Dokument aktualny
Zobacz inne wersje:

Dokumentacja naruszeń ochrony danych osobowych według RODO

Jowita Sobczak

Autor: Jowita Sobczak

Dodano: 23 czerwca 2023
Dowiedz się, czy trzeba będzie dokumentować naruszenia niezgłoszone do organu nadzorczego

Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w niektórych przypadkach także osobom, których te dane dotyczą. To jednak nie wszystko. Rolą administratora jest także dokumentowanie naruszeń danych osobowych. Co istotne, dotyczy to także takich naruszeń, których nie trzeba zgłaszać. Sprawdź, jakie naruszenia ochrony danych należy dokumentować i jak to robić.

Czym jest naruszenie ochrony danych osobowych

W ogólnym rozporządzeniu o ochronie danych naruszenie ochrony danych osobowych definiuje się jako incydent bezpieczeństwa danych prowadzący do przypadkowego lub niezgodnego z prawem:

  • zniszczenia,
  • utraty,
  • modyfikacji,
  • nieuprawnionego ujawnienia,
  • nieuprawnionego dostępu do danych osobowych (czyli utraty integralności danych) przesyłanych, przechowywanych lub przetwarzanych w inny sposób.

Tak rozumiane naruszenie danych osobowych występuje także wtedy, gdy nie rodzi ryzyka dla podmiotów danych. Ryzyko to ma znaczenie dla oceny, czy dane naruszenie podlega zgłoszeniu do Prezesa UODO i podmiotów danych. Tym samym, nawet niezgłoszony incydent pozostaje naruszeniem danych osobowych i należy je odpowiednio udokumentować.

Kiedy administrator danych musi zgłaszać naruszenie ochrony danych osobowych

Zgodnie z RODO zgłoszenia naruszenia ochrony danych osobowych nie dokonuje się, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. Innymi słowy do Prezesa UODO zgłasza się tylko takie naruszenia, które rodzą więcej niż małe (co najmniej średnie) prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Gdy administrator ma pewność – a nie jedynie przypuszcza – że stwierdzone naruszenie generuje co najwyżej małe ryzyko, wówczas nie musi dokonywać zgłoszenia.

Ryzyko średnie – naruszenie należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych

Co do zasady naruszenie ochrony danych osobowych podlega zgłoszeniu do organu nadzorczego (Prezesa UODO) – niezwłocznie, ale nie później niż w ciągu 72 godzin od momentu powzięcia informacji o zdarzeniu. Obowiązek ten wykonuje się drogą elektroniczną. Zgłoszenia nie dokonuje się jednak, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. Innymi słowy zgłaszać do Prezesa UODO należy tylko takie zdarzenia, które generują więcej niż małe (co najmniej średnie) prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych. Jeśli zatem administrator ma pewność (a nie jedynie przypuszcza), że naruszenie danych osobowych nie zrodzi takiego prawdopodobieństwa, wówczas nie musi go zgłaszać.

Uwaga

Stanowisko zaprezentowano w Wytycznych z Grupy Roboczej Art. 29 z 3 października 2017 r. w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679.

Przykład

W firmie doszło do wycieku danych osobowych ogólnodostępnych w rejestrze, do którego ma dostęp każda osoba (CEiDG i KRS). Niewątpliwie mamy tu do czynienia z naruszeniem ochrony danych osobowych w postaci ich nieuprawnionego ujawnienia. Nie generuje jednak ono choćby średniego prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych. Dane osobowe, które wyciekły, są bowiem publicznie dostępne w rejestrach.

Przykład

Administrator zgubił bezpiecznie zaszyfrowane urządzenie mobilne. Jest ono używane przez administratora i jego personel. Jeśli klucz szyfrowania pozostaje w posiadaniu administratora i jego personelu i nie jest to jedyna kopia danych osobowych, to dane te pozostają niedostępne dla osób nieuprawnionych, które mogłyby wejść w posiadanie urządzenia. Poza tym kopia zapasowa tych danych nadal pozostaje w posiadaniu administratora. Mamy tu oczywiście do czynienia z naruszeniem ochrony danych osobowych. Niemniej jednak nie wymaga ono zgłoszenia. Prawdopodobieństwo, by naruszenie stanowiło zagrożenie dla praw lub wolności podmiotów danych, jest bowiem małe.

Wysokie ryzyko – konieczne dodatkowe zgłoszenie naruszenia podmiotom danych

Jeśli zaś naruszenie ochrony danych osobowych rodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wówczas administrator w myśl art. 34 RODO musi także zawiadomić o tym zdarzeniu osoby, których dotyczy naruszenie. Zawiadomienia takiego należy dokonać bez zbędnej zwłoki.

Dokumentowanie naruszeń ochrony danych osobowych – zgłoszonych i nie tylko

Z naruszeniem ochrony danych osobowych mamy więc do czynienia także wtedy, gdy ryzyko dla praw i wolności podmiotów danych jest niskie. Choć nie ma wtedy obowiązku zgłoszenia naruszenia ani tym bardziej zawiadamiania o zdarzeniu podmiotów danych, to jednak administrator musi zdarzenie odpowiednio udokumentować.

