Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo

Karolina Kołakowska
adwokat w Kancelarii Brzezińska Narolski Adwokaci (http://bnadwokaci.pl/), ekspert z zakresu indywidualnego i zbiorowego prawa pracy oraz ochrony danych osobowych, trener i szkoleniowiec
Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo
Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo
ShutterStock
Dokumentowanie naruszeń ochrony danych osobowych stanowi inwestycję w bezpieczeństwo. Mail z listą płac wysłany do nieprawidłowego adresata. Atak hakerski na serwer. Utrata danych kadrowych. Zagubienie teczki osobowej. To wszystko przykłady przypadków naruszenia ochrony danych osobowych, które wymagają od administratora danych podjęcia określonych przepisami RODO działań.

Dokumentowanie naruszeń ochrony danych osobowych - inwestycja w bezpieczeństwo

Doświadczenie i decyzje Prezesa Urzędu Ochrony Danych Osobowych wskazują, że administratorzy mają zakodowane w świadomości zgłoszenie naruszenia do Urzędu i zawiadomienie o nim osób, których ono dotyczy. Często jednak zdarza się, że uznając, iż w danym przypadku nie ma podstaw do podjęcia tych czynności, zapominają o innym obowiązku – dokumentowania wszelkich naruszeń, niezależnie od tego, czy ostatecznie zostały zgłoszone do UODO, czy nie.

Na czym polega obowiązek dokumentowania?

Art. 33 ust. 5 RODO stanowi, że administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania obowiązku zgłoszenia. Przepis nie uzależnia dokumentowania ani od skali naruszenia, ani od jego powagi. Prowadzi to do wniosku, że każde naruszenie powinno być udokumentowane, niezależnie od tego, czy administrator doszedł do wniosku, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

UODO na tropie błędów w dokumentacji

W jednej ze spraw, Urząd Ochrony Danych Osobowych o naruszeniu ochrony danych dowiedział się na skutek zawiadomienia przesłanego do Urzędu przez organ sprawujący nadzór na fundacją, u której doszło do naruszenia. Fundacja sama nie dokonała zgłoszenia, ponieważ w jej ocenie, nie było takiej potrzeby. W toku kontroli UODO ustalił, że analiza ryzyka przeprowadzona przez fundację po naruszeniu stanowiła w rzeczywistości wydruk z kalkulatora wagi naruszeń ochrony danych osobowych udostępnianego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO zaznaczył w swojej decyzji, że za pomocą kalkulatorów możliwe jest uzyskanie dowolnego wyniku, w zależności od danych wprowadzonych do obliczeń. Dokumenty te nie są opatrzone datą wytworzenia, ani nie zawierają opisu szczegółowych kryteriów, jakimi kierowała się fundacja dokonując oceny za pomocą wspomnianego kalkulatora. Przedstawiony przez fundację wydruk, zgodnie zresztą z zastrzeżeniem dostawcy, może mieć zatem jedynie pomocniczy charakter i nie powinien stanowić podstawy dokonania oceny ryzyka naruszenia praw lub wolności osób fizycznych. Dalej Urząd ocenił, że fundacja w nieprawidłowy sposób udokumentowała naruszenie, co w konsekwencji doprowadziło do błędnych wniosków w ocenie ryzyka i uchybieniu obowiązkom zgłoszenia do UODO naruszenia i zawiadomienia o naruszeniu osób nim dotkniętych.

Jak prawidłowo dokumentować naruszenia?

Po pierwsze, dokumentacja powinna być sporządzona niezwłocznie po stwierdzeniu naruszenia, niezależnie od tego, czy doszło do niego u administratora danych, czy u podmiotu przetwarzającego. Powinna mieć formę utrwaloną i niepozostawiającą możliwości jej modyfikacji w przyszłości, a więc powinny być to podpisane dokumenty, albo co najmniej zapisane pliki PDF.

Po drugie, dokumentacja powinna zawierać ocenę ryzyka. Podczas oceny ryzyka naruszenia praw lub wolności osób fizycznych powstałego w wyniku wystąpienia naruszenia należy ocenić prawdopodobieństwo wystąpienia szkody dla osób, których dane dotyczą, jakie mogą z niego wyniknąć. Konieczne jest uwzględnienie powagi tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą oraz prawdopodobieństwa wystąpienia tego zdarzenia będącego skutkiem naruszenia. Ryzyko naruszenia praw lub wolności osób fizycznych powstaje, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających nr PESEL, pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane dotyczące zdrowia, dane dotyczące życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody. W ocenie ryzyka należy uwzględnić następujące kryteria:

  1. rodzaj naruszenia (np. naruszenie poufności danych o wynagrodzeniu może nieść za sobą poważniejsze skutki niż naruszenie ich dostępności),
  2. charakter, wrażliwość i ilość danych osobowych (np. ujawnienie imienia i nazwiska oraz adresu danej osoby prawdopodobnie nie wyrządzi jej szkody, ale już ujawnienie nr PESEL może skutkować poważniejszymi konsekwencjami),
  3. łatwość identyfikacji osób fizycznych (np. dane osobowe chronione za pomocą odpowiedniego poziomu szyfrowania będą nieczytelne dla osób nieupoważnionych, które nie posiadają klucza deszyfrującego),
  4. waga konsekwencji dla osób fizycznych (fakt, że przypadkowy odbiorca jest zaufany, np. bank, może spowodować, że skutki naruszenia nie będą poważne),
  5. cechy szczególne danej osoby fizycznej,
  6. cechy szczególne administratora danych,
  7. liczba osób fizycznych, na które naruszenie wywiera wpływ (należy jednak pamiętać, że charakter zdarzenia może mieć poważne konsekwencje nawet dla jednej osoby).

