Prowadzenie wewnętrznego rejestru naruszeń – jak uniknąć najczęstszych błędów?

Wdrożenie wymogów RODO i prawidłowe stosowanie opracowanych procedur, mimo że jest niezbędnym warunkiem prawidłowego zabezpieczenia danych osobowych, nie gwarantuje w pełni, że w organizacji nie dojdzie do incydentu bezpieczeństwa danych osobowych. Ustawodawca unijny był tego w pełni świadomy, dlatego w przepisach RODO wprowadzono mechanizmy polegające na samokontroli administratora danych i samodenuncjacji.

Zapisy art. 33 RODO regulują bowiem nie tylko termin i sposób zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (dalej: PUODO) przypadków naruszenia bezpieczeństwa danych osobowych, ale także określają wymogi dotyczące prowadzenia wewnętrznego rejestru naruszeń.

Prowadzenie rejestru naruszeń – wymogi prawne

Określając wymogi prawne dotyczące rejestru naruszeń, należy przede wszystkim zdefiniować, czym w ogóle są incydenty bezpieczeństwa danych osobowych. Zgodnie z definicją zawartą w art. 4 pkt 12) RODO: „naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Dodatkowo należy wskazać, że zgodnie z art. 5 ust. 1 pkt f) dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, czyli w sposób zapewniający „integralność i poufność” danych. Powyższe oznacza zatem, że wszelkie zdarzenia, których konsekwencją byłoby naruszenie zasady integralności i poufności danych osobowych, należy traktować jako incydent bezpieczeństwa danych osobowych.

 

WAŻNE!

Zgodnie z art. 33 ust. 5 RODO administrator danych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

W praktyce oznacza to, że administrator danych musi w zasadzie każde uchybienie dotyczące czy to przepisów RODO, czy to wewnętrznych procedur, odnotować w rejestrze naruszeń.

Niezależnie od powyższego konieczne jest dokonanie oceny, a dane naruszenie wymaga zgłoszenia PUODO i (lub) zawiadomienia osoby, której dane dotyczą.

 

Określając zakres informacji, jakie powinny znaleźć się w wewnętrznym rejestrze naruszeń, warto odwołać się do zapisów art. 33 ust. 2 RODO, który określa zakres informacji, jakie należy zawrzeć w zgłoszeniu naruszenia ochrony danych, które przesyła się PUODO. Wskazane tam wymogi dotyczące treści tego zgłoszenia mogą pomóc w ustaleniu, jakie informacje można i powinno się odnotować w wewnętrznym rejestrze naruszeń. Zgodnie z powołanym przepisem zasadne będzie zawarcie w wewnętrznym rejestrze naruszeń następujących informacji:

  • charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości należy wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • dotyczących możliwych konsekwencji naruszenia ochrony danych osobowych;
  • dotyczących zastosowanych lub proponowanych przez administratora środków, w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jak wynika z powyższego, wskazany zakres informacji w zasadzie pokrywa się z tymi, które wynikają z art. 33 ust. 5 RODO, tj. okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

Kwestię prowadzenia wewnętrznego rejestru naruszeń omawia także PUODO w swoim poradniku Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, w którym wskazał, że: „art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie «wszelkich naruszeń» oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. 4 pkt 12 RODO. W ewidencji powinny zatem znaleźć się zarówno naruszenia ochrony danych osobowych podlegających obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na to, że mało prawdopodobne jest, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych. Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora”[1].                                                           

Błędy popełnione przy prowadzeniu rejestru

Błąd 1. Nieodnotowanie wszystkich istotnych informacji

Zakres danych, jakie należy odnotować w rejestrze naruszeń, jest dość szeroki, a przepisy regulujące tę kwestię są bardzo ogólne. W tej sytuacji należy pamiętać, żeby tworząc taki rejestr, kierować się zasadą rozliczalności, tzn. administrator musi być w stanie wykazać, że przestrzega wymogów RODO. W tej sytuacji trzeba mieć na uwadze, by odnotować w rejestrze wszystkie informacje, które pomogą zweryfikować, czy konkretny incydent został prawidłowo zakwalifikowany, jakie były przyczyny powstania naruszenia i czy podjęto odpowiednią reakcję na nieprawidłowości. Ustalenie wszystkich tych okoliczności jest o tyle istotne, że w razie ewentualnej kontroli PUODO będzie badał też, czy p...

Dalsza część jest dostępna dla użytkowników z wykupionym planem