Czy w Twojej firmie doszło do naruszenia ochrony danych osobowych? Jeżeli tak, to pewnie wiesz już co i jak. Jeżeli nie, nieubłagana statystyka nakazuje sądzić, że wszystkiego się dowiesz. Wystarczy zwykła omyłka, błąd ludzki, chwila nieuwagi.
O tym jak ocenić naruszenie napisałem już tutaj. W tym wpisie poruszę natomiast temat rejestru naruszeń ochrony danych osobowych.
Czemu służy rejestr naruszeń ochrony danych osobowych?
Rejestr naruszeń ochrony danych osobowych to wehikuł czasu. Miejsce, które umożliwi Ci wrócenie do zdarzenia na długo po tym, gdy opadnie podniesiony nim kurz. Jest to przydatne narzędzie nie tylko do ogólnej analityki zgodności przetwarzania z zasadami ochrony danych osobowych, ale przede wszystkim zapewniające możliwość odniesienia się do jakiegoś zdarzenia, gdy pamięć o nim przeminie.
Nawet jeżeli ocenione przez Ciebie naruszenie nie zostanie zgłoszone do Prezesa UODO, sprawa może pojawić się na nowo. Możesz na przykład zostać wezwany do złożenia wyjaśnień w wyniku skargi złożonej przez osobę, której dotyczyło naruszenie i nie musi to nastąpić niedługo po naruszeniu.
Odpowiednio odnotowane okoliczności naruszenia będą stanowiły dowód na przeprowadzenie jego rzetelnej oceny, którym będziesz mógł posłużyć się w przypadku podjęcia sprawy w przyszłości.
Co odnotować w rejestrze naruszeń ochrony danych osobowych?
Najlepiej wszystkie okoliczności związane z naruszeniem. Odnotuj przede wszystkim:
- czas zdarzenia;
- szczegółowy opis naruszenia;
- jego charakter, a więc czy dotyczyło poufności, dostępności, czy integralności danych;
- działania podjęte dla zminimalizowania negatywnych skutków oraz te, które dopiero zamierzasz podjąć;
- liczbę osób dotkniętych naruszeniem;
- zakres danych, których dotyczyło naruszenie;
- jakie wystąpiły lub jakie mogą wystąpić jego konsekwencje;
- czy zgłosiłeś sprawę do UODO;
- czy poinformowałeś o naruszeniu osoby nim dotknięte.
To oczywiście nie jest wyczerpujący katalog. Treść rejestru powinna jak najlepiej oddawać istotne elementy naruszenia, ale to do Ciebie należy decyzja, co się w nim znajdzie. Swoim klientom doradzam prowadzenie rejestru naruszeń jako podsumowanie przeprowadzonej oceny zdarzenia, którą prowadzą w oparciu o opracowaną przeze mnie ankietę. Uwzględnia ona wszystkie informacje, które trzeba podać w zgłoszeniu do UODO, jeżeli takie będzie konieczne.
Czy rejestr naruszeń ochrony danych osobowych jest obowiązkowy?
Jak stanowi przepis art. 33 ust. 5 RODO:
Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
Masz więc obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych. Nie ma jednak jedynej właściwej formy, w jakiej powinieneś tego obowiązku dopełnić. Najważniejsze, aby wypracowane przez Ciebie działanie było skuteczne i dawało możliwość sprawnego działania. Jeżeli nie masz pomysłu, jak zabrać się za ten temat, możesz skorzystać z mojego doświadczenia. Chętnie Ci pomogę.😊
I to tyle. Zachęcam Cię do zaobserwowania mnie na Instagramie, Facebooku lub LinkedIn, aby być na bieżąco. Spotkamy się w następnym artykule!