Przepisy Rozporządzenia o ochronie danych osobowych nakładają na administratora obowiązki związane ze stwierdzeniem naruszeń ochrony danych osobowych. Administrator ma 72 godziny na zgłoszenie do organu nadzorczego naruszenia bezpieczeństwa danych osobowych. Jednak nie wszystkie incydenty podlegają temu obowiązkowi.
Jakie to są dane osobowe?
Aby w pełni określić czym jest naruszenie ochrony danych osobowych, w pierwszej kolejności powinniśmy zdefiniować same dane osobowe.
Dane osobowe to zgodnie z art. 4 pkt 1 RODO wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Warto zaznaczyć, że określenie wszelkie informacje jest bardzo szerokie. Obok podstawowy i technicznych informacji, takich jak dane kontaktowe, dane identyfikacyjne czy dane adresowe, może obejmować także subiektywne opinie i oceny.
Dane osobowe identyfikują osobę fizyczną lub też umożliwiają jej identyfikację. Oznacza to, że pozwalają odróżnić ją od pozostałych członków określonej grupy lub nie przeprowadzono jeszcze procesu identyfikacji, ale jest to możliwe.
Pomoc / konsultacje RODO:
Na czym polega naruszenie RODO?
Pojęcie naruszania zostało zdefiniowane w art. 4 pkt 12 RODO jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Kiedy można złamać RODO?
Rozporządzenie RODO określa, że naruszenie dotyczy danych osobowych, które są przesyłane przechowywane lub w inny sposób przetwarzane przez podmiot.
Jest to takie działanie, które skutkować będzie zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem do danych. Działanie to wynika ze złamania zasad bezpieczeństwa danych osobowych, które są ustalone lub powinny być ustalone w organizacji.
Rozporządzenie mówi o 3 typach naruszenia:
- naruszenie poufności, czyli ujawnienie danych osobowych nieuprawnionej osobie,
- naruszenie dostępności, czyli spowodowanie trwałej utraty lub zniszczenia danych osobowych,
- naruszenie integralności, czyli nieuprawniona zmiana treści danych przetwarzanych przez administratora
Co zaliczamy do naruszenia ochrony danych osobowych?
Teoria określa co to jest naruszanie danych osobowych, przykłady natomiast pozwolą nam zrozumieć w jakich sytuacjach powinniśmy przyjąć określone działania.
Naruszeniem ochrony danych osobowych mogą być następujące zdarzenia:
- utrata nośnika danych, na przykład zgubienie pendrive’a lub dokumentacji papierowej,
- utrata dostępu do danych spowodowana błędami technicznymi systemu informatycznego lub sprzętu informatycznego przy jednoczesnym nieposiadaniu kopii zapasowych danych,
- przypadkowe udostępnienie danych poprzez wysłanie korespondencji pod niewłaściwy adres email lub adres doręczenie jej niewłaściwemu adresatowi,
- przypadkowe lub celowe bezpowrotne usunięcie danych osobowych z określonego zbioru, na przykład z bazy danych,
- przypadkowa lub celowa modyfikacja znaków przy danych osobowych, która zmieni ich brzmienie, na przykład w dokumentacji papierowej zebranych w formularzach, dokumentach lub w bazie danych, na przykład klientów.
Powyższe przykłady stanowią katalog otwarty oznacza to, że sytuacji powodujących naruszenie ochrony danych osobowych może być wiele. Administrator lub podmiot przetwarzający powinien w taki sposób zabezpieczyć dane, aby jak najskuteczniej zminimalizować ryzyko wystąpienia incydentu.
Kiedy należy zgłosić naruszenie RODO?
Kluczowym działaniem jakie powinien podjąć administrator jest przeanalizowanie każdego incydentu związanego z danymi osobowymi. W zależności od wniosków konieczne może okazać się podjęcie dalszych działań. Chodzi tutaj w szczególności o zgłoszenie naruszenia do organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych.
Zgodnie z art. 33 ust 1 RODO, naruszenie ochrony danych osobowych powinno zostać zgłoszone przez administratora w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Odstępstwem od powyższego jest sytuacja, gdzie mało prawdopodobnym jest by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Bowiem nie każde naruszenie ochrony danych osobowych wiąże się z naruszeniem bezpieczeństwa danych. Obowiązek zgłoszenia, o którym mowa wyżej dotyczy tylko tych naruszeń, które stanowią naruszenia bezpieczeństwa danych.
Co zrobić w przypadku ujawnienia danych osobowych?
Co stanowi naruszenie RODO
Obowiązkiem administratora jest dokładne wyjaśnienie przyczyn zaistniałego naruszenia. Należy ustalić czy zdarzenie było związane z błędem systemowym, stosowanymi narzędziami czy generalnie zabezpieczeniami, czy też jest wynikiem błędu ludzkiego lub ataku z zewnątrz.
Rozporządzenie o ochronie danych osobowych nie przewiduje szczególnego sposobu oceny naruszenia. Administrator ma zatem pełną dowolność w wyborze metodyki przeprowadzenia oceny.
Jeden z mechanizmów przeprowadzania oceny naruszenia został zaproponowany przez Grupę Roboczą art. 29 (obecnie EROD), która w swoich wytycznych zaleca aby ocena ryzyka dla osób fizycznych związana z naruszeniem uwzględniała następujące kryteria:
- rodzaj naruszenia
- charakter wrażliwość i rozmiar danych
- łatwość identyfikacji osób fizycznych
- waga konsekwencji dla osób fizycznych
- cechy szczególne osób fizycznych
- liczbę osób poszkodowanych
- ogólne ogólna ocena okoliczności naruszenia.
Analiza zdarzenia powinna także prowadzić do przeglądu procedur organizacyjnych, a także wdrożonych rozwiązań. Często niezbędnym okazać się może także modyfikacja niektórych procedur oraz zaimplementowanie innych dodatkowych lub zastępujących poprzednie rozwiązań tak, aby móc zapobiec występowaniu takich sytuacji w przyszłości.
Administrator zobowiązany jest także do zarejestrowania zdarzenia w rejestrze naruszeń danych osobowych.
