Jakie naruszenia należy wpisywać do wewnętrznej ewidencji?
Art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie „wszelkich naruszeń” oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. art. 4 pkt 12 RODO. W ewidencji powinny zatem się znaleźć zarówno naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałyby one ryzykiem naruszenia praw lub wolności osób fizycznych.
Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora.
Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie tych obowiązków.
Grupa Robocza Art. 29 podkreśla również, że w przypadku podjęcia decyzji o niezgłoszeniu naruszenia, wskazane jest udokumentowanie takiego faktu w ewidencji wraz z podaniem przyczyny, dla której administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne.
Jeżeli chodzi o sposób prowadzenia ewidencji, Grupa Robocza Art. 29 podkreśla, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, jeżeli informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie.
Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.
