Wstęp

Niemal codziennie media obiega informacja o wyciekach danych osobowych. Problem ten wynika zarówno z błędu ludzkiego, jak i z działań cyberprzestępców, którzy próbują uzyskać nielegalny dostęp do zasobów informatycznych. Dotyczy to zarówno instytucji publicznych, jak i firm z sektora prywatnego. Każdy incydent bezpieczeństwa wymaga od administratora danych osobowych podjęcia odpowiednich działań. Procedura działań i dokumentowanie naruszeń ochrony danych osobowy staną się jednym z obszarów badanych przez Urząd Ochrony Danych Osobowych w ramach kontroli sektorowych planowanych na 2025 r.

Dokumentowanie naruszeń ochrony danych osobowych – obowiązki administratora

Kwestii dokumentowania naruszeń ochrony danych osobowych Urząd Ochrony Danych Osobowych poświęcił w ostatnim czasie sporo uwagi. W materiałach publikowanych przez organ nadzoru pojawiły się zaktualizowane informacje na temat postępowania w przypadku wystąpienia w infrastrukturze incydentów bezpieczeństwa.

Zgodnie z art. 33 ust. 5 RODO administrator ma obowiązek prowadzenia dokumentacji naruszeń ochrony danych osobowych[1]. W takim rejestrze winny zostać odnotowane wszelkie incydenty bezpieczeństwa danych osobowych, nawet jeżeli naruszenie nie podlega zgłoszeniu do organu nadzorczego. Jeżeli naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki, możliwie w ciągu 72 godzin po stwierdzeniu naruszenia, musi je zgłosić do Prezesa Urzędu Ochrony Danych Osobowych.

[1] Co ważne, zgodnie z art., 33 ust. 2 rozporządzenia RODO, podmiot przetwarzający bez zbędnej zwłoki zgłasza do administratora danych osobowych przypadki naruszenia danych osobowych.

Przepisy wymagają, aby w rejestrze naruszeń ochrony danych znalazły się:

  • opis okoliczności naruszenia danych osobowych – w tym miejscu administrator danych osobowych musi wskazać datę i czas: wystąpienia, stwierdzenia oraz ustąpienia naruszenia, opisać sposób jego wykrycia, określić przyczyny, rodzaj i przebieg, następnie wskazać rodzaj i zakres danych objętych naruszeniem, a także liczbę i kategorie osób, których dane dotyczą (informacje te będą brane pod uwagę przy wykonaniu oceny wagi naruszenia);
  • opis skutków – zarówno jeżeli takowe wystąpiły, jak i tych, które mogą wystąpić w związku z naruszeniem ochrony danych osób, których dane dotyczą,
  • uzasadnienie oceny ryzyka – każde z naruszeń ochrony danych osobowych winno być poddane ocenie, na podstawie której administrator będzie umiał wykazać, czy doszło do naruszenia praw lub wolności osób fizycznych (wśród czynników wpływających na ocenę znajdą się m.in.: rodzaj naruszenia ochrony danych osobowych, charakter, wrażliwości i zakres danych osobowych, cechy szczególne administratora danych oraz osób, których dane dotyczą, łatwość ich zidentyfikowania, wreszcie liczba takich osób oraz dotkliwość konsekwencji); administrator na tej podstawie będzie wiedział, czy naruszenie
  • wykaz proponowanych i zastosowanych działań zaradczych, a także przyjętych środków zapobiegających powtórzeniu się naruszania w przyszłości,
  • informacja o przekazaniu zawiadomienia do organu nadzorczego, ze wskazaniem daty oraz ewentualnego wyjaśnienia opóźnienia w dokonaniu takiego zgłoszenia, ewentualnie uzasadnienie decyzji o niezgłoszeniu naruszenia do PUODO;
  • informacja o powiadomieniu osób, których dane dotyczą, w tym dacie powiadomienia o naruszeniu, zastosowanych środkach komunikacji i treści komunikatu, bądź też uzasadnienie decyzji o niezawiadamianiu osób, których dane dotyczą.

Rejestr naruszeń – kluczowy element zgodności z RODO

Pamiętajmy: naruszenie musi być udokumentowane w rejestrze bez względu na to, czy ocena wykazała brak ryzyka, ryzyko i obowiązek zgłoszenia naruszenia do organu nadzoru, czy też wysokie ryzyko, co nakłada na administratora obowiązek powiadomienia organu nadzoru i osób, których dane dotyczą.

Dokumentacja naruszeń ochrony danych osobowych powinna być przechowywana jak najdłużej, oczywiście z uwzględnieniem zasady rozliczalności (przy jednoczesnej ocenie, czy w rejestrze nie zostały podane dane osobowe).

Rejestr naruszeń ochrony danych osobowych, przygotowany według powyższych wytycznych, pozwoli na wykazanie przez administratora danych osobowych przestrzegania przepisów prawa. Należy przy tym pamiętać o stałym aktualizowaniu takiego rejestru oraz monitorowaniu procesu tworzenia dokumentacji naruszeń ochrony danych osobowych. Kontrola prawidłowości prowadzenia wspomnianej dokumentacji to kolejny z obszarów, w których  inspektor ochrony danych osobowych może wspierać administratora. Inspektor nie powinien jednak brać udziału w obsłudze naruszeń ochrony danych osobowych, który mógłby prowadzić do powstania konfliktu interesów.

Źródło:

Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych  oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Biuletyn UODO nr 12_01/12_01/24_25

Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych v 2, luty 2025.

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość