REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Kadry » Zatrudnienie » Dokumentacja pracownicza » Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo

Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
03 listopada 2021, 12:05
Karolina Kołakowska
Karolina Kołakowska
adwokat w Kancelarii Brzezińska Narolski Adwokaci (http://bnadwokaci.pl/), ekspert z zakresu indywidualnego i zbiorowego prawa pracy oraz ochrony danych osobowych, trener i szkoleniowiec
Kancelaria Brzezińska Narolski Adwokaci sp.p
Kancelaria Brzezińska Narolski Adwokaci sp.p
Kancelaria prawna
Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo
Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo
ShutterStock

REKLAMA

REKLAMA

Dokumentowanie naruszeń ochrony danych osobowych stanowi inwestycję w bezpieczeństwo. Mail z listą płac wysłany do nieprawidłowego adresata. Atak hakerski na serwer. Utrata danych kadrowych. Zagubienie teczki osobowej. To wszystko przykłady przypadków naruszenia ochrony danych osobowych, które wymagają od administratora danych podjęcia określonych przepisami RODO działań.

Dokumentowanie naruszeń ochrony danych osobowych - inwestycja w bezpieczeństwo

Doświadczenie i decyzje Prezesa Urzędu Ochrony Danych Osobowych wskazują, że administratorzy mają zakodowane w świadomości zgłoszenie naruszenia do Urzędu i zawiadomienie o nim osób, których ono dotyczy. Często jednak zdarza się, że uznając, iż w danym przypadku nie ma podstaw do podjęcia tych czynności, zapominają o innym obowiązku – dokumentowania wszelkich naruszeń, niezależnie od tego, czy ostatecznie zostały zgłoszone do UODO, czy nie.

REKLAMA

REKLAMA

Autopromocja
Kodeks pracy 2026
Wynagrodzenia 2026. Rozliczanie płac w praktyce
Czas pracy 2026

Na czym polega obowiązek dokumentowania?

Art. 33 ust. 5 RODO stanowi, że administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania obowiązku zgłoszenia. Przepis nie uzależnia dokumentowania ani od skali naruszenia, ani od jego powagi. Prowadzi to do wniosku, że każde naruszenie powinno być udokumentowane, niezależnie od tego, czy administrator doszedł do wniosku, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zobacz również:

UODO na tropie błędów w dokumentacji

W jednej ze spraw, Urząd Ochrony Danych Osobowych o naruszeniu ochrony danych dowiedział się na skutek zawiadomienia przesłanego do Urzędu przez organ sprawujący nadzór na fundacją, u której doszło do naruszenia. Fundacja sama nie dokonała zgłoszenia, ponieważ w jej ocenie, nie było takiej potrzeby. W toku kontroli UODO ustalił, że analiza ryzyka przeprowadzona przez fundację po naruszeniu stanowiła w rzeczywistości wydruk z kalkulatora wagi naruszeń ochrony danych osobowych udostępnianego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO zaznaczył w swojej decyzji, że za pomocą kalkulatorów możliwe jest uzyskanie dowolnego wyniku, w zależności od danych wprowadzonych do obliczeń. Dokumenty te nie są opatrzone datą wytworzenia, ani nie zawierają opisu szczegółowych kryteriów, jakimi kierowała się fundacja dokonując oceny za pomocą wspomnianego kalkulatora. Przedstawiony przez fundację wydruk, zgodnie zresztą z zastrzeżeniem dostawcy, może mieć zatem jedynie pomocniczy charakter i nie powinien stanowić podstawy dokonania oceny ryzyka naruszenia praw lub wolności osób fizycznych. Dalej Urząd ocenił, że fundacja w nieprawidłowy sposób udokumentowała naruszenie, co w konsekwencji doprowadziło do błędnych wniosków w ocenie ryzyka i uchybieniu obowiązkom zgłoszenia do UODO naruszenia i zawiadomienia o naruszeniu osób nim dotkniętych.

Jak prawidłowo dokumentować naruszenia?

Po pierwsze, dokumentacja powinna być sporządzona niezwłocznie po stwierdzeniu naruszenia, niezależnie od tego, czy doszło do niego u administratora danych, czy u podmiotu przetwarzającego. Powinna mieć formę utrwaloną i niepozostawiającą możliwości jej modyfikacji w przyszłości, a więc powinny być to podpisane dokumenty, albo co najmniej zapisane pliki PDF.

