W jakiej formie należy prowadzić rejestr naruszeń ? Czy jest jakiś wzór takiego rejestru?

ODPOWIEDŹ

Art. 33 ust. 5 RODO, który stanowi o wymogu dokumentowania naruszeń ochrony danych, nie wskazuje szczególnej formy, w jakiej rejestr naruszeń ma być prowadzony. Najbardziej praktycznym rozwiązaniem – zdaniem autora – pozostaje prowadzenie rejestru w formie elektronicznej w taki sposób, który umożliwi łatwą aktualizację dokumentu oraz ewentualne jego przesłanie/ wydrukowanie przedstawicielom organu nadzorczego.

Odnośnie do zakresu rejestru, wskazówki znajdziemy w wytycznych Grupy Roboczej Art. 29 (WP 250)

Zgodnie z ww. dokumentem: „Chociaż administrator określa metody i strukturę dokumentowania naruszeń, we wszystkich przypadkach należy uwzględnić określone kluczowe elementy zapisywanych informacji. Zgodnie z art. 33 ust. 5 administrator jest zobowiązany do rejestrowania szczegółowych informacji na temat naruszenia, które obejmują jego przyczyny, przebieg wydarzeń oraz zakres danych osobowych, których dotyczyło naruszenie. Powinny one obejmować również skutki i konsekwencje naruszenia, uwzględniając działania zaradcze podjęte przez administratora.” Pomocne może być również umieszczenie w rejestrze informacji, czy określone zdarzenie zostało zgłoszone do organu nadzorczego oraz czy poinformowano o naruszeniu osoby, których dane dotyczą.