RNODO Rejestr naruszeń ochrony danych osobowych (RODO)

Każdy administrator danych jak również podmiot przetwarzający zobowiązany jest dokumentować stwierdzone naruszenia przetwarzania danych osobowych. Rejestr nie powinien stwierdzać wyłącznie naruszenia. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja musi być tak prowadzona, aby pozwolić organowi nadzorczemu weryfikowanie przestrzegania ochrony danych a jednocześnie kontroli zaradczej.

Rejestr służy również możliwości monitorowania, czy podmiot dokonuje odpowiednich zawiadomień o naruszeniach. 

Po pierwsze, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Natomiast jeśli doszło do powierzenia danych podmiotowi przetwarzającego przez administratora danych, to po stwierdzeniu naruszenia ochrony danych osobowych ten ostatni bez zbędnej zwłoki zgłasza je administratorowi.

Po drugie, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Warto, aby oprócz rejestru naruszeń, administrator prowadził również zestawienie osób (podmiotów) zawiadomionych o zaistniałych naruszeniach, wykazanych w rejestrze naruszeń ochrony danych osobowych. 
 

Wzory druków przygotowane przez firmę PHAROS.