Naruszenia ochrony danych osobowych, to temat, który spędza sen z powiek niejednemu administratorowi danych, procesorowi czy Inspektorowi ochrony danych. Wystąpienia naruszeń obawiają się również pracownicy mający węższy bądź szerszy dostęp do danych.
W tym miejscu odpowiemy sobie krótko na podstawowe pytanie w tym zakresie, czyli czym jest to naruszenie ochrony danych osobowych.
RODO definicja
Termin zdefiniowano w art. 4 ust. 12 Ogólnego rozporządzenia o ochronie danych:
„naruszenie ochrony danych osobowych” – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”
RODO praktyka
Formuła definicji wskazanej w RODO jest bardzo szeroka. Oczywiście gdzieś tutaj trzeba postawić zdroworozsądkową granicę. Jeżeli obejrzymy sobie raport z oprogramowania antywirusowego, to znajdziemy dziennie co najmniej kilkadziesiąt prób ataku na nasze zasoby IT (dot. komputerów, serwerów, stron internetowych).
Czy każde z tych zdarzeń z osobna powinniśmy potraktować jako naruszenia ochrony danych osobowych? Jeśli pójdziemy tą drogą, to nasza praca będzie sprowadzała się głównie do analizowania incydentów RODO.
Spójrzmy jeszcze raz na przytoczoną w poprzednim akapicie definicję. Jasno wskazuje nam ona, że abyśmy mogli mówić o naruszeniu ochrony danych osobowych spełnione muszą zostać wszystkie z trzech opisanych warunków, tj.:
- naruszenie musi dotyczyć danych osobowych,
- skutkiem naruszenia jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych,
- naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Nieudany atak hakerski nie będzie zatem naruszeniem ochrony danych osobowych – nie doszło do przełamania zabezpieczeń. Podobnie będzie z kradzieżą sformatowanego laptopa. Skradziony sprzęt nie zawierał bowiem żadnych danych osobowych.
Jeżeli jednak haker pokona nasze zabezpieczenia i uzyska nieuprawniony dostęp do danych osobowych, to wszczęta powinna zostać procedura reagowania na incydenty RODO.
Postępowanie z naruszeniami ochrony danych osobowych – praktyczny pakiet procedur, szablonów i instrukcji
Przygotowaliśmy dla Ciebie kompleksowy pakiet wytycznych w zakresie zarządzania naruszeniami ochrony danych osobowych w organizacji.
Nasze dokumenty zostały opracowane w taki sposób, aby ich dostosowanie do działalności Twojej organizacji było jak najbardziej intuicyjne i proste.
Mamy naruszenie – co dalej?
- Jeśli już stwierdzimy naruszenie ochrony danych osobowych, to konieczna będzie m.in. ocena ryzyka naruszenia praw i wolności osób, których danych to zdarzenie dotyczy.
- Po wykonaniu oceny, że incydent skutkuje takim ryzykiem to o jego wystąpieniu musimy poinformować UODO.
- Jeśli ryzyko takie jest na poziomie wysokim, to dodatkowo powinniśmy poinformować o nim także te osoby.
Każdorazowe wszczęcie procedury reagowania na incydent, będzie wymagało od nas przeprowadzenia wielu różnych czynności.
Temu jak radzić sobie z naruszeniami RODO poświęciliśmy cały cykl artykułów na naszym blogu:
- Ups… mamy naruszenie ochrony danych osobowych,
- Zgłoszenie naruszenia RODO do Urzędu Ochrony Danych Osobowych,
Zgłaszanie naruszenia ochrony danych osobowych osobom poszkodowanym
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.