Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. XXIV

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

FUNKCJONOWANIE RODO cz. XXIV

Czy w przedsiębiorstwie trzeba prowadzić ewidencję naruszeń ochrony danych osobowych?

Przez naruszenie ochrony danych osobowych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przykładowo do naruszenia dojdzie w sytuacji przypadkowego wysłania danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej, zgubienia lub kradzieży nośnika zawierającego bazy danych lub karty dostępu do pomieszczeń z danych osobowymi, gdy odnotowano nieuprawnione wejście do tych pomieszczeń przez osoby nieupoważnione, bezpodstawnego usunięcia danych, gdy ich przywrócenie nie jest możliwe itp.

Administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie, co wynika z tzw. zasady rozliczalności przewidzianej w art. 5 ust. 2 RODO. Skoro administrator powinien wykazać udokumentowane naruszenia, to w ocenie Kancelarii powinien prowadzić ewidencję naruszeń, która będzie zawierać co najmniej informacje o okolicznościach naruszenia, dacie jego wystąpienia, skutkach oraz podjętych środkach zaradczych. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie wypełniania ww. obowiązków. Jednocześnie jednak RODO nie określa formy prowadzenia takiej ewidencji. Administrator powinien sam wybrać formę, w jakiej będzie prowadził ewidencję np. w formie pisemnej lub elektronicznej.

UODO wskazał, w odniesieniu do sposobu prowadzenia ewidencji, iż Grupa Robocza w Art. 29 podkreśla, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania, prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, jeżeli informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie. Istotne jest, aby administrator posiadał dokumentację, z której będą wynikały naruszenia, bowiem to na administratorze spoczywa w tym zakresie ciężar dowodowy w razie ewentualnej kontroli.

W ewidencji naruszeń ochrony danych osobowych powinny znaleźć się nie tylko naruszenia ochrony danych osobowych podlegające obowiązkowi zgłoszenia ich Prezesowi UODO, ale również takie, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałyby one ryzykiem naruszenia praw lub wolności osób fizycznych.

Prezes UODO udostępnił informator w wersji 1.0 maj 2019 o obowiązkach administratorów związanych z naruszeniem ochrony danych osobowych, który jest dostępny pod linkiem: https://uodo.gov.pl/pl/134/1029.