Dowiedz się, czy trzeba będzie dokumentować naruszenia niezgłoszone do organu nadzorczego

Jowita Sobczak

Autor: Jowita Sobczak

Dodano: 12 lutego 2018
Dowiedz się, czy trzeba będzie dokumentować naruszenia niezgłoszone do organu nadzorczego

Ogólne rozporządzenie o ochronie danych nakłada na administratorów obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Takie naruszenia trzeba będzie także dokumentować. Sprawdź, czy w rejestrze naruszeń trzeba będzie odnotować także te, które nie zostały zgłoszone do organu nadzorczego.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO), przewiduje dwa rodzaje zgłoszeń naruszenia ochrony danych osobowych. Są to – zgłoszenie naruszenia przez administratora danych organowi nadzorczemu oraz zgłoszenie przez podmiot przetwarzający (procesora) administratorowi danych.

Naruszenie ochrony danych osobowych, czyli…

Zgodnie z RODO naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszenie może więc odnosić się do różnych czynności przetwarzania danych osobowych (np. nieuprawniona modyfikacja treści danych).

Co zrobić, gdy dojdzie do naruszenia

Jeśli dojdzie do naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki (nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) będzie zobligowany zgłosić je organowi nadzorczemu. Jeżeli jednak jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, wówczas nie trzeba zgłaszać takiego naruszenia. W związku z tym nie w każdym przypadku naruszenie ochrony danych będziesz trzeba zgłosić do organu nadzorczego. Oznacza to, że w przypadku gdy administrator będzie miał pewność, że takie naruszenie nie będzie skutkowało naruszeniem praw osób, których dane dotyczą, to nie musi dokonywać takiego zgłoszenia.

PRZYKŁAD

Do incydentu, który nie będzie skutkował naruszeniem praw i wolności podmiotów danych, dojdzie w sytuacji, gdy dane osobowe są już ogólnodostępne, a ich ujawnienie nie stwarza ryzyka dla osób, których dane dotyczą.

W tej sytuacji nie trzeba zgłaszać naruszenia ochrony danych organowi nadzorczemu

Grupa Robocza Art. 29 w wytycznych z 3 października 2017 r. w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679 podziela stanowisko, że jeśli administrator będzie miał pewność, iż naruszenie nie doprowadzi do naruszenia praw i wolności osób, których dane dotyczą, nie będzie musiał go zgłaszać organowi nadzorczemu. Grupa Robocza Art. 29 w wytycznych podaje przykłady naruszeń, które nie wymagają powiadomienia organu nadzorczego.

PRZYKŁAD

Naruszeniem, którego nie trzeba będzie zgłaszać organowi nadzorczemu może być to utrata bezpiecznie zaszyfrowanego urządzenia mobilnego używanego przez administratora i jego personel. Jeżeli klucz szyfrowania pozostaje w posiadaniu administratora i jego personelu i nie jest to jedyna kopia danych osobowych, to dane te pozostają niedostępne dla atakującego. Oznacza to małe prawdopodobieństwo, by naruszenie stanowiło zagrożenie dla praw lub wolności osób, których dotyczą naruszone dane.

Czy wszystkie naruszenia ochrony danych trzeba będzie dokumentować

Ważnym elementem związanym z naruszeniem ochrony danych osobowych jest obowiązek dokumentowania naruszeń. RODO nie określa, jakie naruszenia należy dokumentować (czy tylko te zgłaszane do organu nadzorczego), dlatego należy przyjąć, że obowiązek ten dotyczy również naruszeń, które nie podlegają zgłoszeniu organowi nadzorczemu. Zanim administrator podejmie decyzję o niezgłoszeniu naruszenia, będzie musiał dokonać stosownej oceny takiego naruszenia oraz udokumentować podjętą decyzję na wypadek np. kontroli ze strony organu nadzorczego. RODO nie wyjaśnia, w jaki sposób trzeba zweryfikować, czy zaistniałe zdarzenie będzie skutkowało naruszeniem praw lub wolności osób fizycznych. Niewątpliwie administrator będzie musiał przeprowadzić postępowanie wyjaśniające okoliczności naruszenia ochrony danych osobowych.

Administrator powinien prowadzić dokumentację naruszeń ochrony danych osobowych, tak aby w możliwie łatwy sposób organ nadzorczy mógł zweryfikować poprawność stosowania przepisów RODO w zakresie obowiązku zgłaszania naruszeń ochrony danych osobowych (art. 33 ust. 5 RODO).

Jakie elementy musi zawierać dokumentacja naruszeń ochrony danych

Dokumentacja naruszeń ochrony danych osobowych powinna zawierać w szczególności:

  1. Opis zdarzenia (okoliczności, w jakich doszło do naruszenia ochrony danych osobowych):
  • data zdarzenia,
  • godzina zdarzenia – ma to istotne znaczenie w przypadku konieczności podjęcia decyzji o zgłoszeniu naruszenia ochrony danych osobowych do organu nadzorczego.
  1. Analizę przyczyn naruszenia ochrony danych osobowych (czy był to błąd człowieka, niewłaściwie zaprojektowany proces, niewłaściwie skonfigurowany system teleinformatyczny itp.).
  2. Skutki związane z naruszeniem ochrony danych osobowych – np. dla osoby, której dane dotyczą.
  3. Analiza prawdopodobieństwa wystąpienia tego naruszenia ochrony danych osobowych w przyszłości.
  4. Działania naprawcze – np. jakie zabezpieczenia planuje wprowadzić administrator, aby w przyszłości uniknąć takiego zdarzenia (instalacja oprogramowania antywirusowego itp.).

Czy podmiot przetwarzający też zgłasza naruszenia

Jeśli administrator powierza przetwarzanie danych osobowych podmiotowi zewnętrznemu, powinien zwrócić uwagę, by w umowie z podmiotem przetwarzającym wprowadzić stosowne zapisy dotyczące obowiązku zgłaszania naruszeń ochrony danych osobowych administratorowi. Taki zapis powinien jednoznacznie określać, że wymóg zgłaszania naruszeń ochrony danych osobowych dotyczy wszystkich naruszeń, a nie tylko tych, które należy zgłaszać do organu nadzorczego. Administrator może też wprowadzić dodatkowe wymogi dotyczące prowadzenia określonej dokumentacji naruszeń ochrony danych osobowych, np. analizę przyczyn naruszenia ochrony danych osobowych.

Ważne:

Zgodnie z RODO administrator będzie musiał dokumentować naruszenia ochrony danych osobowych. Dotyczy to także tych naruszeń, których nie trzeba będzie zgłaszać do organu nadzorczego, gdy będzie mało prawdopodobne, że mogą one powodować naruszenie praw i wolności osób, których dane dotyczą.

Jowita Sobczak

Autor: Jowita Sobczak

ekspert ds ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel