Kategorie
Szukaj
Sklep
Kalkulatory
Obserwowane
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Kadry » Zatrudnienie » Dokumentacja pracownicza » Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo

Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo

03 listopada 2021, 12:05
Dołącz do grona ekspertów
Karolina Kołakowska
Karolina Kołakowska
adwokat w Kancelarii Brzezińska Narolski Adwokaci (http://bnadwokaci.pl/), ekspert z zakresu indywidualnego i zbiorowego prawa pracy oraz ochrony danych osobowych, trener i szkoleniowiec
Kancelaria Brzezińska Narolski Adwokaci sp.p
Kancelaria Brzezińska Narolski Adwokaci sp.p
Kancelaria prawna
Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo
Dokumentowanie naruszeń ochrony danych to inwestycja w bezpieczeństwo
ShutterStock
Dokumentowanie naruszeń ochrony danych osobowych stanowi inwestycję w bezpieczeństwo. Mail z listą płac wysłany do nieprawidłowego adresata. Atak hakerski na serwer. Utrata danych kadrowych. Zagubienie teczki osobowej. To wszystko przykłady przypadków naruszenia ochrony danych osobowych, które wymagają od administratora danych podjęcia określonych przepisami RODO działań.

Dokumentowanie naruszeń ochrony danych osobowych - inwestycja w bezpieczeństwo

Doświadczenie i decyzje Prezesa Urzędu Ochrony Danych Osobowych wskazują, że administratorzy mają zakodowane w świadomości zgłoszenie naruszenia do Urzędu i zawiadomienie o nim osób, których ono dotyczy. Często jednak zdarza się, że uznając, iż w danym przypadku nie ma podstaw do podjęcia tych czynności, zapominają o innym obowiązku – dokumentowania wszelkich naruszeń, niezależnie od tego, czy ostatecznie zostały zgłoszone do UODO, czy nie.

Na czym polega obowiązek dokumentowania?

Art. 33 ust. 5 RODO stanowi, że administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania obowiązku zgłoszenia. Przepis nie uzależnia dokumentowania ani od skali naruszenia, ani od jego powagi. Prowadzi to do wniosku, że każde naruszenie powinno być udokumentowane, niezależnie od tego, czy administrator doszedł do wniosku, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zobacz również:

UODO na tropie błędów w dokumentacji

W jednej ze spraw, Urząd Ochrony Danych Osobowych o naruszeniu ochrony danych dowiedział się na skutek zawiadomienia przesłanego do Urzędu przez organ sprawujący nadzór na fundacją, u której doszło do naruszenia. Fundacja sama nie dokonała zgłoszenia, ponieważ w jej ocenie, nie było takiej potrzeby. W toku kontroli UODO ustalił, że analiza ryzyka przeprowadzona przez fundację po naruszeniu stanowiła w rzeczywistości wydruk z kalkulatora wagi naruszeń ochrony danych osobowych udostępnianego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO zaznaczył w swojej decyzji, że za pomocą kalkulatorów możliwe jest uzyskanie dowolnego wyniku, w zależności od danych wprowadzonych do obliczeń. Dokumenty te nie są opatrzone datą wytworzenia, ani nie zawierają opisu szczegółowych kryteriów, jakimi kierowała się fundacja dokonując oceny za pomocą wspomnianego kalkulatora. Przedstawiony przez fundację wydruk, zgodnie zresztą z zastrzeżeniem dostawcy, może mieć zatem jedynie pomocniczy charakter i nie powinien stanowić podstawy dokonania oceny ryzyka naruszenia praw lub wolności osób fizycznych. Dalej Urząd ocenił, że fundacja w nieprawidłowy sposób udokumentowała naruszenie, co w konsekwencji doprowadziło do błędnych wniosków w ocenie ryzyka i uchybieniu obowiązkom zgłoszenia do UODO naruszenia i zawiadomienia o naruszeniu osób nim dotkniętych.

Jak prawidłowo dokumentować naruszenia?

Po pierwsze, dokumentacja powinna być sporządzona niezwłocznie po stwierdzeniu naruszenia, niezależnie od tego, czy doszło do niego u administratora danych, czy u podmiotu przetwarzającego. Powinna mieć formę utrwaloną i niepozostawiającą możliwości jej modyfikacji w przyszłości, a więc powinny być to podpisane dokumenty, albo co najmniej zapisane pliki PDF.

Po drugie, dokumentacja powinna zawierać ocenę ryzyka. Podczas oceny ryzyka naruszenia praw lub wolności osób fizycznych powstałego w wyniku wystąpienia naruszenia należy ocenić prawdopodobieństwo wystąpienia szkody dla osób, których dane dotyczą, jakie mogą z niego wyniknąć. Konieczne jest uwzględnienie powagi tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą oraz prawdopodobieństwa wystąpienia tego zdarzenia będącego skutkiem naruszenia. Ryzyko naruszenia praw lub wolności osób fizycznych powstaje, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających nr PESEL, pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane dotyczące zdrowia, dane dotyczące życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody. W ocenie ryzyka należy uwzględnić następujące kryteria:

Dalszy ciąg materiału pod wideo
  1. rodzaj naruszenia (np. naruszenie poufności danych o wynagrodzeniu może nieść za sobą poważniejsze skutki niż naruszenie ich dostępności),
  2. charakter, wrażliwość i ilość danych osobowych (np. ujawnienie imienia i nazwiska oraz adresu danej osoby prawdopodobnie nie wyrządzi jej szkody, ale już ujawnienie nr PESEL może skutkować poważniejszymi konsekwencjami),
  3. łatwość identyfikacji osób fizycznych (np. dane osobowe chronione za pomocą odpowiedniego poziomu szyfrowania będą nieczytelne dla osób nieupoważnionych, które nie posiadają klucza deszyfrującego),
  4. waga konsekwencji dla osób fizycznych (fakt, że przypadkowy odbiorca jest zaufany, np. bank, może spowodować, że skutki naruszenia nie będą poważne),
  5. cechy szczególne danej osoby fizycznej,
  6. cechy szczególne administratora danych,
  7. liczba osób fizycznych, na które naruszenie wywiera wpływ (należy jednak pamiętać, że charakter zdarzenia może mieć poważne konsekwencje nawet dla jednej osoby).

Po trzecie, dokumentacja ta powinna zawierać opis podjętych działań zaradczych, a więc zarówno tych, które mają minimalizować skutki opisywanego naruszenia, jak i tych, które maja minimalizować ryzyko podobnych zdarzeń w przyszłości.

Prowadzenie dokumentacji się opłaca

O naruszeniu ochrony danych osobowych Urząd może dowiedzieć się z różnych źródeł. Prowadzenie dokumentacji we właściwy sposób to polisa, którą będzie można wykorzystać, składając Urzędowi wyjaśnienia, dlaczego odstąpiono od zgłoszenia naruszenia do UODO.

O tym, jak zadbać o cyberbezpieczeństwo w dziale HR, powiemy podczas darmowego webinarium, które 9.11 br. o godz. 10.00 - zapisz się już dziś: https://event.webinarjam.com/register/19/38onqb0

Zobacz również:

Reklama
Zaktualizuj swoją wiedzę z naszymi publikacjami i szkoleniami
Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Pokaż:

Najnowsze
Popularne
Najstarsze
Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Uprawnienia rodzicielskie
    certificate
    Jak zdobyć Certyfikat:
    • Czytaj artykuły
    • Rozwiązuj testy
    • Zdobądź certyfikat
    1/10
    Ile tygodni urlopu macierzyńskiego można maksymalnie wykorzystać jeszcze przed porodem?
    nie ma takiej możliwości
    3
    6
    9 - tylko jeśli pracodawca wyrazi na to zgodę
    Następne
    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Zmiany w Kodeksie pracy. Cztery rodzaje dodatkowego urlopu
    23 mar 2023

    Kodeks pracy - dodatkowy urlop. Obszerna nowelizacja Kodeksu pracy uregulowała pracę zdalną oraz rozszerzyła wymiar kilku rodzajów urlopu. Niektóre z nowych regulacji mogą być nazwane „urlopem” jedynie umownie jednak również dają możliwości dodatkowych dni wolnych.
    Indywidualny Plan Działania bezrobotnego
    23 mar 2023

    Czym jest Indywidualny Plan Działania bezrobotnego lub poszukującego pracy i do czego służy? Sprawdź!
    Likwidacja kopalń w Polsce – co z górnikami?
    22 mar 2023

    W Polsce trwa proces dekarbonizacji. Kopalnie węgla kamiennego są sukcesywnie likwidowanie a tysiące górników traci prace. Kiedy koniec górnictwa w Polsce? Co z górnikami? Gdzie będą pracowali? Jaka jest przyszłość tzw. „zielonych miejsce pracy”?
    Przepisy o pracy zdalnej od 7 kwietnia. Nowe prawa i obowiązki pracodawców oraz pracowników
    22 mar 2023

    Praca zdalna - od 7 kwietnia wchodzi w życie nowelizacja Kodeksu Pracy, która ureguluje zjawisko pracy zdalnej. Popularyzacja tego modelu gwałtownie wzrosła w okresie pandemii. Nastąpiła więc konieczność określenia na drodze ustawowej praw i obowiązków pracodawców oraz pracowników.
    Pracy zdalna okazjonalna. Czy pracodawca ma prawo do kontroli?
    22 mar 2023

    Kontrola wykonywania okazjonalnej pracy zdalnej, w zakresie bezpieczeństwa i higieny pracy lub przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych, będzie się odbywała na zasadach ustalonych z pracownikiem. Natomiast kontrola wykonywania pracy przez pracownika świadczącego "okazjonalną" pracę zdalną zostanie przeprowadzona na takich zasadach jak w czasie wykonywania pracy w podstawowym miejscu pracy.
    Jak docenić pracownika? Pomogą zmiany w prawie pracy (work-life balance)
    22 mar 2023

    Dzień Doceniania Pracownika. Chociaż metod pozapłacowego wynagradzania zespołów jest dużo, to nowa dyrektywa work-life balance otwiera przed pracodawcami nowe możliwości.
    E-ZLA dostępne na PUE ZUS
    21 mar 2023

    W związku ze zmianami od 1 stycznia 2023 r. każdy przedsiębiorca który opłaca składki na ubezpieczenia społeczne jest zobowiązany do posiadania profilu na Platformie Usług Elektronicznych - PUE ZUS. Co jeśli przedsiębiorca nie ma profilu? ZUS założy go za niego. Nawet jeśli płatnik nie dokończy procesu rejestracji i tak po 24 marca 2023 r. do płatnika będą wysłane elektronicznie przez ZUS PUE –  elektroniczne zaświadczenia lekarskie (e-ZLA).
    Czy można wezwać osobę zatrudnioną na pracy zdalnej np. do biura na spotkanie?
    21 mar 2023

    Kwestia wzywania pracownika do biura w czasie wykonywania przez niego pracy zdalnej nie została uregulowana w przepisy Kodeksu pracy. Jednak pracodawca (przełożony) w ramach swoich uprawnień kierowniczych ma prawo wezwać pracownika do wykonywania pracy w biurze, a także polecić mu pracę w każdym innym miejscu, np. udział w spotkaniu odbywającym się w siedzibie kontrahenta albo odbycie podróży służbowej. 
    98 proc. Polaków odczuwa skutki inflacji i wzrostu cen
    21 mar 2023

    98 proc. Polaków odczuwa skutki inflacji i wzrostu cen – wynika z badania "Poziom wiedzy finansowej Polaków 2023", opublikowanego przez Warszawski Instytut Bankowości i Fundację GPW. Dziewięciu na dziesięciu ankietowanych nie rozważa w najbliższym czasie samodzielnego inwestowania – dodano.
    Płace rosną, ale realna wartość zarobków spada
    21 mar 2023

    W lutym br. przeciętne zatrudnienie w sektorze przedsiębiorstw w porównaniu z lutym 2022 r. było wyższe o 0,8%. W stosunku do poprzedniego miesiąca zmniejszyło się o 0,1%. Przeciętne wynagrodzenie zaś w lutym br. w porównaniu z lutym 2022 r. było wyższe o 13,6% - podał GUS.
    Urlop ojcowski. Co się zmienia w 2023 r.
    21 mar 2023

    Urlop ojcowski to jedno z uprawnień pracowniczych, których dotyczy najnowsza nowelizacja Kodeksu pracy. Co zmieniło się w regulacjach dotyczących urlopu ojcowskiego?
    e-ZLA będą przekazywane na profil płatnika składek założony z urzędu przez ZUS, nawet jeśli płatnik nie dokończył procesu rejestracji
    21 mar 2023

    Po 24 marca 2023 r. elektroniczne zaświadczenia lekarskie (e-ZLA) będą przekazywane na profile płatników składek automatycznie utworzone przez ZUS, nawet jeśli płatnik nie dokończył procesu rejestracji.
    Decyzję w sprawie rezygnacji z PPK można w każdej chwili zmienić
    21 mar 2023

    Uczestnictwo w PPK jest dla osoby zatrudnionej całkowicie dobrowolne. Pracownik może w każdej chwili zarówno zrezygnować z oszczędzania w PPK, jak i do tego oszczędzania wrócić. Pewne ograniczenia dotyczą osób w wieku 70+.
    Nowy kalkulator wyliczy seniorom emerytury
    21 mar 2023

    Nowy kalkulator emerytalny pozwala obliczyć wysokość emerytury tym osobom, które chcą sprawdzić czy opłaca im się przejść na emeryturę w bieżącym roku. Na platformie internetowej PUE ZUS można porównać, jaka będzie wysokość naszej emerytury, w zależności od momentu, w którym decydujemy się zakończyć aktywność zawodową.
    Rozliczenie roczne składki zdrowotnej. Zapraszamy na praktyczne webinarium!
    20 mar 2023

