Lista kontrolna zgłaszania naruszeń ochrony danych osobowych
- Prawo
dane
- Kategoria
lista
- Instrukcja
Należy rozpocząć od uzupełnienia danych firmy, adresu oraz numeru NIP na końcu dokumentu. Następnie należy uzupełnić pola [URZĄD], [PRZEPIS] oraz [OKRES] odpowiednimi danymi. W sekcji I, dla każdego pytania, należy przeanalizować incydent i odpowiedzieć TAK lub NIE, zaznaczając odpowiednią kolumnę. W przypadku odpowiedzi TAK, należy upewnić się, że rozumiemy rekomendacje. W przypadku odpowiedzi NIE, należy upewnić się, że incydent został wpisany do wewnętrznego rejestru. W pytaniach 3, 4 i 5 należy uzupełnić przykłady naruszeń, opisując konkretne sytuacje, które miały miejsce, używając podanych placeholderów. W sekcji II, dla każdego pytania, należy ocenić ryzyko naruszenia praw i wolności osób, których dane dotyczą, i odpowiedzieć TAK lub NIE, zaznaczając odpowiednią kolumnę. Należy pamiętać, że ocena ryzyka powinna być udokumentowana. W pytaniach 6, 7 i 8 należy uzupełnić rodzaje szkód, jakie mogą wyniknąć z naruszenia. W sekcji III, dla każdego pytania, należy sprawdzić, czy administrator danych wypełnił obowiązki i zaznaczyć TAK lub NIE. W przypadku odpowiedzi NIE, należy podjąć niezbędne działania. W pytaniu 12 należy opisać, jak zgłasza się naruszenia do urzędu. Po wypełnieniu listy kontrolnej należy zachować ją jako dowód wykonania analizy i podjętych działań.
- Dane
Lista kontrolna zgłaszania naruszeń ochrony danych osobowych jest narzędziem służącym określeniu, czy incydent stanowi naruszenie ochrony danych oraz czy wymaga zgłoszenia do odpowiednich organów. Dokument ten zawiera precyzyjne pytania oraz rekomendacje dotyczące postępowania w przypadku naruszeń danych osobowych.
LISTA KONTROLNA
ZGŁASZANIE NARUSZEŃ
Założenia:
1. Lista kontrolna ma na celu określenie:
a) czy naruszenie bezpieczeństwa (incydent rozumiany jako zdarzenie w wyniku, którego doszło do utraty albo zwiększenia ryzyka ujawnienia lub utraty informacji) stanowi naruszenie ochrony danych,
b) czy naruszenie należy zgłosić [URZĄD],
c) czy administrator wykonuje obowiązki wynikające z [PRZEPIS], związane z naruszeniami ochronami danych osobowych.
Lp | Pytanie | Rekomendacje | Odpowiedź „TAK” | Odpowiedź „NIE”
---|---|---|---|---|
SEKCJA I – CZY MAMY OBOWIĄZEK ZGŁOSZENIA NARUSZENIA ORAZ CZY INCYDENT STANOWI NARUSZENIE OCHRONY DANYCH OSOBOWYCH?
1 | Czy incydent dotyczy danych osobowych? | Podlega obowiązkowi zgłoszenia naruszenia jeśli spełnia warunki wskazane w sekcji II. | | Nie podlega obowiązkowi zgłoszenia.
2 | Czy jesteśmy administratorem danych, których dotyczyło naruszenie? | Istnieje obowiązek zgłoszenia jeśli naruszenie spełnia warunki wskazane w sekcji II. | | Nie mamy obowiązku zgłaszania. Jeśli jesteśmy podmiotem przetwarzającym mamy obowiązek współpracy z administratorem danych.
3 | Czy w wyniku incydentu doszło do utraty dostępu do danych (utrata dostępności)? Np.: a) [PRZYKŁAD] [OPIS] (możliwa czasowa niedostępność), b) [PRZYKŁAD] danych, c) [PRZYKŁAD] dokumentów. | Incydent stanowi naruszenie ochrony danych osobowych. Istnieje obowiązek zgłoszenia naruszenia (możliwa sekcja II). | | Incydent nie stanowi naruszenia ochrony danych osobowych. Nie mamy obowiązku zgłoszenia, należy wpisać do wewnętrznego rejestru.
4 | Czy w wyniku incydentu doszło do nieuprawnionego ujawnienia danych (utrata poufności)? Np.: a) [PRZYKŁAD] [OPIS] adresata, b) [PRZYKŁAD] [OPIS] lub [OPIS] przed nieuprawnionym dostępem [OPIS] danych, c) [PRZYKŁAD] danych w wyniku [OPIS] zniszczenia dokumentów [OPIS] lub [OPIS] nośników danych. | Incydent stanowi naruszenie ochrony danych osobowych. Istnieje obowiązek zgłoszenia naruszenia. | | Incydent nie stanowi naruszenia ochrony danych osobowych. Nie mamy obowiązku zgłoszenia, należy wpisać do wewnętrznego rejestru.
