Kto będzie prowadził dokumentację naruszeń ochrony danych zgodnie z rodo

Od 25 maja 2018 r. będzie stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. To tzw. ogólne rozporządzenie o ochronie danych (General Data Protection Regulation, GDPR) będzie w Polsce stosowane bezpośrednio, co oznacza, że nie ma potrzeby wprowadzania go osobnymi aktami prawnymi prawa polskiego. Nie ma więc co liczyć na opóźnienia w jego wdrożeniu.

Jedną ze zmian, jaką wprowadzi ogólne rozporządzenie, jest nowy obowiązek administratorów danych osobowych przewidziany w art. 33 ust. 5 rozporządzenia. Zgodnie z tym przepisem, jako administrator danych będziesz musiał dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

Prowadzona przez ciebie dokumentacja musi pozwolić organowi nadzorczemu zweryfikować, czy przestrzegasz całego artykułu 33 rozporządzenia. Dotyczy on zgłaszania naruszeń ochrony danych osobowych do  organu nadzorczego, czyli w naszym przypadku do Generalnego Inspektora Ochrony Danych Osobowych.

Gdy rozporządzenie zacznie być stosowane i dojdzie do naruszenia ochrony danych osobowych, będziesz musiał bez zbędnej zwłoki zgłosić takie naruszenie organowi nadzorczemu. „Bez zbędnej zwłoki”, zgodnie z rozporządzeniem, oznacza „w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”. Jeśli zgłosisz naruszenie po 72 godzinach, będziesz musiał dodatkowo wyjaśnić przyczyny opóźnienia.

Zasada „samodonoszenia” działa także szczebel niżej. Jeżeli podmiot, który przetwarza dane (np. na podstawie umowy o powierzeniu przetwarzania danych osobowych), stwierdzi, że doszło do naruszenia ochrony danych osobowych, to powinien bez zbędnej zwłoki zgłosić to naruszenie administratorowi danych osobowych.

Załóżmy teraz, że zaniedbałeś swojego obowiązku i nie poinformowałeś organu nadzorczego (GIODO) o zaistniałym naruszeniu. Jeżeli organ nie dowiedział się o tym naruszeniu z innego źródła i nie wszczął postępowania od razu, to nie miał szansy dowiedzieć się o uchybieniu, jakiego się dopuściłeś. Z tego powodu rozporządzenie nakłada na ciebie obowiązek dokumentowania wszystkich przypadków naruszeń. Nawet jeżeli nie zgłosisz naruszenia do GIODO, to w toku kontroli prowadzonej za kilka miesięcy lub kilka lat GIODO może zażądać od ciebie dokumentacji dokumentującej naruszenia. Z tego tzw. rejestru naruszeń pracownicy Biura GIODO dowiedzą się, że naruszenie było, ale nie powiadomiłeś o nim GIODO.

Rozporządzenie określa tylko zawartość zawiadomienia o naruszeniu, a nie precyzuje tego, co dokładnie powinna zawierać dokumentacja naruszeń. O jej zawartości można jednak wnioskować ze wskazanego już celu prowadzenia tej dokumentacji oraz z obowiązków dostawców publicznie dostępnych usług telekomunikacyjnych.

Dostawcy Internetu czy telefonii komórkowej mają bowiem już od 25 sierpnia 2013 r. obowiązek zgłaszania naruszeń i prowadzenia rejestru naruszeń. Od 25 maja 2018 r. obejmie on wszystkich administratorów danych osobowych. Zgodnie z art. 174d Prawa telekomunikacyjnego taki rejestr powinien zawierać:

1) opis charakteru naruszenia danych osobowych,

2) informacje o zaleconych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środkach, które mają złagodzić ewentualne niekorzystne skutki naruszenia danych osobowych,

3) informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych,

4) informacje o fakcie poinformowania lub braku poinformowania abonenta, lub użytkownika końcowego będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych,

5) opis skutków naruszenia danych osobowych,

6) opis zaproponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.

Nie powinna cię rozleniwiać świadomość około półtorarocznego okresu, jaki masz jeszcze na rozpoczęcie prowadzenia rejestru naruszeń. W tym czasie powinieneś bowiem zaplanować, wdrożyć i przetestować prowadzenie takiego rejestru, co wymaga wykonania wielu zadań.

Najtrudniejsze będzie zaprojektowanie i zamówienie odpowiedniego systemu informatycznego. Powinien on gromadzić informacje, które pojawiają się w całym procesie związanym z dokumentowaniem i naruszeniem danych osobowych. Chodzi tu o okres od rejestracji zgłoszenia naruszenia ochrony danych osobowych, poprzez gromadzenie dokumentacji, aż do stworzenia kompletnego wpisu (rekordu) dotyczącego konkretnego przypadku naruszenia.