Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w niektórych przypadkach także osobom, których te dane dotyczą. To jednak nie wszystko. Rolą administratora jest także dokumentowanie naruszeń danych osobowych. Co istotne, dotyczy to także takich naruszeń, których nie trzeba zgłaszać. Sprawdź, jakie naruszenia ochrony danych należy dokumentować i jak to robić.
W ogólnym rozporządzeniu o ochronie danych naruszenie ochrony danych osobowych definiuje się jako incydent bezpieczeństwa danych prowadzący do przypadkowego lub niezgodnego z prawem:
Tak rozumiane naruszenie danych osobowych występuje także wtedy, gdy nie rodzi ryzyka dla podmiotów danych. Ryzyko to ma znaczenie dla oceny, czy dane naruszenie podlega zgłoszeniu do Prezesa UODO i podmiotów danych. Tym samym, nawet niezgłoszony incydent pozostaje naruszeniem danych osobowych i należy je odpowiednio udokumentować.
Zgodnie z RODO zgłoszenia naruszenia ochrony danych osobowych nie dokonuje się, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. Innymi słowy do Prezesa UODO zgłasza się tylko takie naruszenia, które rodzą więcej niż małe (co najmniej średnie) prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Gdy administrator ma pewność – a nie jedynie przypuszcza – że stwierdzone naruszenie generuje co najwyżej małe ryzyko, wówczas nie musi dokonywać zgłoszenia.
Co do zasady naruszenie ochrony danych osobowych podlega zgłoszeniu do organu nadzorczego (Prezesa UODO) – niezwłocznie, ale nie później niż w ciągu 72 godzin od momentu powzięcia informacji o zdarzeniu. Obowiązek ten wykonuje się drogą elektroniczną. Zgłoszenia nie dokonuje się jednak, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. Innymi słowy zgłaszać do Prezesa UODO należy tylko takie zdarzenia, które generują więcej niż małe (co najmniej średnie) prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych. Jeśli zatem administrator ma pewność (a nie jedynie przypuszcza), że naruszenie danych osobowych nie zrodzi takiego prawdopodobieństwa, wówczas nie musi go zgłaszać.
Stanowisko zaprezentowano w Wytycznych z Grupy Roboczej Art. 29 z 3 października 2017 r. w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679.
W firmie doszło do wycieku danych osobowych ogólnodostępnych w rejestrze, do którego ma dostęp każda osoba (CEiDG i KRS). Niewątpliwie mamy tu do czynienia z naruszeniem ochrony danych osobowych w postaci ich nieuprawnionego ujawnienia. Nie generuje jednak ono choćby średniego prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych. Dane osobowe, które wyciekły, są bowiem publicznie dostępne w rejestrach.
Administrator zgubił bezpiecznie zaszyfrowane urządzenie mobilne. Jest ono używane przez administratora i jego personel. Jeśli klucz szyfrowania pozostaje w posiadaniu administratora i jego personelu i nie jest to jedyna kopia danych osobowych, to dane te pozostają niedostępne dla osób nieuprawnionych, które mogłyby wejść w posiadanie urządzenia. Poza tym kopia zapasowa tych danych nadal pozostaje w posiadaniu administratora. Mamy tu oczywiście do czynienia z naruszeniem ochrony danych osobowych. Niemniej jednak nie wymaga ono zgłoszenia. Prawdopodobieństwo, by naruszenie stanowiło zagrożenie dla praw lub wolności podmiotów danych, jest bowiem małe.
Jeśli zaś naruszenie ochrony danych osobowych rodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wówczas administrator w myśl art. 34 RODO musi także zawiadomić o tym zdarzeniu osoby, których dotyczy naruszenie. Zawiadomienia takiego należy dokonać bez zbędnej zwłoki.
Z naruszeniem ochrony danych osobowych mamy więc do czynienia także wtedy, gdy ryzyko dla praw i wolności podmiotów danych jest niskie. Choć nie ma wtedy obowiązku zgłoszenia naruszenia ani tym bardziej zawiadamiania o zdarzeniu podmiotów danych, to jednak administrator musi zdarzenie odpowiednio udokumentować.
