naruszenie ochrony danych

5b10a31033c46d48f9e64282fc0ac9cb9aeb974d-xlarge (3)

Dokumentacja naruszeń ochrony danych osobowych w praktyce

Każde naruszenie ochrony danych, nawet takie, które nie wymaga zgłoszenia, musi być odpowiednio udokumentowane. W praktyce najczęściej stosuje się rejestry naruszeń i raporty z naruszeń, niemniej jednak nie są to jedyne dopuszczalne rozwiązania. Administrator musi postępować zgodnie z regułą rozliczalności, a zatem być gotowy do wykazania, że udokumentował naruszenie i podjął w związku z nim adekwatne działania. Sprawdź, jaką dokumentację ochrony danych prowadzić w związku z naruszeniami.

RODO nakazuje udokumentować każde naruszenie ochrony danych osobowych

W RODO przewidziano obowiązek dokumentowania wszystkich naruszeń ochrony danych osobowych. Udokumentowane musi być każde naruszenie, w tym jego okoliczności, skutki i podjęte działania zaradcze. Nie ma tu znaczenia, jaki poziom ryzyka dla praw i wolności osób fizycznych to naruszenie wygenerowało. Obowiązek udokumentowania dotyczy nawet takich naruszeń ochrony danych, które nie wymagają zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych i zawiadamiania podmiotów danych. Przypomnijmy, że zgłoszenie naruszenia ochrony danych do Prezesa UODO dotyczy wyłącznie takich zdarzeń, które skutkują naruszeniem praw lub wolności podmiotów danych. Zgłoszenie naruszenia nie jest konieczne, w przypadku gdy jest mało prawdopodobne, by dane zdarzenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Wybór metody dokumentowania należy do administratora danych osobowych

RODO nie reguluje jednak sposobów dokumentowania naruszeń ochrony danych. Wybór rozwiązań należy tu do administratora. Dlatego przedstawione w artykule rozwiązania to propozycja. Równie dobrze administrator może przyjąć inny sposób dokumentowania naruszeń. Ważne jest jednak przygotowanie rzetelnej dokumentacji, która posłuży też do szczegółowej analizy incydentu. Zgodnie z RODO to na administratorze danych osobowych spoczywa obowiązek prowadzenia dokumentacji w sposób umożliwiający ewentualną weryfikację przez organ nadzorczy.

Korzyści 

W artykule m.in. o:

  • procedurze reagowania na naruszenia ochrony danych,

  • treści raportu z naruszenia

  • rejestrze naruszeń i tym, co może zawierać,

  • formach dokumentowania naruszeń.

naruszenie ochrony danych

Jak zredagować zgłoszenie naruszenia ochrony danych

W przypadku naruszenia ochrony danych generującego więcej niż małe prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych administrator musi zgłosić to naruszenie do Prezesa UODO. Natomiast gdy to ryzyko jest wysokie, konieczne jest również zawiadomienie podmiotów danych. Sprawdź, jak zredagować te zawiadomienia.

Co powinno znaleźć się w zgłoszeniu naruszenia ochrony danych do Prezesa UODO

Prezes UODO musi być zawiadomiony o naruszeniu ochrony danych najszybciej jak to jest możliwe. Zgłoszenie nie może nastąpić później niż w ciągu72 godzin od stwierdzenia naruszenia.

W zgłoszeniu naruszenia ochrony danych do Prezesa UODO należy:

  • opisać charakter naruszenia ochrony danych osobowych (w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie);
  • wskazać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub inny punkt kontaktowy, od którego można uzyskać więcej informacji;
  • opisać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, (w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków).

Zgłoszenie do Prezesa UODO dokonywane jest w postaci elektronicznej. Wykorzystuje się w tym celu formularz dostępny na stronie internetowej UODO.

Zgłoszenie naruszenia ochrony danych do Prezesa UODO w języku polskim

Formularz należy oczywiście wypełnić z należytą precyzją. Kwestia ta nie budzi wątpliwości. Wprawdzie nie sprecyzowano w nim języka, jakiego należy używać. Niemniej jednak z uwagi na język urzędowy UODO oraz język samego formularza, należy go wypełnić wyłącznie w języku polskim.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jakiego języka użyć w zgłoszeniu naruszenia do Prezesa UODO i w zawiadomieniu dla podmiotów danych,
  • jakie informacje powinny zawierać obydwa zgłoszenia,
  • jak zredagować poszczególne informacje,
  • jak postąpić w przypadku, gdy podmiotami danych są dzieci lub osoby ubezwłasnowolnione.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x