Po trzecie, dokumentacja ta powinna zawierać opis podjętych działań zaradczych, a więc zarówno tych, które mają minimalizować skutki opisywanego naruszenia, jak i tych, które maja minimalizować ryzyko podobnych zdarzeń w przyszłości.

Prowadzenie dokumentacji się opłaca

O naruszeniu ochrony danych osobowych Urząd może dowiedzieć się z różnych źródeł. Prowadzenie dokumentacji we właściwy sposób to polisa, którą będzie można wykorzystać, składając Urzędowi wyjaśnienia, dlaczego odstąpiono od zgłoszenia naruszenia do UODO.

O tym, jak zadbać o cyberbezpieczeństwo w dziale HR, powiemy podczas darmowego webinarium, które 9.11 br. o godz. 10.00 - zapisz się już dziś: https://event.webinarjam.com/register/19/38onqb0

Chcesz dowiedzieć się więcej, sięgnij po naszą publikację
Umowy o pracę – zawieranie i rozwiązywanie
Umowy o pracę – zawieranie i rozwiązywanie
Tylko teraz
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Zawód pilot samolotu [WYWIAD]
    Zawód pilot samolotu to często praca marzeń. Jak zostać pilotem? Jakie są nastroje w lotnictwie w czasie pandemii? Jak reguluje się czas pracy i zarobki pilota? Co jest najważniejsze, a co najpiękniejsze w pracy pilota? Na te i inne pytania odpowiada doświadczony pilot i prezes Grupy Bartolini Air - Bartłomiej Walas.
    Praca dla par z Ukrainy - logistyka
    Praca dla par z Ukrainy znajdzie się w polskiej logistyce. Przed Świętami Bożego Narodzenia rekrutacje są wzmożone. Powstają oferty dla ukraińskich duetów.
    Można wycofać środki z PPK i oszczędzać dalej
    Wycofanie środków z PPK nie uniemożliwia dalszego oszczędzania w programie. Zwrot środków i rezygnacja z dalszego oszczędzania w PPK to dwie różne czynności.
    Hybrydowy model pracy to przyszłość
    Hybrydowy model pracy to przyszłość firm. Pracodawcy powinni dostosować biura do potrzeb pracowników. Czym są elastyczne biura?
    Powrót do biura po długiej pracy zdalnej. Co wynika z przepisów, co radzą eksperci? [Wywiad]
    Praca zdalna, praca hybrydowa, praca stacjonarna. Mimo, że pandemia jeszcze nie odpuszcza a 4. jej fala jest coraz groźniejsza, to wiele firm myśli o powrocie swoich pracowników do mniej zdalnego a bardziej stacjonarnego modelu pracy biurowej. Jak przekonać pracownika do powrotu do pracy stacjonarnej po długim okresie pracy zdalnej? Czy pracownik ma prawo odmówić wykonywania swojej pracy w biurze? Wielu pracodawców rozważa model hybrydowy pracy biurowej. Jak najlepiej zorganizować i uregulować taką pracę? Na te tematy rozmawiamy z Grzegorzem Orłowskim, radcą prawnym.
    Monitoring pracowników hybrydowych - negatywne skutki
    Monitoring pracowników hybrydowych przynosi negatywne skutki w postaci obniżenia zaufania do pracodawcy i zwiększenia rotacji pracowników. Sprawdź wyniki badania.
    Ustawa o sygnalistach - kogo dotyczy?
    Ustawa o sygnalistach - kogo dotyczy obowiązek utworzenia procedury zgłaszania nieprawidłowości w zakładzie pracy? Jakie są problemy?
    Polityka prorodzinna ważna dla pracodawców
    Polityka prorodzinna jest ważna dla pracodawców - takie wnioski płyną z badania Kantar dla Ministerstwa Rodziny i Polityki Społecznej. Jakie korzyści może przynieść pracodawcom?
    Fałszywy certyfikat COVID-19 a zwolnienie z pracy
    Fałszywy certyfikat potwierdzający szczepienie przeciw COVID-19 może być przyczyną zwolnienia z pracy. Pracownicy kupują nieprawdziwe zaświadczenia o zaszczepieniu. Jakie konsekwencje takiego procederu mogą ponieść lekarze?
    Polski Ład 2022 - jakie zmiany?
    Polski Ład od 2022 roku - jakie zmiany w podatkach wchodzą w życie? Składka zdrowotna będzie funkcjonowała na nowych zasadach. Wprowadza się nowe zwolnienia podatkowe i sankcje za nielegalne zatrudnienie.