Administrator musi udokumentować każde naruszenie ochrony danych osobowych, nawet jeśli generuje ono niskie ryzyko dla podmiotów danych i nie jest zgłaszane do Prezesa UODO.
Zgodnie z regułą rozliczalności administrator musi być w stanie wykazać, że:
Dokumentowanie naruszenia danych osobowych ma więc na celu zabezpieczenie administratora na wypadek kontroli RODO. Organ nadzorczy będzie bowiem badał, czy administrator zrezygnował z zawiadamiania na podstawie uzasadnionych przesłanek (art. 33 ust. 5 RODO).
Brak dokumentowania naruszeń może skończyć się administracyjną karą pieniężną (art. 83 ust. 4 lit. a RODO).
RODO nie wskazuje, jak konkretnie powinna nazywać się dokumentacja naruszeń ochrony danych osobowych. W praktyce najczęściej stosuje się raporty z poszczególnych naruszeń oraz rejestry naruszeń. Nie oznacza to, jednak, że każdy administrator musi posiadać takie dokumenty. Równie dobrze dokumentowanie incydentów może odbywać się w inny sposób.
Naruszenia danych osobowych mogą być dokumentowane na piśmie lub elektronicznie.
Pobierz wzór:
Istotniejsza od nazwy jest treść dokumentacji naruszeń. Reguluje ją art. 33 ust. 5 RODO.
|
Element dokumentacji naruszenia ochrony danych osobowych |
Wyjaśnienia |
|
Opis zdarzenia |
Wskazuje się tu okoliczności, w jakich doszło do naruszenia ochrony danych osobowych, a zwłaszcza:
Informacje te są istotne w celu ustalenia, czy administrator danych osobowych zgłosił naruszenie w terminie. Poza tym należy opisać:
|
|
Analiza przyczyn (okoliczności) naruszenia ochrony danych osobowych |
Jako przyczyna może być wskazany:
|
|
Skutki związane z naruszeniem |
Należy tu wskazać skutki dla osoby, której dotyczą dane. Chodzi tu w szczególności o ryzyko:
|
|
Analiza prawdopodobieństwa wystąpienia tego naruszenia ochrony danych osobowych w przyszłości |
Analizę powinno się powiązać to z zaplanowanymi działaniami naprawczymi. |
|
Działania naprawcze |
Należy wskazać np. jakie zabezpieczenia planuje wprowadzić administrator, aby w przyszłości uniknąć naruszenia danych osobowych (np. instalacja oprogramowania antywirusowego). Nie bez znaczenia są tu także komunikaty kierowane do podmiotów danych – należy o nich wspomnieć w dokumentacji. |
Podmiot przetwarzający nie ma obowiązku dokumentowania naruszeń ochrony danych osobowych przetwarzanych w ramach powierzenia. Naruszenia te musi natomiast udokumentować administrator danych osobowych. Z drugiej strony procesor ma obowiązek pomagać administratorowi w dokumentowaniu naruszeń (art. 28 ust. 3 lit. f RODO). Dlatego warto wprowadzić do umowy powierzenia przetwarzania danych obowiązek niezwłocznego informowania administratora o wszelkich naruszeniach – nawet takich, które w ocenie procesora nie wymagają zgłoszenia.
Z tego względu, jeśli administrator powierzenia przetwarzanie danych osobowych procesorowi, to powinien wprowadzić do umowy powierzenia odpowiednie postanowienia dotyczące obowiązku zgłaszania naruszeń ochrony danych osobowych administratorowi.
Podwykonawca omyłkowo wysłał zbiorczego e-maila do kilku klientów administratora. W efekcie poszczególni klienci uzyskali dostęp do danych osobowych innych klientów. Choć za naruszenie ochrony danych osobowych odpowiada procesor, to administrator powinien je udokumentować. Jak bowiem wskazują liczne decyzje UODO, odpowiedzialność za naruszenia będące wynikiem błędu po stronie procesora, obciążają najczęściej ADO.
Przeczytaj także:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
