży na operatorach telekomunikacyjnych) wiąże się z koniecznością powiadomienia organu nadzorczego, jak i osoby, której dane dotyczą.
W katalogu incydentów znajdują się według dyrektywy „naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