5 | Czy w wyniku incydentu doszło do nieuprawnionej modyfikacji danych (utrata integralności)? Np.: a) [PRZYKŁAD] [OPIS]. b) [PRZYKŁAD] w trakcie [OPIS] danych do systemu c) [PRZYKŁAD] danych [OPIS] do danych [OPIS]. | Incydent stanowi naruszenie ochrony danych osobowych. Istnieje obowiązek zgłoszenia naruszenia jeśli spełnia warunki sekcji II. | | Incydent nie stanowi naruszenia ochrony danych osobowych. Nie mamy obowiązku zgłoszenia, należy wpisać do wewnętrznego rejestru.
SEKCJA II – CZY NARUSZENIE NALEŻY ZGŁOSIĆ DO [URZĄD]?
6 | Czy naruszenie ochrony danych osobowych może skutkować [RODZAJ SZKODY] dla osób fizycznych, których dane naruszono? | Naruszenie ochrony danych osobowych może wiązać się z ryzykiem naruszenia praw i wolności osób fizycznych wymagającym zgłoszenia do [URZĄD] (w zależności od wyników przeprowadzonej oceny ryzyka). | | Naruszenie nie wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych. Nie podlega zgłoszeniu do [URZĄD].
7 | Czy naruszenie ochrony danych osobowych może skutkować [RODZAJ SZKODY] dla osób fizycznych, których dane naruszono? | Naruszenie ochrony danych osobowych może wiązać się z ryzykiem naruszenia praw i wolności osób fizycznych wymagającym zgłoszenia do [URZĄD] (w zależności od wyników przeprowadzonej oceny ryzyka). | | Naruszenie nie wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych. Nie podlega zgłoszeniu do [URZĄD].
8 | Czy naruszenie ochrony danych osobowych może skutkować [RODZAJ SZKODY] dla osób fizycznych, których dane naruszono? | Naruszenie ochrony danych osobowych może wiązać się z ryzykiem naruszenia praw i wolności osób fizycznych wymagającym zgłoszenia do [URZĄD] (w zależności od wyników przeprowadzonej oceny ryzyka). | | Naruszenie nie wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych. Nie podlega zgłoszeniu do [URZĄD].
SEKCJA III – OBOWIĄZKI ADMINISTRATORA
9 | Czy Administrator dokumentuje wszelkie naruszenia danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze? | Administrator danych wypełnił obowiązek w związku z naruszeniem ochrony danych osobowych przewidziany w [PRZEPIS]. | | Administrator musi zrealizować obowiązek wynikający z [PRZEPIS].
10 | Czy Administrator zobowiązał podmiot przetwarzający do niezwłocznego powiadomienia go o zaistnieniu naruszenia oraz wsparcia w zbieraniu informacji dotyczących naruszenia? | Administrator danych wypełnił obowiązek w związku z naruszeniem ochrony danych osobowych przewidziany w [PRZEPIS]. | | Administrator musi zobowiązać podmiot przetwarzający do przekazywania informacji na temat naruszenia w zakresie umożliwiającym prawidłową ocenę naruszenia.
11 | Czy Administrator prowadzi wewnętrzną ewidencję naruszeń? | Administrator danych wypełnił obowiązek w związku z naruszeniem ochrony danych osobowych przewidziany w [PRZEPIS]. | | Administrator musi zrealizować obowiązek wynikający z [PRZEPIS].
12 | Czy Administrator zgłasza naruszenia [URZĄD] [OPIS] (jeśli taki obowiązek wynika z analizy ryzyka)? | Administrator danych wypełnił obowiązek w związku z naruszeniem ochrony danych osobowych przewidziany w [PRZEPIS]. | | Administrator musi zrealizować obowiązek wynikający z [PRZEPIS].
13 | Czy Administrator dokonał zgłoszenia w [OKRES]? | Administrator danych wypełnił obowiązek w związku z naruszeniem ochrony danych osobowych przewidziany w [PRZEPIS]. | | Administrator musi zgłosić naruszenie oraz dodatkowo wyjaśnić przyczyny opóźnienia.
14 | Czy w przypadku wysokiego ryzyka naruszenia praw lub wolności podmiotu danych (w oparciu o przeprowadzoną wcześniej analizę ryzyka) Administrator powiadamia osoby, których dane dotyczą, o naruszeniu? | Administrator danych wypełnił obowiązek w związku z naruszeniem ochrony danych osobowych przewidziany w [PRZEPIS]. | | Administrator musi zrealizować obowiązek wynikający z [PRZEPIS].
15 | Czy Administrator podejmuje działania mające na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości? | Administrator danych wypełnił obowiązek w związku z naruszeniem ochrony danych osobowych przewidziany w [PRZEPIS]. | | Administrator musi zrealizować obowiązek wynikający z [PRZEPIS].
[FIRMA]
[ADRES]
[NIP]
Dokument 'Lista kontrolna zgłaszania naruszeń ochrony danych osobowych' zawiera szczegółowe kryteria określające, kiedy incydent dotyczący danych osobowych powinien być zgłoszony, a kiedy można zastosować procedury wewnętrzne. Jest to istotne narzędzie dla administratorów danych dbających o zgodność ze standardami ochrony danych osobowych.