Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Dokumentowanie naruszeń ochrony danych – wzór rejestru naruszeń

26-02-2018 Autor: Katarzyna Syska

Rodo wprowadza obowiązek dokumentowania przez administratora wszystkich naruszeń ochrony danych. Rekomendowanym przez Grupę Roboczą art. 29 sposobem dokumentowania naruszeń jest prowadzenie wewnętrznego rejestru naruszeń.

 

Obowiązki dotyczące naruszeń przewidziane w rodo:

  • dokumentowanie naruszeń – dotyczy wszystkich naruszeń ochrony danych;
  • zgłaszanie naruszeń organowi nadzorczemu – dotyczy tych naruszeń, gdzie jest więcej niż mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;
  • zawiadamianie o naruszeniu osoby, której dane dotyczą – dotyczy tylko takich naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

1. Obowiązek dokumentowania

Zgodnie z art. 33 ust. 5 rodo administrator powinien dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Chodzi o to, by na podstawie dokumentacji naruszeń organ nadzorczy mógł zbadać, czy administrator poprawnie ocenił ryzyko powodowane przez poszczególne naruszenia i słusznie nie dokonał zgłoszenia naruszenia organowi nadzorczemu lub słusznie nie zawiadomił o naruszeniu osób nim dotkniętych. Obowiązek dokumentowania naruszeń ochrony danych jest ściśle związany z zasadą rozliczalności, zgodnie z którą administrator powinien być w stanie wykazać przestrzeganie wymogów określonych w rodo (art. 5 ust. 2 rodo).

W rodo nie ma szczegółowych wymogów odnośnie do tego, co konkretnie należy dokumentować. Wydaje się, że w ramach okoliczności naruszenia należy dokumentować wszelkie okoliczności faktyczne dotyczące naruszenia, w tym kategorie danych osobowych i kategorie osób, których dotyczy naruszenie. Kluczowe znaczenie powinny mieć konsekwencje dla naruszenia dla osób nim dotkniętych.

Grupa Robocza art. 29 w wytycznych dotyczących naruszeń (WP 250) rekomenduje dokumentowanie powodów decyzji podjętych w związku z naruszeniem, takich jak decyzja o zgłoszeniu lub braku zgłoszenia naruszenia organowi nadzorczemu oraz decyzja o zawiadomieniu lub braku zawiadomienia osób fizycznych dotkniętych naruszeniem. W związku z tym powinno się dokumentować ocenę ryzyka dla osób fizycznych, wynikającego z naruszenia. Jeżeli zgłoszenie naruszenia organowi jest opóźnione (tj. po upływie 72 godzin od stwierdzenia naruszenia), należy dokumentować powody decyzji o opóźnieniu zgłoszenia (WP 250, s. 23).

2. Zalecane prowadzenie rejestru naruszeń

Grupa Robocza art. 29 w swoich wytycznych zaleca administratorom prowadzenie wewnętrznych rejestrów naruszeń w celu spełniania wymogu dokumentowania naruszeń (WP 250, s. 23). Przykładowy rejestr naruszeń powinien składać się z kilkudziesięciu punktów.


1. Liczba porządkowa naruszenia


Liczba porządkowa naruszenia ma ułatwiać odwoływanie się do konkretnego naruszenia opisanego w rejestrze.

2. Administrator (nazwa, dane kontaktowe) oraz ewentualni współadministratorzy (nazwa, dane kontaktowe)


Wpisanie nazwy i danych kontaktowych administratora ma na celu identyfikację podmiotu, do którego „należy” rejestr, na wypadek gdyby rejestr był przekazany na zewnątrz organizacji, np. do organu nadzorczego w toku kontroli. Określenie ewentualnych współadministratorów jest zalecane, jako że są to podmioty współodpowiedzialne za spełnianie obowiązków wynikających z naruszenia ochrony danych. Szczegółowe obowiązki poszczególnych współadministratorów powinny być uregulowane we wzajemnych uzgodnieniach (zgodnie z art. 26 rodo).

3. Jeśli do incydentu i naruszenia doszło u podmiotu przetwarzającego – wskazanie nazwy i danych kontaktowych podmiotu przetwarzającego

Jedną z okoliczności naruszenia ochrony danych jest to, czy do naruszenia doszło u podmiotu przetwarzającego. W pewnych sytuacjach należy wskazać w zgłoszeniu naruszenia podmiot przetwarzający, u którego doszło do naruszenia ochrony danych (WP 250, s. 12).

4. Data i godzina wystąpienia incydentu prowadzącego do naruszenia

Po wykryciu incydentu bezpieczeństwa administrator może przeprowadzić krótkie dochodzenie w celu zbadania incydentu bezpieczeństwa i określenia, czy doprowadził on do naruszenia ochrony danych. Czas przeznaczony na takie dochodzenie nie może być zbyt długi i nie może prowadzić do nieuzasadnionego opóźnienia ewentualnego zgłoszenia naruszenia organowi nadzorczemu. Mogą się też zdarzyć sytuacje, w których od razu w momencie wykrycia incydentu bezpieczeństwa jest jasne, że doprowadził on do naruszenia ochrony danych (WP 250, s. 9).

5. Data i godzina stwierdzenia naruszenia

Określenie daty i godziny stwierdzenia naruszenia ma pozwolić na wykazanie dwóch okoliczności:

  • okres dochodzenia od wykrycia incydentu bezpieczeństwa do stwierdzenia naruszenia nie był zbyt długi;
  • jeżeli naruszenie ochrony danych zostało zgłoszone organowi nadzorczemu – zgłoszenie nastąpiło w wymaganym czasie 72 godzin od stwierdzenia naruszenia.

[...]

Autorka jest adwokatem specjalizującym się w prawie ochrony danych osobowych, współpracuje z kancelarią prawną Traple Konarski Podrecki i Wspólnicy.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.