Incydent naruszenia bezpieczeństwa danych osobowych
12.03.2018
Autor: Angelika Niezgoda
Nie każde wadliwe wypełnianie obowiązków praw administratora danych, czy też niewłaściwa realizacja uprawnień przysługujących podmiotom danych, będzie stanowiło incydent naruszenia danych osobowych.
Zgodnie z definicją zawartą w art. 4 pkt. 12 RODO, naruszeniem ochrony danych będzie naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Aby mówić więc o naruszeniu, musi dojść do skutku przewidzianego w powyższej definicji. Taka sytuacja będzie wymagała od administratora danych konkretnych zachowań.
Po pierwsze, administrator danych musi dokonać oceny skutków naruszenia dla ochrony danych. Niezbędne będzie przeanalizowanie charakteru, zakresu, kontekstu i celów przetwarzania. Ocena skutków posiadać ma konkretną, ustaloną przepisami RODO konstrukcję i ma na celu zminimalizowanie ryzyka wystąpienia naruszenia bezpieczeństwa ochrony danych. Administrator musi pamiętać również o obowiązku notyfikacji – zgłoszeniu incydentu naruszenia bezpieczeństwa danych do PUODO (następcy GIODO). Koniecznym może okazać się także powiadomienie podmiotów danych o zaistniałym naruszeniu bezpieczeństwa.
Nie wszystkie naruszenia będą wymagać zgłoszeń do PUODO czy też powiadamiania o naruszeniu osób, których dane dotyczą. Każdorazowo jednak należy taką ewentualność wziąć pod uwagę, a czynnikiem pomagającym w decyzji o zgłoszeniu, ma być dla administratora możliwość powodująca, by to naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tak więc, to na administratorze spoczywa decyzja o tym, które naruszenia bezpieczeństwa danych będzie zgłaszał (pamiętając jednocześnie o przewidzianej w RODO możliwości sankcji za brak zgłoszeń o naruszeniach powodujących wysokie ryzyko naruszania praw i wolności osób fizycznych) do PUODO, oraz o których będzie informował podmioty danych.
Autor
Angelika Niezgoda
Od kilku lat zajmuje się tematyką ochrony danych osobowych i bezpieczeństwa informacji. Jako certyfikowany Inspektor Ochrony Danych prowadzi audyty bezpieczeństwa danych i czuwa nad projektowaniem i wdrażaniem procedur ochrony danych osobowych zgodnych z wymogami RODO.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!