REKLAMA

Po drugie, dokumentacja powinna zawierać ocenę ryzyka. Podczas oceny ryzyka naruszenia praw lub wolności osób fizycznych powstałego w wyniku wystąpienia naruszenia należy ocenić prawdopodobieństwo wystąpienia szkody dla osób, których dane dotyczą, jakie mogą z niego wyniknąć. Konieczne jest uwzględnienie powagi tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą oraz prawdopodobieństwa wystąpienia tego zdarzenia będącego skutkiem naruszenia. Ryzyko naruszenia praw lub wolności osób fizycznych powstaje, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających nr PESEL, pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane dotyczące zdrowia, dane dotyczące życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody. W ocenie ryzyka należy uwzględnić następujące kryteria:

Dalszy ciąg materiału pod wideo
  1. rodzaj naruszenia (np. naruszenie poufności danych o wynagrodzeniu może nieść za sobą poważniejsze skutki niż naruszenie ich dostępności),
  2. charakter, wrażliwość i ilość danych osobowych (np. ujawnienie imienia i nazwiska oraz adresu danej osoby prawdopodobnie nie wyrządzi jej szkody, ale już ujawnienie nr PESEL może skutkować poważniejszymi konsekwencjami),
  3. łatwość identyfikacji osób fizycznych (np. dane osobowe chronione za pomocą odpowiedniego poziomu szyfrowania będą nieczytelne dla osób nieupoważnionych, które nie posiadają klucza deszyfrującego),
  4. waga konsekwencji dla osób fizycznych (fakt, że przypadkowy odbiorca jest zaufany, np. bank, może spowodować, że skutki naruszenia nie będą poważne),
  5. cechy szczególne danej osoby fizycznej,
  6. cechy szczególne administratora danych,
  7. liczba osób fizycznych, na które naruszenie wywiera wpływ (należy jednak pamiętać, że charakter zdarzenia może mieć poważne konsekwencje nawet dla jednej osoby).

Po trzecie, dokumentacja ta powinna zawierać opis podjętych działań zaradczych, a więc zarówno tych, które mają minimalizować skutki opisywanego naruszenia, jak i tych, które maja minimalizować ryzyko podobnych zdarzeń w przyszłości.

Prowadzenie dokumentacji się opłaca

O naruszeniu ochrony danych osobowych Urząd może dowiedzieć się z różnych źródeł. Prowadzenie dokumentacji we właściwy sposób to polisa, którą będzie można wykorzystać, składając Urzędowi wyjaśnienia, dlaczego odstąpiono od zgłoszenia naruszenia do UODO.

O tym, jak zadbać o cyberbezpieczeństwo w dziale HR, powiemy podczas darmowego webinarium, które 9.11 br. o godz. 10.00 - zapisz się już dziś: https://event.webinarjam.com/register/19/38onqb0

Zatrudnianie i zwalnianie pracowników
Autopromocja

Zatrudnianie i zwalnianie pracowników

Sprawdź

Zobacz również:

Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

Uprawnienia rodzicielskie - QUIZ
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/10
Ile tygodni urlopu macierzyńskiego można maksymalnie wykorzystać jeszcze przed porodem?
nie ma takiej możliwości
3
6
9 - tylko jeśli pracodawca wyrazi na to zgodę
Następne

REKLAMA

Kadry
Wyższy zasiłek dla bezrobotnych. Wypłaty ruszą 1 czerwca – nawet 2140,68 zł miesięcznie
21 maja 2026

1 czerwca 2026 r. zmieni się wysokość zasiłku dla bezrobotnych. Świadczenie jest co roku waloryzowane, nowa kwota zasiłku będzie obowiązywać do końca maja 2027 r.
Kiedy firmie opłaca się przejść na outsourcing kadr i płac?
21 maja 2026

Firma może mieć świetną sprzedaż, mocny dział marketingu i ambitne plany rozwoju. Wystarczy jednak kilka błędów w kadrach i płacach, aby wewnątrz organizacji pojawiło się napięcie, którego nie da się przykryć wynikami. Gdy liczba pracowników rośnie szybciej niż możliwości działu HR, pojawia się pytanie: czy utrzymywanie całego procesu wewnątrz organizacji nadal ma sens?
Kto najbardziej obawia się utraty pracy?
21 maja 2026

Polacy coraz bardziej obawiają się o swoje miejsca pracy. Co trzeci aktywny zawodowo przyznaje, że nie ma dziś pewności zatrudnienia, a firmy coraz ostrożniej planują rekrutacje. Największy niepokój dotyczy kobiet, młodszych pracowników oraz branż transportowej i handlowej.
Równość płac okiem pracodawców to 4 kluczowe problemy. Co martwi ich najbardziej?
20 maja 2026

Okiem pracodawców równość płac to też nadmiar dodatkowych obowiązków. Jakie 4 kluczowe problemy wynikające z projektu ustawy dotyczącej wzmocnienia zasady równego wynagradzania kobiet i mężczyzn za jednakową pracę lub pracę o tej samej wartości? Co martwi ich najbardziej?

