Rejestr naruszeń ochrony danych osobowych to dokument, w którym odnotowywane są wszystkie incydenty związane z niezgodnościami w zakresie ochrony danych osobowych zgłoszone w organizacji. Jest to istotny element prowadzenia polityki bezpieczeństwa informacji, pozwalający na śledzenie i analizowanie wszelkich naruszeń oraz podejmowanie działań naprawczych.
Miejsce i dzień naruszenia
22.05.2024 r. | Warszawa, ul. Kwiatowa 12
Data stwierdzenia naruszenia |
23.05.2024 r.
| Naruszenie ochrony danych osobowych, | Rodzaj naruszenia które nie podlega zgłoszeniu organowi align="center"
nadzorczemu. Wystarczający jest wpis w width="10%">
rejestrze naruszeń (jest mało ☒
prawdopodobne, by naruszenie to
skutkowało ryzykiem naruszenia praw lub
wolności osób fizycznych).
Naruszenie, o którym trzeba zawiadomić |
zarówno organ nadzorczy, jak i osobę, ☐
której dane dotyczą (naruszenie ochrony
danych osobowych spowodowało wysokie
ryzyko naruszenia praw lub wolności osób
fizycznych).
Naruszenie podlegające zgłoszeniu | ☐
jedynie organowi nadzorczemu
(występuje ryzyko naruszenia praw lub
wolności osób fizycznych, ale nie jest ono
wysokie).
Naruszenie podlegające zgłoszeniu | ☐
jedynie organowi nadzorczemu
(naruszenie ochrony danych osobowych
spowodowało wysokie ryzyko naruszenia
praw lub wolności osób fizycznych,
jednakże zawiadomienie osoby, której
dane dotyczą, nie jest konieczne ze
względu na wypełnienie następujących
przesłanek:
1) Administrator wdrożył odpowiednie
techniczne i organizacyjne środki ochrony i
środki te zostały zastosowane do danych
osobowych, których dotyczy naruszenie, w
szczególności środki takie jak szyfrowanie,
uniemożliwiające odczyt osobom
nieuprawnionym do dostępu do tych
danych osobowych;
2) Administrator zastosował następnie
środki eliminujące prawdopodobieństwo
wysokiego ryzyka naruszenia praw lub
wolności osoby, której dane dotyczą;
3) wymagałoby ono niewspółmiernie
dużego wysiłku. W takim przypadku
Administrator wydaje publiczny
komunikat lub stosuje podobny środek, za
pomocą którego osoby, których dane
dotyczą, zostają poinformowane w równie
skuteczny sposób.
Kategoria i przybliżona liczba osób, |
których dane dotyczą Anna Kowalska składająca wniosek o odpis skrócony aktu małżeństwa
z dnia 15.03.2022 r. oraz Jan Nowak, których dane
osobowe były umieszczone na odpisie skróconym aktu małżeństwa
(2 osoby)
Kategorie i przybliżona liczba wpisów |
danych osobowych, których dotyczy Zgodnie z ustawą – Prawo o aktach stanu
naruszenie cywilnego odpis skrócony aktu małżeństwa
zawiera:
1) Imię i nazwisko obojga małżonków, datę i miejsce ich urodzenia;
2) Datę i miejsce zawarcia małżeństwa;
W akcie małżeństwa, którego dotyczyło
naruszenie nie było informacji o dzieciach zrodzonych z tego małżeństwa oraz o ustaniu, unieważnieniu małżeństwa, itp.
Liczba wpisów danych osobowych: 1
Okoliczności naruszenia ochrony danych |
osobowych Jan Kowalski z Urzędu Stanu Cywilnego w Warszawie omyłkowo wysłał 23.05.2024 r.
odpis skrócony aktu małżeństwa na adres
zamieszkania nienależący do osoby, która
wnioskowała o odpis, w wyniku czego
ustalona Maria Zielińska otrzymała dane
osobowe Anny Kowalskiej i Jana Nowaka. Urząd Stanu Cywilnego w Warszawie
został poinformowany
przez Marię Zielińską, że ta otrzymała
korespondencję, która nie dotyczyła jej
osoby, a Anny Kowalskiej.
Skutki naruszenia ochrony danych |
osobowych Naruszenie poufności danych osobowych
Anny Kowalskiej i Jana Nowaka. Na tę chwilę nie ustalono
skutków naruszenia ochrony danych
osobowych. W związku z tym, że odpis skrócony
aktu małżeństwa nie zawierał
numerów PESEL, serii i numeru dowodu
osobistego oraz adresu zamieszkania,
można wykluczyć wysokie ryzyko naruszenia
praw lub wolności Anny Kowalskiej i Jana Nowaka, w
szczególności nie są oni
narażeni na straty finansowe czy poczucie
braku prywatności.
Podjęte działania zaradcze |
Administrator zwrócił się do osoby, która
omyłkowo otrzymała odpis skrócony aktu
małżeństwa, z prośbą o zniszczenie tego
dokumentu. Administrator przeprowadził
dodatkowe szkolenie wśród pracowników
na temat bezpieczeństwa danych
osobowych. Została wdrożona procedura
sprawdzania adresów korespondencyjnych
przed wysłaniem korespondencji.
Dzień zgłoszenia naruszenia ochrony |
danych osobowych organowi Nie dotyczy
nadzorczemu
(jeżeli dotyczy)
Powód odstąpienia od zgłoszenia |
naruszenia ochrony danych osobowych Osoby fizyczne, których dotknęło
organowi nadzorczemu naruszenie, mogą napotkać pewne
niedogodności, które są łatwe do
(jeżeli dotyczy)
przezwyciężenia – przede wszystkim
poczucie naruszenia prywatności.
Administrator ocenił, że jest mało
prawdopodobne, by naruszenie to
skutkowało ryzykiem naruszenia praw lub
wolności osób fizycznych.
Dzień zawiadomienia osób, których dane |
dotyczą (jeżeli dotyczy) Nie dotyczy
Powód odstąpienia od zawiadomienia |
osób, których dane dotyczą (jeżeli Osoby fizyczne, których dotknęło
dotyczy) naruszenie, mogą napotkać pewne
niedogodności, które są łatwe do
przezwyciężenia – przede wszystkim
poczucie naruszenia prywatności.
Administrator ocenił, że jest mało
prawdopodobne, by naruszenie to
skutkowało ryzykiem naruszenia praw lub
wolności osób fizycznych. W związku z tym,
że nie zaszło wysokie ryzyko naruszenia
praw lub wolności osób fizycznych,
Administrator nie był zobowiązany
powiadomić osoby o zaistniałym
naruszeniu.
Podsumowując, rejestr naruszeń ochrony danych osobowych stanowi niezbędne narzędzie w procesie zarządzania ryzykiem związanym z danymi osobowymi. Pomaga w identyfikowaniu oraz reagowaniu na potencjalne zagrożenia, zapewniając pełną zgodność z obowiązującymi przepisami.
|