Wraz z wejściem w życie Ogólnego Rozporządzenia o Ochronie Danych (RODO), na administratorów danych osobowych nałożono szereg obowiązków dotyczących bezpieczeństwa przetwarzania danych. Jednym z mniej oczywistych, ale kluczowych elementów systemu ochrony danych jest obowiązek prowadzenia rejestru naruszeń ochrony danych osobowych. W artykule wyjaśniamy, czym jest rejestr naruszeń, kto musi go prowadzić, co powinien zawierać oraz jak długo należy przechowywać dane o naruszeniach.
Czym jest rejestr naruszeń?
Rejestr naruszeń to wewnętrzna dokumentacja prowadzona przez administratora danych (lub podmiot przetwarzający), zawierająca wszystkie naruszenia ochrony danych osobowych, niezależnie od tego, czy doszło do obowiązku ich zgłoszenia organowi nadzorczemu (w Polsce – Prezesowi UODO), czy nie.
Naruszeniem ochrony danych osobowych jest każde zabezpieczenie, utrata lub nieuprawnione ujawnienie danych, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieautoryzowanego ujawnienia bądź dostępu do danych osobowych.
Podstawa prawna
Podstawę prawną obowiązku dokumentowania naruszeń stanowi art. 33 ust. 5 RODO:
„Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, obejmujące okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi umożliwiać organowi nadzorczemu weryfikację przestrzegania niniejszego artykułu.”
Kto ma obowiązek prowadzenia rejestru naruszeń?
Obowiązek prowadzenia rejestru naruszeń spoczywa przede wszystkim na:
- Administratorze danych osobowych, niezależnie od wielkości podmiotu,
- Podmiocie przetwarzającym, jeżeli to u niego doszło do naruszenia,
- Jednostkach sektora publicznego oraz podmiotach prywatnych, przetwarzających dane w ramach działalności zawodowej lub gospodarczej.
Nie ma znaczenia skala naruszenia – każdy incydent bezpieczeństwa, który może wpływać na dane osobowe, powinien być odnotowany.
Co powinien zawierać rejestr naruszeń?
RODO nie narzuca jednolitego wzoru rejestru, ale zaleca, by dokumentacja zawierała co najmniej:
- Datę i godzinę wystąpienia naruszenia (jeśli możliwe – także wykrycia naruszenia),
- Opis charakteru naruszenia (np. wysyłka danych do niewłaściwego odbiorcy, utrata laptopa),
- Zakres i rodzaj danych objętych naruszeniem (np. dane kontaktowe, dane medyczne, PESEL),
- Liczbę osób, których dane dotyczą,
- Potencjalne skutki naruszenia dla osób fizycznych,
- Środki zaradcze zastosowane w celu usunięcia naruszenia i minimalizacji skutków,
- Decyzję o zgłoszeniu lub niezgłoszeniu naruszenia Prezesowi UODO (wraz z uzasadnieniem),
- Informację o ewentualnym zawiadomieniu osób, których dane dotyczą.
Dobrą praktyką jest także przypisanie numeru referencyjnego każdemu naruszeniu i wskazanie osoby odpowiedzialnej za jego obsługę.
Czy każde naruszenie trzeba zgłaszać Prezesowi UODO?
Nie każde naruszenie wymaga zgłoszenia organowi nadzorczemu. Zgodnie z art. 33 ust. 1 RODO, zgłoszenia wymaga tylko takie naruszenie, które może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Jednak niezależnie od tej oceny, każde naruszenie musi być udokumentowane w rejestrze.
Jak długo należy przechowywać rejestr naruszeń?
RODO nie określa dokładnego okresu przechowywania dokumentacji, ale zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO), administrator powinien być w stanie wykazać przestrzeganie przepisów przez okres, w którym może dojść do kontroli organu nadzorczego. W praktyce zaleca się, by dokumentacja była przechowywana co najmniej 5 lat od daty naruszenia.
Konsekwencje braku rejestru naruszeń
Brak rejestru lub prowadzenie go w sposób nierzetelny może zostać uznane za naruszenie obowiązku rozliczalności i skutkować:
- postępowaniem kontrolnym UODO,
- nałożeniem administracyjnej kary pieniężnej – zgodnie z art. 83 ust. 5 lit. a RODO – do 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa,
- utratą zaufania kontrahentów i partnerów biznesowych.
Rejestr naruszeń a inne obowiązki administratora
Rejestr naruszeń jest częścią szerszego systemu zarządzania ochroną danych osobowych. Administrator powinien także:
- prowadzić rejestr czynności przetwarzania (art. 30 RODO),
- wdrożyć procedurę reagowania na incydenty,
- szkolić personel z zakresu bezpieczeństwa informacji,
- stosować środki techniczne i organizacyjne adekwatne do ryzyka.
FAQ – najczęstsze pytania
Czy muszę prowadzić rejestr naruszeń, jeśli mam tylko kilku pracowników?
Tak. Obowiązek ten dotyczy wszystkich administratorów, niezależnie od wielkości firmy.
Czy wystarczy prowadzić rejestr w Excelu?
Tak, pod warunkiem że zawiera wszystkie wymagane dane i jest odpowiednio zabezpieczony.
Czy muszę powiadomić osoby, których dane dotyczą, o każdym naruszeniu?
Nie zawsze. Obowiązek powiadomienia występuje tylko wtedy, gdy naruszenie może powodować wysokie ryzyko dla praw lub wolności tych osób (art. 34 RODO).
Czy podmiot przetwarzający również musi prowadzić rejestr?
Tak, jeżeli do naruszenia doszło po jego stronie. W takim przypadku ma też obowiązek poinformować administratora danych.
Podsumowanie
Rejestr naruszeń ochrony danych osobowych to nie tylko obowiązek prawny, ale także narzędzie efektywnego zarządzania ryzykiem. Rzetelne dokumentowanie incydentów pozwala nie tylko uniknąć sankcji, ale również usprawnić reakcję na naruszenia i zwiększyć zaufanie do organizacji.
Potrzebujesz wsparcia w zakresie wdrożenia dokumentacji RODO lub audytu bezpieczeństwa danych?
Kancelaria Radcy Prawnego dr Tymoteusz Zych oferuje kompleksową pomoc prawną w zakresie ochrony danych osobowych, w tym wdrażanie rejestrów, procedur zgłaszania naruszeń i szkoleń dla personelu.
Zapraszamy do kontaktu pod numerem telefonu +48 726 003 505.