REKLAMA

Idę oddać krew. Nie będzie mnie w pracy 2 dni - czy pracodawca musi się zgodzić?
20 maja 2026

Idę oddać krew w poniedziałek. Nie będzie mnie w pracy 2 dni - w poniedziałek i wtorek. Czy przepisy prawa pracy dopuszczają taką możliwość? Czy pracodawca musi się zgodzić?
Nowa sytuacja na rynku pracy: nowy pracodawca poszukiwany gdy każą wracać z pracy zdalnej, brak podwyżki wynagrodzenia teraz mniej ważny
21 maja 2026

Niepewna sytuacja geopolityczna, powrót inflacji i związana z nią utrata realnej wartości zarobków zmieniają podejście pracowników do potrzeby zmiany firmy, w której pracują. Mniej osób aktywnie rozgląda się za nowym pracodawcą. Zmieniła się też główna przyczyna skłaniająca pracownika do takiej zmiany – nie jest nią odmowa podwyżki wynagrodzenia.
Przerwa w wykonywaniu pracy. Kiedy pracownik nie otrzyma wynagrodzenia przestojowego?
20 maja 2026

Przestój jest nieplanowaną przerwą w procesie pracy, spowodowaną zakłóceniami technicznymi, organizacyjnymi, warunkami atmosferycznymi lub innymi. Pracownikowi przysługuje wynagrodzenie za przestój, który nastąpił nie z jego winy. Inaczej jest w sytuacji, gdy przestój nastąpił z przyczyn leżących po stronie pracownika.
Przeliczanie staży urlopowych pracowników w 2026 r. Konsekwencje finansowe dla pracodawców
19 maja 2026

Jakie konsekwencje finansowe dla pracodawców niesie ze sobą przeliczanie staży urlopowych pracowników po zmianie przepisów w 2026 roku? Czy zmieniają się zasady nabywania prawa do pierwszego urlopu wypoczynkowego? Do czego zobowiązani są pracodawcy?

REKLAMA

Nowe przepisy, które zwiększają wymiar urlopu wypoczynkowego. Ważne dla setek tysięcy pracowników
19 maja 2026

Nowe przepisy, które wydłużają urlop wypoczynkowy weszły w życie w firmach prywatnych dnia 1 maja 2026 roku. Istotnie zmieniają zasady ustalania stażu pracy. Do okresu zatrudnienia, od którego zależą uprawnienia pracownicze, czyli także długość urlopu wypoczynkowego, będą wliczane nie tylko lata przepracowane na podstawie umowy o pracę, ale również okresy wykonywania pracy na umowach zlecenia oraz prowadzenia działalności gospodarczej.
Sądowy absurd: Pracownik musi znieść 26 naruszeń prawa przez pracodawcę. Dopiero od 27 incydentu ochrona
19 maja 2026

Sąd: Można bezkarnie wrzeszczeć na pracownicę 26 razy. Dopiero od 27 razu jest kara. Taką szokującą interpretację przepisów przyjął sąd karny I instancji (sąd rejonowy). Świadkowie zeznali zgodnie - prezes nie krzyczał, ale "wrzeszczał" i "darł się" na pracownicę. Prezes na pewno przekroczył prawo, ale dla skazania jego krzyki musiały być "uporczywe". Tego wymaga kodeks karny. Przesłanka "uporczywości" nie jest zdefiniowana - zależy od interpretacji sędziego. Ten przyjął, że "wrzeszczenie" jest uporczywe wtedy, gdy ma miejsce raz w tygodniu przez 6 miesięcy. Oznacza to, że 26 razy (bo 26 tygodnie) prezes mógł bezkarnie "wrzeszczeć" i "drzeć się" (takich słów opisowych użyli świadkowie). A dopiero po przekroczeniu limitu 26 cotygodniowych incydentów groziła mu kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli "darłby się" dwa razy w miesiącu, to znaczy, że nie jest to "uporczywe". I nie podlega kk. Przy pomocy tego pozaprawnego limitu incydentów, który sędzia sobie wymyślił, prezes został uniewinniony przez sąd rejonowy.
Zapisz się na newsletter
Kodeks pracy, urlopy, wynagrodzenia, świadczenia pracownicze. Bądź na bieżąco ze zmianami z zakresu prawa pracy. Zapisz się na nasz newsletter.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA