Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych

09.08.2023
Autor: Szymon Wróbel
News

Naruszenie bezpieczeństwa danych osobowych

Jednym z obowiązków jakie RODO nakłada na administratorów jest stosowanie odpowiednich środków technicznych i organizacyjnych, gwarantujących odpowiedni poziom ochrony danych osobowych, w szczególności chroniący przed nieuprawnionym lub bezprawnym dostępem do danych, a także przed przypadkową ich utratą, zniszczeniem lub uszkodzeniem.

Powyższy obowiązek dotyczy także procesorów, którzy stosownie do zakresu powierzenia – a więc charakteru przetwarzania, rodzaju danych i kategorii podmiotów, których te dane dotyczą – powinni zgodnie z art. 32 RODO wdrożyć środki zapewniające odpowiedni poziom ochrony. Jest to jeden z podstawowych obowiązków procesora wynikający także z umowy powierzenia przetwarzania.

Wytyczne 01/2021 Europejskiej Radych Ochrony Danych (EROD) w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych zawierają szereg wskazówek i kryteriów postępowania jakimi powinny się kierować podmioty przetwarzające dane w sytuacji wystąpienia naruszenia ochrony danych osobowych.

Analiza ryzyk

Ocena czy zastosowano odpowiednie środki techniczne i organizacyjne jest elementem analizy ryzyka, która powinna zostać przeprowadzona przez każdy podmiot przetwarzający dane. Ochrona danych osobowych nie ma jednak charakteru absolutnego – podmiot prowadzący taką analizę powinien uwzględnić również stan wiedzy technicznej i koszty wdrażania środków ochrony, a nie tylko same okoliczności dotyczące przetwarzania, jak zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Środki techniczne powinny zapewniać nie tylko ochronę danych, ale umożliwiać stwierdzenie czy doszło do jej naruszenia i zapewnić możliwość reakcji na naruszenie ochrony danych osobowych, tak aby podmiot mógł spełnić nałożone na niego obowiązki w zakresie np. notyfikacji incydentu w ciągu 72 godzin. Zasady przeciwdziałania naruszeniom I postępowanie w przypadku ich wystąpienia powinno być elementem procedury obowiązującej w podmiocie, która określi zasady postępowania, analizę samego naruszenia, jak i kroki jakie należy podjąć.

Definicja naruszenia ochrony danych osobowych

Naruszeniem ochrony danych osobowych jest każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.

Jak wskazuje EROD, przez zniszczenie należy rozumieć utratę danych lub taką zmianę ich formy, iż nie są one już dla administratora zdatne do wykorzystania (odczytania). W odróżnieniu od zniszczenia, w przypadku utracenia dane nadal istnieją, ale administrator straciło do nich dostęp – czy to przez utratę danych dostępowych, czy zagubienie nośnika. Modyfikacja polega na nieodwracalnej i niezamierzonej zmianie danych przez co nie są prawidłowe. Wreszcie, przez nieuprawniony dostęp lub nieuprawnione ujawnienie danych należy rozumieć okoliczność, w której przetwarzania danych (jakiejkolwiek czynności na danych) dokonuje osoba, która nie ma do tego upoważnienia.

W związku z wystąpieniem naruszenia administrator lub procesor, stosownie do swojej roli i obowiązków wynikających z RODO muszą niezwłocznie podjąć działania zmierzające do przeciwdziałania skutkom naruszenia, do ustalenia jego przyczyn i okoliczności wystąpienia, a w przypadku administratora – przeprowadzić analizę spełnienia przesłanek kwalifikujących naruszenie ochrony danych osobowych do zgłoszenie PUODO oraz zawiadomienia osób, których dotyczyło.

Podmiot przetwarzający zgodnie z umową powierzenia przetwarzania danych osobowych i art. 28 ust. 3 RODO powinien niezwłocznie zawiadomić administratora o stwierdzonym naruszeniu i w miarę możliwości wesprzeć go w ustaleniu okoliczności i przeprowadzaniu analizy skutków naruszenia.

Jeżeli administrator nie zrealizuje obowiązków związanych z notyfikacją naruszenia, organ nadzorczy ma prawo do zastosowania jednego ze środków wskazanych w art. 58 RODO, z nałożeniem kary administracyjnej włącznie. Prezes Urzędu Ochrony Danych Osobowych może m.in. nałożyć administracyjną karę pieniężną w wysokości do 10 milionów euro lub 2% całkowitego światowego obrotu. Należy jednak zwrócić uwagę, iż fakt wystąpienia naruszenia ochrony danych lub jego przeoczenie wiąże się często z naruszeniem również innych obowiązków administratora, w szczególności w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych pozwalających na zapobieganie naruszeniom i ich sprawne wykrywanie. Organ nadzorczy w przypadku gdy administrator narusza szereg obowiązków nałożonych na niego w RODO odpowiednio zwiększy wysokość kary administracyjnej stosownie do wagi i liczby naruszonych obowiązków.

Termin

Jak zostało wskazane wcześniej, administrator ma stosunkowo krótki termin na analizę naruszenia i dokonanie zgłoszenia – zgodnie z art. 33 RODO jest to termin 72 godzin. Sposób liczenia terminów w prawie europejskim określa Rozporządzenie 1182/71, zgodnie z którym termin liczony w godzinach rozpoczyna się od kolejnej pełnej godziny i kończy się z upływem ostatniej. Jeśli więc naruszenie zostało stwierdzone w poniedziałek o 15:14 to termin na jego zgłoszenie upłynie w środę o 17:00 – zgłoszenia można dokonać do 16:59 włącznie. Jeśli natomiast naruszenie zostało stwierdzone w czwartek o 14:59, to zgłoszenia należy dokonać najpóźniej do godziny 15:59 w niedzielę.

Wspomniane rozporządzenie nie pozwala na przedłużenie terminu do kolejnego dnia roboczego jak ma to miejsce w polskich procedurach. Nawet w przypadku gdy całe 72 godziny będzie przypadać na dni wolne od pracy, formalnie administrator zobowiązany jest do dokonania zgłoszenia najpóźniej w ciągu tego terminu.

Termin jest liczony z uwzględnieniem nie tyle faktu wystąpienia naruszenia, ale momentu stwierdzenia naruszenia przez administratora, Przyjmuje się, że administrator stwierdza naruszenie w sytuacji, gdy ma uzasadnione podstawy (potwierdził), iż doszło do naruszenia bezpieczeństwa i że dotyczyło ono danych osobowych. Takie same zasady dotyczą procesora. Co jeśli to procesor zawiadamia administratora o stwierdzonym naruszeniu? Od kiedy biegnie termin na zgłoszenie? Europejska Rada Ochrony Danych wyraziła pogląd, iż przekazanie administratorowi przez procesora zawiadomienia o stwierdzonym naruszeniu powoduje, że od momentu otrzymania tej informacji administrator wie o naruszeniu i rozpoczyna bieg siedemdziesięciodwugodzinny termin na zgłoszenie naruszenia.

Podsumowanie

Naruszenia ochrony danych osobowych są jedną z najczęstszych przyczyn nakładania kar administracyjnych na administratorów danych i procesorów. Dzieje się tak dlatego, iż w postępowaniu związanym ze zgłoszeniem organ nadzorczy bada czy podmiot dostosował przetwarzanie do przepisów RODO, spełniając szereg wymogów mających m.in. przeciwdziałać naruszeniu, a fakt wystąpienia naruszenia często jest związany właśnie z tym, iż administrator nie dołożył należytej staranności przy przetwarzaniu danych.

Autor

Szymon Wróbel

Radca prawny, specjalista z zakresu ochrony danych z wieloletnią praktyką.
Ukończył prawo na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Doświadczenie zawodowe zdobywał we własnej kancelarii, świadcząc usługi na rzecz przedsiębiorców m.in. z branży nieruchomości, e-commerce, nowych technologii oraz podmiotów leczniczych. Autor artykułów branżowych oraz prelegent licznych szkoleń m.in. z zakresu danych osobowych.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>