Procedura notyfikacji naruszenia ochrony danych osobowych

Obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego stanowi w RODO nowość w stosunku do obecnego porządku prawnego. Od 25 maja 2018 r. na administratorach danych będzie ciążyć konieczność notyfikacji naruszeń takich jak utrata dostępu, poufności czy przypadki niezgodnego z prawem przetwarzania danych osobowych.

Obowiązek notyfikacji naruszeń dotyczy wyłącznie administratorów danych osobowych. Podmiot przetwarzający, choć nie podlega temu obowiązkowi bezpośrednio, jest zobowiązany bez zbędnej zwłoki zgłosić administratorowi zaistnienie naruszenia po jego stwierdzeniu.

Administrator danych jest obowiązany do prowadzenia rejestru naruszeń, w którym odnotowywane będą wszelkie naruszenia ochrony danych osobowych bez względu na to, czy mogą powodować ryzyko naruszenia praw i wolności osób fizycznych czy też nie. Rejestr ten będzie użyteczny także dla organów nadzorczych, aby w razie kontroli istniała możliwość sprawdzenia, czy administrator wywiązuje się z obowiązków z należytą starannością. Grupa Robocza art. 29 w wytycznych nr WP 250, wskazuje także kolejną funkcję rejestru ma on zapobiegać nadmiarowi zgłoszeń przesyłanych organom nadzorczym.

Odpowiedzi na pytanie „Które naruszenia należy zgłaszać organowi nadzorczemu?”, powinna każdorazowo dostarczyć ocena ryzyka praw i wolności osób fizycznych. RODO wskazuje, że nie należy zgłaszać naruszeń, w przypadku których jest mało prawdopodobne, by skutkowały ryzykiem naruszenia praw i wolności osób fizycznych. RODO nie dostarcza konkretnego wyznacznika , w odniesieniu do którego naruszenie można uznać za kwalifikujące się do notyfikacji Ocena każdego z przypadków została pozostawiona tym samym administratorowi danych. Termin w którym należy dokonać zgłoszenia wynosi 72 godziny, dlatego ważne, by administrator zapewniał możliwości organizacyjne, aby odpowiednio szybko stwierdzić naruszenie, a następnie dokonać możliwie sprawnej notyfikacji po dokonaniu oceny ryzyka i właściwego wpisu do rejestru naruszeń.

RODO ustanawia rozsądne ułatwienie w stosowaniu obowiązku notyfikacyjnego. Mianowicie, po zgłoszeniu naruszenia, notyfikację można uzupełniać systematycznie, w miarę wychodzenia na jaw nowych informacji i okoliczności w sprawie jego zajścia. Kolejne informacje wymagane przez przepisy mogą być dosłane później niż we wskazanym terminie 72 godzin, o ile nie da się ich udzielić w tym samym czasie. Ponadto, udogodnieniem związanym z redukcją dokumentacji jest rozwiązanie, które proponuje Grupa Robocza art. 29 w wytycznych nr 250 – rejestr naruszeń można prowadzić w ramach rejestru czynności przetwarzania, o ile czyni zadość wszystkim wymaganiom wynikającym z RODO.

Autor

Bartosz Czernek

Zainteresowany ochroną danych osobowych od 2014 r. - praktykował w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Od 2017 r. pełni funkcję konsultanta. Bierze udział w audytach ochrony danych. Pełni także funkcję ABI-ego, wspierając projektowanie procedur ochrony danych osobowych, oraz pomagając przy wdrażaniu RODO w organizacjach.

więcej informacji w zakładce O Nas >>