Rejestr naruszeń ochrony danych osobowych

Rejestr naruszeń ochrony danych osobowych

Rozporządzenie PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych), zwanym dalej RODO, nakłada na administratora danych obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych.

Zasady zgłaszania naruszenia ochrony danych organowi nadzorczemu określone są w artykule 33 RODO.

Administrator danych osobowych ma obowiązek zgłoszenia organowi nadzorczemu przypadek naruszenia ochrony danych osobowych w ciągu 72 godzin. Jeżeli zgłoszenie przekazane zostanie po 72 godz. należy wówczas dołączyć wyjaśnienie przyczyn opóźnienia.

Zwolnienie z obowiązku zgłoszenia naruszenia, organowi nadzorczemu możliwe jest, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jeżeli naruszenie dotyczy podmiotu przetwarzającego, to podmiot przetwarzający bez zbędnej zwłoki zgłasza je administratorowi danych.

Zgłoszenie musi zawierać co najmniej:

1.       Opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie
i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie.

2.       Zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.

3.       Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych.

4.       Opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli informacji nie możemy udzielić w tym samym czasie możemy je przekazywać organowi nadzorczemu sukcesywnie bez zbędnej zwłoki.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania artykułu 33 RODO.

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.

 

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie, jasnym i prostym językiem powinno opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej niżej wymienione informacje:

1.       Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.

2.       Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych.

3.       Opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie nie jest wymagane w następujących przypadkach:

1.       Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych.

2.       administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 1.

3.       Wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, wymienionych wyżej.

Oprogramowanie eABI umożliwia dokumentowanie naruszeń ochrony danych osobowych.


n1png

Rysunek 1 Ewidencja naruszeń ochrony danych osobowych


n2png

Rysunek 2 Dodaj naruszenie


n3png

Rysunek 3 Zawiadomienie organu nadzorczego


n4png
Rysunek 4 Zawiadomienie osoby


n5png

Rysunek 5 Dodanie osób których dotyczy naruszenie


n6png

Rysunek 6 Informacja o naruszeniu


Oprogramowanie umożliwia wydrukowanie zestawień. Do wyboru mamy wydruk:

1.       Wszystkich naruszeń.

2.       Naruszeń zgłoszonych organowi nadzorczemu.

3.       Naruszeń nie zgłoszonych organowi nadzorczemu.


n7png

Rysunek 7 Raport Wykaz naruszeń

Zapraszamy do zapoznania się z oprogramowaniem eABI