Uwaga

Administrator musi udokumentować każde naruszenie ochrony danych osobowych, nawet jeśli generuje ono niskie ryzyko dla podmiotów danych i nie jest zgłaszane do Prezesa UODO.

Dokumentowanie naruszeń przepisów o ochronie danych osobowych - zgodnie z regułą rozliczalności

Zgodnie z regułą rozliczalności administrator musi być w stanie wykazać, że:

  • dokonał stosownej oceny naruszenia ochrony danych osobowych,
  • na podstawie tej oceny podjął decyzję, by nie zgłaszać naruszenia Prezesowi UODO ani podmiotom danych.

Dokumentowanie naruszenia danych osobowych ma więc na celu zabezpieczenie administratora na wypadek kontroli RODO. Organ nadzorczy będzie bowiem badał, czy administrator zrezygnował z zawiadamiania na podstawie uzasadnionych przesłanek (art. 33 ust. 5 RODO).

Uwaga

Brak dokumentowania naruszeń może skończyć się administracyjną karą pieniężną (art. 83 ust. 4 lit. a RODO).

Dokumentacja naruszeń ochrony danych osobowych według RODO – raport czy rejestr

RODO nie wskazuje, jak konkretnie powinna nazywać się dokumentacja naruszeń ochrony danych osobowych. W praktyce najczęściej stosuje się raporty z poszczególnych naruszeń oraz rejestry naruszeń. Nie oznacza to, jednak, że każdy administrator musi posiadać takie dokumenty. Równie dobrze dokumentowanie incydentów może odbywać się w inny sposób.

Uwaga

Naruszenia danych osobowych mogą być dokumentowane na piśmie lub elektronicznie.

Pobierz wzór:

Co powinna zawierać dokumentacja naruszeń ochrony danych osobowych

Istotniejsza od nazwy jest treść dokumentacji naruszeń. Reguluje ją art. 33 ust. 5 RODO.

Element dokumentacji naruszenia ochrony danych osobowych

Wyjaśnienia

Opis zdarzenia

Wskazuje się tu okoliczności, w jakich doszło do naruszenia ochrony danych osobowych, a zwłaszcza:

  • data zdarzenia,
  • godzina zdarzenia.

Informacje te są istotne w celu ustalenia, czy administrator danych osobowych zgłosił naruszenie w terminie. Poza tym należy opisać:

  • okoliczności zdarzenia i zakres danych osobowych objętych naruszeniem (wytyczne Grupy Roboczej w art. 29 nr WP 250),
  • kategorie osób, których dotyczy zdarzenie,
  • czy zgłoszono naruszenie do Prezesa UODO.

Analiza przyczyn (okoliczności) naruszenia ochrony danych osobowych

Jako przyczyna może być wskazany:

  • błąd człowieka,
  • niewłaściwie zaprojektowany proces,
  • niewłaściwie skonfigurowany system IT,
  • zdarzenie losowe (klęska żywiołowa).

Skutki związane z naruszeniem

Należy tu wskazać skutki dla osoby, której dotyczą dane. Chodzi tu w szczególności o ryzyko:

  • kradzieży tożsamości,
  • zaciągnięcia zobowiązania,
  • naruszenia dóbr osobistych.

Analiza prawdopodobieństwa wystąpienia tego naruszenia ochrony danych osobowych w przyszłości

Analizę powinno się powiązać to z zaplanowanymi działaniami naprawczymi.

Działania naprawcze

Należy wskazać np. jakie zabezpieczenia planuje wprowadzić administrator, aby w przyszłości uniknąć naruszenia danych osobowych (np. instalacja oprogramowania antywirusowego). Nie bez znaczenia są tu także komunikaty kierowane do podmiotów danych – należy o nich wspomnieć w dokumentacji.

Dokumentacja naruszenia obejmuje też incydenty po stronie procesora

Podmiot przetwarzający nie ma obowiązku dokumentowania naruszeń ochrony danych osobowych przetwarzanych w ramach powierzenia. Naruszenia te musi natomiast udokumentować administrator danych osobowych. Z drugiej strony procesor ma obowiązek pomagać administratorowi w dokumentowaniu naruszeń (art. 28 ust. 3 lit. f RODO). Dlatego warto wprowadzić do umowy powierzenia przetwarzania danych obowiązek niezwłocznego informowania administratora o wszelkich naruszeniach – nawet takich, które w ocenie procesora nie wymagają zgłoszenia.

Z tego względu, jeśli administrator powierzenia przetwarzanie danych osobowych procesorowi, to powinien wprowadzić do umowy powierzenia odpowiednie postanowienia dotyczące obowiązku zgłaszania naruszeń ochrony danych osobowych administratorowi.

Przykład

Podwykonawca omyłkowo wysłał zbiorczego e-maila do kilku klientów administratora. W efekcie poszczególni klienci uzyskali dostęp do danych osobowych innych klientów. Choć za naruszenie ochrony danych osobowych odpowiada procesor, to administrator powinien je udokumentować. Jak bowiem wskazują liczne decyzje UODO, odpowiedzialność za naruszenia będące wynikiem błędu po stronie procesora, obciążają najczęściej ADO.

Przeczytaj także:

Jowita Sobczak

Autor: Jowita Sobczak

ekspert ds ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x