Kiedy stosuje sie zgloszenie naruszenia ochrony danych osobowych i co zrobic dalej

Zgloszenie naruszenia ochrony danych osobowych to dla zespolow SaaS proces operacyjny. Gdy incydent moze dotyczyc danych osobowych, nalezy otworzyc rejestr oceny, potwierdzic systemy, wyznaczyc wlascicieli i zapisac znane oraz brakujace fakty.

Artykul 33 GDPR wymaga, aby administrator zglosil naruszenie organowi bez zbednej zwloki i, o ile to mozliwe, w ciagu 72 godzin od uzyskania wiedzy, chyba ze ryzyko dla praw i wolnosci osob jest malo prawdopodobne. Podmiot przetwarzajacy musi poinformowac administratora bez zbednej zwloki. Artykul 34 wymaga osobnej komunikacji do osob, gdy istnieje wysokie ryzyko.

Najpierw sprawdz, czy sa dane osobowe, czy istnieje ryzyko lub wysokie ryzyko oraz jaka role firma pelni dla kazdego zbioru danych. Dostawca SaaS moze byc administratorem dla danych konta i procesorem dla danych klienta.

Rejestr powinien obejmowac czas wykrycia, moment wiedzy, systemy, kategorie danych, osoby lub rekordy, dostawcow, ograniczenie skutkow, prawdopodobne konsekwencje, srodki naprawcze i decyzje o zgloszeniu. Obowiazki klienta z DPA i umow powinny byc widoczne w tym samym procesie.

Organ, osoby, klienci i zespoly wewnetrzne potrzebuja innych komunikatow. Ocena ryzyka i wysokiego ryzyka powinna byc oddzielna.

Typowe bledy to czekanie na pewnosc, bledne mapowanie rol, mylenie ryzyka z wysokim ryzykiem, nadmierna wiara w szyfrowanie lub containment oraz rozproszone dowody. Dobry workflow laczy incident response, prywatnosc, klientow i remediation.

FAQ

Czy kazde naruszenie trzeba zglaszac?

Nie. Jesli ryzyko dla osob jest malo prawdopodobne, zgloszenie do organu moze nie byc wymagane. Decyzje i powody nalezy udokumentowac.

Co dokumentowac najpierw?

Os czasu, dane, role GDPR, klientow, ograniczenie skutkow, ocene ryzyka, decyzje i dzialania naprawcze.