    Rozliczenie roczne składki zdrowotnej. Zapraszamy na praktyczne webinarium „Rozliczenie roczne składki zdrowotnej – o tym musisz wiedzieć!” z gwarantowanym imiennym certyfikatem, które odbędzie się 3 kwietnia 2023 roku. Polecamy!
    Kontrole firm transportowych z rosyjskim i białoruskim kapitałem
    20 mar 2023

    Inspektorzy pracy oraz przedstawiciele innych służb rozpoczęli kontrole ponad 60 firm transportowych na terenie całego kraju. Sprawdzane są głównie firmy, które prawdopodobnie działają z wykorzystaniem kapitału białoruskiego lub rosyjskiego. Dariusz Mińkowski, zastępca Głównego Inspektora Pracy, wziął udział w spotkaniu inaugurującym tę akcję.
    Zwolnienie z powodu siły wyższej. Nowość w Kodeksie pracy
    20 mar 2023

    Zwolnienie z powodu działania siły wyższej to nowe uprawnienie, jakie przyznaje pracownikom nowelizacja Kodeksu pracy. W jakich przypadkach pracownik będzie mógł zwolnić się z pracy z powodu działania siły wyższej? Przez jaki okres można korzystać ze zwolnienia z powodu siły wyższej? Co to jest siła wyższa?
    Zezwolenie na pracę a obowiązek informacyjny
    20 mar 2023

    Zezwolenie na pracę, uzyskiwane w urzędzie wojewódzkim, jest jednym z dokumentów legalizujących pracę cudzoziemca na terenie Polski. Kiedy i w jakich okolicznościach pracodawca, który je otrzymał, powinien poinformować pisemnie wojewodę? Odpowiadamy.
    Real-time CSR, czyli nadążyć za konsumentami
    20 mar 2023

    Specjaliści o aktualnych trendach w obszarze społecznej odpowiedzialności biznesu.
    Podwyżki dla pracowników cywilnych policji
    20 mar 2023

    W ostatnim czasie policjantom udało się uzyskać podwyżki, co spowodowało, że w marcu 2023 r. nie było tak masowych odejść na emeryturę mundurowych jak się tego spodziewano. Niestety sytuacja pracowników cywilnych zatrudnionych w policji również nie jest najlepsza – ich płace są bardzo niskie, a ścieżka kariery zawodowej nie jest uregulowana. Czy będą wreszcie podwyżki dla pracowników cywilnych policji?
    Wyzwania związane z funduszami europejskimi, cyfryzacją i rynkiem pracy
    20 mar 2023

    - Najważniejszym wyzwaniem w tym roku będzie spowodowanie, aby unijne pieniądze z perspektywy finansowej 2021-2027 trafiły do gospodarki, firm, samorządów. Sukcesem będzie też złożenie wniosku do Komisji Europejskiej o płatność z Krajowego Planu Odbudowy – powiedziała Małgorzata Jarosińska - Jedynak, sekretarz stanu w Ministerstwie Funduszy i Polityki Regionalnej na spotkaniu władz i członków Konfederacji Lewiatan w Józefowie.
    ZUS ZSWA termin na złożenie
    20 mar 2023

    31 marca 2023 r. upływa termin na złożenie dokumentu ZUS ZSWA – Zgłoszenie / korekta danych o pracy w szczególnych warunkach lub o szczególnym charakterze za 2022 rok.
    Jak rejestrować godzinę rozpoczęcia i zakończenia pracy zdalnej
    17 mar 2023

    Ewidencja czasu pracy zdalnej. Przepisy prawa pracy nie regulują sposobu rejestrowania rozpoczęcia i zakończenia pracy zdalnej przez pracownika, zatem pracodawca samodzielnie określa zasady w tym zakresie. Rejestracja może się odbywać poprzez wysłanie e-maila o rozpoczęciu (zakończeniu) pracy czy telefoniczne zawiadomienie o tym przełożonego. Można też założyć, że potwierdzeniem wykonywania pracy zdalnej jest np. korespondencja e-mailowa lub wykaz zadań zrealizowanych danego dnia.
    Zmiana czasu a wynagrodzenie
    17 mar 2023

    Koniec marca oznacza zmianę czasu z zimowego na letni. Podpowiadamy, czy przesunięcie wskazówek w zegarach ma wpływ na wynagrodzenie.
    Ubezpieczenie zdrowotne a chorobowe. Czym się różnią? Co dają te ubezpieczenia?
    17 mar 2023

    Ubezpieczenie zdrowotne a chorobowe – czym się różnią? Ubezpieczenia zdrowotne i chorobowe to dwie zupełnie różne rzeczy, mimo że nazwy brzmią podobnie. Są to niezwykle ważne ubezpieczenia – od opłacania na nie składek uzależnione jest, czy przysługuje zasiłek chorobowy, a także bezpłatne leczenie. Jakie są różnice i co dają oba ubezpieczenia?