Jakie działania podjąć w związku z naruszeniem ochrony danych

Autor: Marcin Sierpień

Dodano: 7 maja 2018
Jakie działania podjąć w związku z naruszeniem ochrony danych

Ogólne rozporządzenie o ochronie danych (RODO) zobowiązuje administratorów do odpowiedniego reagowania na naruszenia ochrony danych. Sprawdź, co zrobić, żeby zminimalizować groźbę wystąpienia takiego naruszenia. Dowiedz się, jak postąpić, gdy do takiego naruszenia dojdzie.  

Działania, które administrator danych powinien podjąć w związku z naruszeniem ochrony danych, można podzielić na:

  • działania zapobiegawcze oraz
  • działania służące wypełnieniu zobowiązań prawnych.

Działania zapobiegawcze nie wynikają wprost z żadnego obowiązku, jaki na administratora danych nakłada ogólne rozporządzenie o ochronie danych (RODO). Podjęcie tych działań wynika z polityki ochrony danych, którą administrator może wdrożyć, uwzględniając procesy przetwarzania charakterystyczne dla jego działalności. Działania zapobiegawcze mają przygotować administratora danych do właściwego reagowania na potencjalne incydenty, które mogą wydarzyć się w związku z przetwarzaniem danych. Tym samym w ramach działań zapobiegawczych należy przede wszystkim:

Zapewnić pracownikom organizacji odpowiednią wiedzę

W tym celu:

a) trzeba wyznaczyć pracowników, którym ta wiedza ma być przekazana. Z reguły przeważająca większość pracowników przetwarza dane osobowe – obok ścisłego zarządu, na danych osobowych pracują np. działy kadrowo-płacowe czy też wewnętrzni kurierzy. Biorąc pod uwagę, że naruszenie ochrony danych może dotyczyć zarówno systemów informatycznych, jak i dokumentacji papierowej, należy przekazać możliwie szerokiemu gronu pracowników i współpracowników wiedzę na temat definicji naruszenia danych. Jeśli wystąpi konkretny incydent, przeszkolony personel powinien mieć możliwość szybkiej identyfikacji naruszenia i niezwłocznego zgłoszenia naruszenia właściwym osobom;

b) warto rozważyć, komu jeszcze można przekazać wiedzę dotyczącą naruszeń. Jeżeli administrator powierza przetwarzanie danych na zewnątrz (np. firmie księgowej, firmie hostingowej lub podmiotowi niszczącemu dokumenty), powinien mieć pewność, że podmioty te (niezależnie od obowiązków/odpowiedzialności, które nakłada na nie RODO) będą w stanie zidentyfikować naruszenie ochrony danych, a następnie zgłosić administratorowi to naruszenie. Jest to szczególnie istotne, jeżeli administrator podejrzewa, że dany podmiot może nie mieć wiedzy na temat nowych przepisów. Trzeba pamiętać, że komunikacja dotycząca naruszeń pozwoli wszystkim na uniknięcie dodatkowych problemów organizacyjnoprawnych.

W przypadku działań służących wypełnieniu zobowiązań prawnych należy podjąć ściśle określone kroki zmierzające do przestrzegania przepisów. RODO przewiduje trzy sytuacje, które mogą powstać w związku z naruszeniem ochrony danych. Wiązać się z nimi może:

  • brak obowiązku zgłoszenia naruszenia ochrony danych – gdy naruszenie nie ma wpływu na prawa i wolności osób, których dane dotyczą,
  • obowiązek zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych (Prezes UODO) – obowiązek ten istnieje w przypadku naruszeń, dla których istnieje prawdopodobieństwo szkodliwego (niekorzystnego) wpływu na prawa i wolności osób, których dane dotyczą.
  • obowiązek zgłoszenia naruszenia Prezesowi UODO oraz osobom, których danych naruszenie dotyczy – osobom, których dane dotyczą – naruszenie należy zgłosić wówczas, gdy istnieje wysokie ryzyko naruszenia ich praw lub wolności (tabela 2 opisuje wyjątki od tej zasady).

Niezależnie od tego, czy w konkretnej sytuacji administrator danych stwierdzi, że powinien dokonać powiadomienia o naruszeniu ochrony danych, w każdym przypadku będzie miał obowiązek dokumentowania wszelkich związanych z naruszeniem incydentów

Ważne:

Należy dokumentować w wewnętrznym rejestrze administratora danych wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.

Autor: Marcin Sierpień

specjalista w zakresie ochrony danych osobowych

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x