Jak opracować procedurę postępowania w przypadku naruszenia ochrony danych osobowych

Jeżeli po 25 maja 2018 r. u administratora danych dojdzie do naruszenia ochrony danych, będzie musiał zgłosić to organowi nadzorczemu, a w niektórych sytuacjach także zawiadomić o tym osobę, której dane dotyczą. Warto już teraz zacząć przygotowywać się do realizacji tego obowiązku. Dowiedz się, z jakich elementów powinna składać się wewnętrzna procedura postępowania w przypadku naruszenia ochrony danych.
Zgodnie z definicją zawartą w ogólnym rozporządzeniu o ochronie danych „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Choć procedura zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o naruszeniach osób, których dane dotyczą, powinna być elementem kodeksu postępowania, o którym mowa w art. 40 ogólnego rozporządzenia o ochronie danych, to posiadanie takiego kodeksu nie będzie obowiązkiem administratora. Dlatego, jeśli administrator nie będzie miał zatwierdzonego kodeksu postępowania, warto by wprowadził wewnętrzne procedury postępowania w przypadku naruszenia ochrony danych. Jest to istotne również z tego powodu, że ogólne rozporządzenie o ochronie danych nakłada na administratora obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym ich okoliczności, skutków oraz podjętych działań zaradczych.
Elementy wewnętrznej procedury postępowania w przypadku naruszenia ochrony danych
1. Określenie, jakie zdarzenia mogą stanowić naruszenia ochrony danych osobowych, przy uwzględnieniu specyfiki danego administratora (na podstawie definicji naruszenia ochrony danych).
 
2. Sposób reagowania na naruszenia przez pracowników, którzy je ujawnili. Powinien się tu znaleźć:
  • obowiązek niezwłocznego poinformowania o zdarzeniu osoby nadzorującej (powinien to być inspektor ochrony danych, a w przypadku gdy nie został wyznaczony inna osoba upoważniona przez administratora lub sam administrator),
  • obowiązek pozostawienia miejsca zdarzenia w stanie nienaruszonym do czasu przybycia inspektora ochrony danych lub innej osoby nadzorującej.
3. Obowiązki inspektora ochrony danych lub innej osoby odpowiedzialnej związane z dokumentowaniem okoliczności naruszenia, tj.:
  • sporządzenie notatki z przeprowadzonych oględzin miejsca zdarzenia,
  • sporządzenie kopii obrazu wyświetlonego na ekranie monitora komputera związanego z naruszeniem,
  • sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu,
  • odebranie pisemnych wyjaśnień od osoby, która ujawniła naruszenie.
4. Obowiązek niezwłocznego przedstawienia zebranych materiałów administratorowi danych, który z pomocą inspektora ochrony danych, w terminie i na podstawie przesłanek określonych w ogólnym rozporządzeniu o ochronie danych powinien ocenić, czy zaistniałe naruszenie podlega obowiązkowi zgłoszenia organowi nadzorczemu oraz powiadomieniu osoby, której dane dotyczą.
5. Obowiązek przedstawienia administratorowi przez inspektora ochrony danych skutków naruszenia oraz środków i działań mających zaradzić naruszeniu, a także, jeżeli to konieczne, mających zminimalizować negatywne skutki naruszenia.
6. Jeżeli istnieje taki obowiązek – sporządzenie zgłoszenia do organu nadzorczego oraz zawiadomienia do osoby, której dane dotyczą.
7. Udokumentowanie skutków oraz podjętych środków i działań, o których mowa w pkt 5.


Piotr Janiszewski, radca prawny, prezes spółki zajmującej się ochroną danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Array ( [docId] => 49974 )

Array ( [docId] => 49974 )
Array ( [docId] => 49974 )