    Liczba ubezpieczonych na 30 listopada - wypłata zasiłków
    Liczba ubezpieczonych na 30 listopada decyduje o tym, kto wypłaca zasiłki w następnym roku. Jak ustalić liczbę ubezpieczonych na 30 listopada 2021 r.? Kto w 2022 r. będzie wypłacał zasiłki - pracodawca czy ZUS?
    Zasiłek opiekuńczy na dziecko - covid
    Zasiłek opiekuńczy na dziecko - kiedy przysługuje? Czy covid, a więc kwarantanna lub izolacja dziecka, uprawniają do pobierania zasiłku opiekuńczego z ZUS? Opieka nad dzieckiem jest wtedy konieczna. Co mogą zrobić rodzice?
    Ile można dorobić do renty i emerytury?
    Ile można dorobić do renty i emerytury od 1 grudnia 2021 r. do 28 lutego 2022 r.? Jakie są limity dorabiania dla rencistów i emerytów? Ile można dorobić do renty rodzinnej i socjalnej?
    Praca w biurze dla mężczyzn a home office dla kobiet [BADANIE]
    Praca w biurze dla mężczyzn a home office dla kobiet - takie wnioski wynikają z badania "Biuro czy home office – jakie środowisko pracy preferują polscy pracownicy". Okazuje się, że mężczyźni wolą pracować stacjonarnie, a kobiety zdalnie.
    5 sposobów na poprawę samopoczucia pracowników
    Oto krótki poradnik dla pracodawców o tym, jak poprawić samopoczucie pracowników. Pandemia koronawirusa pogłębiła stres i niepewność zarówno w sferze prywatnej jak i zawodowej. Psycholog wymienia 5 sposobów na polepszenie kondycji psychicznej pracowników.
    Nagroda uznaniowa a podstawa chorobowego
    Czy nagroda uznaniowa wlicza się do podstawy zasiłku chorobowego? Należy odpowiedzieć na pytanie - czy nagroda uznaniowa przysługuje za czas pobierania zasiłku.
    Odszkodowanie po wypadku w pracy - ZUS
    Odszkodowanie po wypadku w pracy - kiedy ZUS wypłaci jednorazowe świadczenie z ubezpieczenia wypadkowego? Ile wynosi od 1 kwietnia 2021 r. do 31 marca 2022 r.?
    Kwota bazowa do odprawy emerytalnej a premie
    Jak wyliczyć kwotę bazową do odprawy emerytalnej dla pracownika samorządowego? Czy należy uwzględnić premie?
    Niedziela handlowa - grudzień 2021
    Niedziela handlowa - grudzień 2021 ma 4 niedziele. Czy 5 grudnia, 12 grudnia, 19 grudnia, 26 grudnia to niedziela handlowa? Kiedy jest najbliższa niedziela handlowa?
    Pakiet mobilności - luty 2022
    Pakiet mobilności wchodzi w życie w lutym 2022 roku. Jakie zmiany zaczną obowiązywać tym razem? Wyższe wynagrodzenia kierowców to wzrost kosztów pracy po stronie firm transportowych.
    HR w chmurze – 5 mitów
    Wokół HR w chmurze pojawiło się wiele mitów. Warto je sprostować i dać innym szansę na wdrożenie nowych możliwości w firmie. Jakie przekonania są nieprawidłowe i wymagają sprostowania? Wyjaśniamy poniżej.
    Nakazy PIP a decyzje administracyjne z KPA
    Nakazy PIP to decyzje administracyjne uregulowane w KPA. Jakie są różnice w treści decyzji i nakazu z KPA i ustawy o PIP? Jakie nakazy wydaje inspektor pracy?
    Wykaz prac wzbronionych dla kobiet – czy jest zgodny z przepisami?
    Wykaz prac wzbronionych, uciążliwych, niebezpiecznych lub szkodliwych dla zdrowia kobiet jest dokumentem określającym, jakich prac nie powinny wykonywać kobiety. Wielu pracodawców posiada takie wykazy, ale czy na pewno są one zgodne z przepisami? Czy wykaz prac wzbronionych kobietom mógłby narazić pracodawcę na zarzut dyskryminacji? Przeczytaj artykuł i sprawdź, jak wygląda sytuacja prawna wykazu prac wzbronionych dla kobiet.
    Dni wolne od pracy - Holandia
    Dni wolne od pracy w 2021 i 2022 roku - Holandia ma 9 dni świątecznych w roku kalendarzowym. Kiedy są święta w Holandii? Oto kalendarz.
    Weryfikacja szczepień pracowników ważna dla pracodawców
    Weryfikacja szczepień pracowników jest ważna dla pracodawców. Ułatwi organizację pracy w firmie. Jakie rozwiązania przewiduje projekt ustawy?