Jak przygotować procedurę postępowania w przypadku naruszenia ochrony danych

Autor: Piotr Janiszewski
Już za 6 miesięcy – 25 maja 2018 r. – rozpocznie się stosowanie ogólnego rozporządzenia o ochronie danych (RODO). Administratorzy danych już teraz powinni zacząć przygotowywać się do nowych przepisów. Jak to zrobić? Opracowując m.in. odpowiednie procedury postępowania. Dziś podpowiadamy, jak przygotować procedurę postępowania w przypadku naruszenia ochrony danych.
RODO nakłada na administratorów obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. Naruszenie trzeba będzie zgłosić „bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”. Jeśli administrator nie zgłosi naruszenia w tym terminie, do zgłoszenia będzie musiał dołączyć wyjaśnienia dotyczące przyczyny opóźnienia. RODO określa minimum informacji, które powinny znaleźć się w zgłoszeniu naruszenia organowi nadzorczemu. Zgodnie z nimi zgłoszenie musi:
  • opisywać charakter naruszenia, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opisywać możliwe konsekwencje naruszenia,
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
RODO przewiduje też obowiązek poinformowania o naruszeniu danych osoby, której dane dotyczą. Obowiązek ten będzie istniał jednak tylko wtedy, kiedy incydent naruszenia ochrony danych będzie mógł powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Zawiadomienia takiego powinien dokonać bez zbędnej zwłoki, opisując jasnym i prostym językiem charakter naruszenia.
Choć procedura zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o naruszeniach osób, których dane dotyczą, powinna być elementem kodeksu postępowania, o którym mowa w art. 40 RODO, to posiadanie takiego kodeksu nie będzie obowiązkiem administratora. Dlatego, jeśli administrator nie będzie miał zatwierdzonego kodeksu postępowania, warto by wprowadził wewnętrzne procedury postępowania w przypadku naruszenia ochrony danych. Jest to istotne również z tego powodu, że RODO nakłada na administratora obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym ich okoliczności, skutków oraz podjętych działań zaradczych.

Elementy wewnętrznej procedury postępowania w przypadku naruszenia ochrony danych

 
1. Określenie, jakie zdarzenia mogą stanowić naruszenia ochrony danych osobowych, przy uwzględnieniu specyfiki danego administratora (na podstawie definicji naruszenia ochrony danych).
2. Sposób reagowania na naruszenia przez pracowników, którzy je ujawnili. Powinien się tu znaleźć:
  • obowiązek niezwłocznego poinformowania o zdarzeniu osoby nadzorującej (powinien to być inspektora ochrony danych, a w przypadku gdy nie został wyznaczony inna osoba upoważniona przez administratora lub sam administrator danych),
  • obowiązek pozostawienia miejsca zdarzenia w stanie nienaruszonym do czasu przybycia inspektora ochrony danych lub innej osoby nadzorującej.
3. Obowiązki inspektora ochrony danych lub innej osoby odpowiedzialnej związane z dokumentowaniem okoliczności naruszenia, tj.:
  • sporządzenie notatki z przeprowadzonych oględzin miejsca zdarzenia,
  • sporządzenie kopii obrazu wyświetlonego na ekranie monitora komputera związanego z naruszeniem,
  • sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu,
  • odebranie pisemnych wyjaśnień od osoby, która ujawniła naruszenie.
4. Obowiązek niezwłocznego przedstawienia zebranych materiałów administratorowi danych, który z pomocą inspektora ochrony danych, w terminie i na podstawie przesłanek określonych w ogólnym rozporządzeniu o ochronie danych powinien ocenić, czy zaistniałe naruszenie podlega obowiązkowi zgłoszenia organowi nadzorczemu oraz powiadomieniu osoby, której dane dotyczą.
5. Obowiązek przedstawienia administratorowi przez inspektora ochrony danych skutków naruszenia oraz środków i działań mających zaradzić naruszeniu, a także, jeżeli to konieczne, mających zminimalizować negatywne skutki naruszenia.
6. Jeżeli istnieje taki obowiązek – sporządzenie zgłoszenia do organu nadzorczego oraz zawiadomienia do osoby, której dane dotyczą.
7. Udokumentowanie skutków oraz podjętych środków i działań, o których mowa w pkt 5.


Piotr Janiszewski

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49986 )

Array ( [docId] => 49986 )
Array ( [docId] => 49986 )