Jak powinna wyglądać dokumentacja dotycząca naruszeń ochrony danych osobowych?

Kolejnym ważnym obowiązkiem administratora danych pozwalającym na wykazanie przestrzegania zasad RODO jest zgłaszanie naruszeń ochrony danych osobowych, a przede wszystkim prowadzenie dokumentacji dotyczącej takich incydentów. W tym wypadku przepisy RODO wprost wskazują, że administrator danych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania przepisów RODO.

Ważne!

Administrator danych jest nie tylko zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Pre­zesa Urzędu Ochrony Danych Osobowych, ale także do odnotowywania w wewnętrznej dokumentacji wszystkich incydentów dotyczących bezpieczeństwa danych osobowych.

Administrator danych jest zobowiązany do zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych takich incydentów, które będą skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych

W wydanym ostatnio przez Urząd Ochrony Danych Osobowych poradniku „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”[1] Urząd wskazał, z jakich elementów powinna składać się dokumentacja dotycząca naruszeń ochrony danych osobowych. Nie ulega wątpliwości, że wskazówki dotyczące zasad postępowania z tego rodzaju incydentami oraz zasady prowadzenia dokumentacji w tym zakresie będą miały znaczenie w trakcie ewentualnej kontroli.

 

Ważne!

Na stronie 5 przedmiotowego poradnika[2] Urząd Ochrony Danych Osobowych wskazuje, że administrator danych powinien wdrożyć procedury postępowania na wypadek wystąpienia naruszenia ochrony danych osobowych, które powinny m.in. określać:

  • cel, w jakim procedura została opracowana,
  • zakres jej stosowania,
  • katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych,
  • opis etapów zarządzania naruszeniem od momentu jego wykrycia do jego usunięcia,
  • opis postępowania osób upoważnionych do przetwarzania danych osobowych w przypadku wystąpienia incydentu naruszenia ochrony danych osobowych.
  •  

Wprowadzenie powyższej procedury pozwoli administratorowi danych na wykazanie w toku kontroli, że zostały przez niego opracowane procedury postępowania z incydentem naruszenia bezpieczeństwa danych osobowych, co przekłada się na szybkość wykrywania tego rodzaju incydentów. Co więcej, pozwala także na podjęcie szybkiej i adekwatnej do stwierdzonego ryzyka reakcji.

 


[1]  www.uodo.gov.pl/pl/134/1029

[2]  //uodo.gov.pl/pl/134/1029