Czy warto zgłaszać naruszenia do Urzędu Ochrony Danych Osobowych (UODO)? – nowe podejście organu nadzorczego
Czy incydent, który zdarzył się w mojej placówce medycznej może być uznany za naruszenie ochrony danych i co za tym idzie powinien zostać zgłoszony do UODO?
Według zaktualizowanego poradnika prezesa UODO okazuje się, że już samo podejrzenie wystąpienia naruszenia wystarcza do jego stwierdzenia i konieczności zawiadomienia Urzędu.
Zawiadamianie o każdym zdarzeniu, które może stwarzać nawet małe ryzyko bezpieczeństwa danych jest podejściem dużo bardziej restrykcyjnym niż do tej pory i powoduje konieczność surowszej kwalifikacji danego zdarzenia jako naruszenia ochrony danych.
Samo podejrzenie, że mogło dojść do naruszenia poufności, integralności czy dostępności danych zdecydowanie zmienia metodę oceny ryzyka naruszeń i samą definicję naruszenia.
Nie bójmy się zgłaszać naruszeń- obawiajmy się raczej nie zgłoszenia naruszenia;)
Prezes UODO wprost pisze, że wystąpienie naruszenia ochrony danych osobowych nie oznacza samo w sobie, że administrator lub podmiot przetwarzający dopuścił się naruszenia przepisów RODO, a samo zgłoszenie naruszenia nie jest równoznaczne z winą administratora i nie przesądza o naruszeniu przepisów czy nałożeniu kary.
Rola Inspektora ochrony danych osobowych (IOD)
Jedną z osób, którą należy niezwłocznie informować o każdym naruszeniu jest Inspektor Ochrony Danych. Wsparcie IOD jest niezwykle przydatne przy samej ocenie ryzyka naruszenia, monitorowaniu procesu obsługi naruszenia czy kontroli prowadzonych rejestrów naruszeń ochrony danych osobowych.
Nie zapominajmy o tym, że administratorzy mają obowiązek dokumentowania wszystkich naruszeń ochrony danych, również tych, których nie trzeba zgłaszać Prezesowi UODO (art. 33 ust. 5 RODO). Pamiętajmy o tym, że rejestr naruszeń ochrony danych powinien być kompletny, aktualny i zawsze dostępny dla organu nadzorczego na jego żądanie.