W jakiej formie należy prowadzić rejestr naruszeń ? Czy jest jakiś wzór takiego rejestru?
ODPOWIEDŹ
Art. 33 ust. 5 RODO, który stanowi o wymogu dokumentowania naruszeń ochrony danych, nie wskazuje szczególnej formy, w jakiej rejestr naruszeń ma być prowadzony. Najbardziej praktycznym rozwiązaniem – zdaniem autora – pozostaje prowadzenie rejestru w formie elektronicznej w taki sposób, który umożliwi łatwą aktualizację dokumentu oraz ewentualne jego przesłanie/ wydrukowanie przedstawicielom organu nadzorczego.
Odnośnie do zakresu rejestru, wskazówki znajdziemy w wytycznych Grupy Roboczej w art. 29 nr WP 250 (https://www.uodo.gov.pl/pl/10/12).
Zgodnie z nimi: „Chociaż administrator określa metody i strukturę dokumentowania naruszeń, we wszystkich przypadkach należy uwzględnić określone kluczowe elementy zapisywanych informacji. Zgodnie z art. 33 ust. 5 administrator jest zobowiązany do rejestrowania szczegółowych informacji na temat naruszenia, które obejmują jego przyczyny, przebieg wydarzeń oraz zakres danych osobowych, których dotyczyło naruszenie. Powinny one obejmować również skutki i konsekwencje naruszenia, uwzględniając działania zaradcze podjęte przez administratora.” Pomocne może być również umieszczenie w rejestrze informacji, czy określone zdarzenie zostało zgłoszone do organu nadzorczego oraz podmiotów danych.