iSecure logo
Blog

Rejestr naruszeń a kontrola Prezesa Urzędu Ochrony Danych Osobowych

Od ponad czterech lat, kiedy obowiązuje ogólne rozporządzenie o ochronie danych, wiele mówi się o naruszeniach ochrony danych osobowych. Zarówno na blogu iSecure jak i innych portalach, znaleźć można nałożone na administratorów danych szczególne obowiązki związane z dokonaniem zgłoszenia naruszeń ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych, a także wymogu prowadzenia dokumentacji naruszeń. Pisaliśmy o tym, kiedy mamy do czynienia z naruszeniem, jak należy dokonać zgłoszenia naruszenia oraz w jaki sposób zawiadomić osoby fizyczne.

Praktyka pokazuje, że liczba zgłoszeń stale rośnie. A więc rośnie również świadomość organizacji w związku z pojawieniem się naruszenia. Poniższy tekst poświęcę prowadzenia rejestru naruszenia – o tym niewiele się mówi, a pamiętajmy, iż RODO wymaga od nas pełnej rozliczalności. Istotne jest, aby organ kontrolny, w tym wypadku Prezes Urzędu Ochrony Danych Osobowych, mógł zweryfikować, czy administrator dysponował odpowiednią dokumentacją.

Prezes UODO wskazał określone dokumenty jako must have każdego administratora. Wśród tych dokumentów znajduje się przede wszystkim, dokumentacja dotycząca naruszeń. Podkreślam to, gdyż w przypadku kontroli, w pierwszej kolejności będzie zwracana uwaga właśnie na tę dokumentację.

Obowiązek prowadzenia rejestru naruszeń

Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe.

Co powinno się znaleźć we wskazanym rejestrze naruszeń?

Odnośnie do zakresu rejestru, wskazówki znajdziemy w wytycznych Grupy Roboczej w art. 29 nr WP 250: Zgodnie z nimi: „Chociaż administrator określa metody i strukturę dokumentowania naruszeń, we wszystkich przypadkach należy uwzględnić określone kluczowe elementy zapisywanych informacji. Zgodnie z art. 33 ust. 5 administrator jest zobowiązany do rejestrowania szczegółowych informacji na temat naruszenia, które obejmują jego przyczyny, przebieg wydarzeń oraz zakres danych osobowych, których dotyczyło naruszenie. Powinny one obejmować również skutki i konsekwencje naruszenia, uwzględniając działania zaradcze podjęte przez administratora”.

Z mojego punktu widzenia, patrząc na powyższe wytyczne i praktykę, w rejestrze należy ująć:

  • informacje o wystąpieniu zdarzenia i stwierdzeniu naruszenia (data i miejsce zdarzenia, data i źródło uzyskania informacji, data i godzina stwierdzenia naruszenia);
  • okoliczności naruszenia (charakter naruszenia, kategoria osób, zakres danych, liczba osób, których naruszenie dotyczy);
  • skutki naruszenia (opis kategorii naruszenia);
  • środki naprawcze i zaradcze;
  • czy zgłoszono naruszenie do PUODO – data zgłoszenia, jeżeli nie to z jakich powodów;
  • czy poinformowano osoby, których dane dotyczą, jeśli tak, to w jaki sposób, jeśli nie, to dlaczego;
  • rola w naruszeniu (Administrator czy Procesor);
  • konsekwencje naruszenia.

W rejestrze zatem powinny znaleźć się zarówno naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na to, że mało prawdopodobne jest, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora. Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO.

Jak wskazuje art. 33 ust. 5 RODO, organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO            w zakresie tych obowiązków. Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO

Art. 33 ust. 5 RODO, który stanowi o wymogu dokumentowania naruszeń ochrony danych, nie wskazuje szczególnej formy, w jakiej rejestr naruszeń ma być prowadzony. Najbardziej praktycznym rozwiązaniem, który rekomenduje się przy wdrożeniu RODO pozostaje prowadzenie rejestru w formie elektronicznej w taki sposób, który umożliwi łatwą aktualizację dokumentu oraz ewentualne jego przesłanie/wydrukowanie przedstawicielom organu nadzorczego.

Pamiętajmy, że nie tylko na administratorze danych, ale również na podmiocie przetwarzającym ciąży obowiązek dokumentowania naruszenia przetwarzania danych osobowych.

Rejestr powinien również służyć możliwości monitorowania czy podmiot dokonuje odpowiednich zawiadomień o naruszeniach. Wszystkie obowiązki związane z zasadą rozliczalności, a tym samym z dokumentowaniem naruszeń zostały wskazane w art. 33-34 RODO oraz w motywach 85-87.

Pobierz wpis w wersji pdf

Podobne wpisy:

O przechowywaniu danych w chmurze…

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane […]

Przetwarzanie danych służbowych

Administrator czy podmiot przetwarzający? Jaką rolę pełnisz?

Określenie roli, jaką dany podmiot pełni w procesie przetwarzania danych osobowych, może stanowić dla przedsiębiorców nie lada wyzwanie. Jest to jednak niezbędne do prawidłowego ustalenia obowiązków, jakie ciążą na danym podmiocie w związku z przetwarzaniem danych osobowych. Administrator ponosi największą odpowiedzialność za powyższe operacje. Określa on – samodzielnie lub wspólnie z innym podmiotem – cele […]

Badanie pracowników na obecność koronawirusa zgodne z RODO – COVID-19

Pandemia COVID-19 nie odpuszcza, dlatego też wielu pracodawców, chcąc chronić życie i zdrowie swoich pracowników, decyduje się na zorganizowanie badań pod kątem zakażenia koronawirusem.  Czy pracodawca może zobowiązać pracownika do udziału w takich badaniach? Czy może pozyskać wyniki po badaniu? Poniższa infografika odpowiada na te i inne pytania, które pomogą pracodawcom w bieżącej działalności. Zwłaszcza […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki