Incydent naruszenia bezpieczeństwa danych osobowych

naruszenie bezpieczeństwa danych osobowych

Nie każde wadliwe wypełnianie obowiązków praw administratora danych, czy też niewłaściwa realizacja uprawnień przysługujących podmiotom danych, będzie stanowiło incydent naruszenia danych osobowych.

Zgodnie z definicją zawartą w art. 4 pkt. 12 RODO, naruszeniem ochrony danych będzie naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Aby mówić więc o naruszeniu, musi dojść do skutku przewidzianego w powyższej definicji. Taka sytuacja będzie wymagała od administratora danych konkretnych zachowań.

Po pierwsze, administrator danych musi dokonać oceny skutków naruszenia dla ochrony danych. Niezbędne będzie przeanalizowanie charakteru, zakresu, kontekstu i celów przetwarzania. Ocena skutków posiadać ma konkretną, ustaloną przepisami RODO konstrukcję i ma na celu zminimalizowanie ryzyka wystąpienia naruszenia bezpieczeństwa ochrony danych. Administrator musi pamiętać również o obowiązku notyfikacji – zgłoszeniu incydentu naruszenia bezpieczeństwa danych do PUODO (następcy GIODO). Koniecznym może okazać się także powiadomienie podmiotów danych o zaistniałym naruszeniu bezpieczeństwa.

Nie wszystkie naruszenia będą wymagać zgłoszeń do PUODO czy też powiadamiania o naruszeniu osób, których dane dotyczą. Każdorazowo jednak należy taką ewentualność wziąć pod uwagę, a czynnikiem pomagającym w decyzji o zgłoszeniu, ma być dla administratora możliwość powodująca, by to naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tak więc, to na administratorze spoczywa decyzja o tym, które naruszenia bezpieczeństwa danych będzie zgłaszał (pamiętając jednocześnie o przewidzianej w RODO możliwości sankcji za brak zgłoszeń o naruszeniach powodujących wysokie ryzyko naruszania praw i wolności osób fizycznych) do PUODO, oraz o których będzie informował podmioty danych.

Angelika Niezgoda

Autor

Angelika Niezgoda

Od kilku lat zajmuje się tematyką ochrony danych osobowych i bezpieczeństwa informacji. Jako certyfikowany Inspektor Ochrony Danych prowadzi audyty bezpieczeństwa danych i czuwa nad projektowaniem i wdrażaniem procedur ochrony danych osobowych zgodnych z wymogami RODO.