Incydent naruszenia bezpieczeństwa danych osobowych

Nie każde wadliwe wypełnianie obowiązków praw administratora danych, czy też niewłaściwa realizacja uprawnień przysługujących podmiotom danych, będzie stanowiło incydent naruszenia danych osobowych.

Zgodnie z definicją zawartą w art. 4 pkt. 12 RODO, naruszeniem ochrony danych będzie naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Aby mówić więc o naruszeniu, musi dojść do skutku przewidzianego w powyższej definicji. Taka sytuacja będzie wymagała od administratora danych konkretnych zachowań.

Po pierwsze, administrator danych musi dokonać oceny skutków naruszenia dla ochrony danych. Niezbędne będzie przeanalizowanie charakteru, zakresu, kontekstu i celów przetwarzania. Ocena skutków posiadać ma konkretną, ustaloną przepisami RODO konstrukcję i ma na celu zminimalizowanie ryzyka wystąpienia naruszenia bezpieczeństwa ochrony danych. Administrator musi pamiętać również o obowiązku notyfikacji – zgłoszeniu incydentu naruszenia bezpieczeństwa danych do PUODO (następcy GIODO). Koniecznym może okazać się także powiadomienie podmiotów danych o zaistniałym naruszeniu bezpieczeństwa.

Nie wszystkie naruszenia będą wymagać zgłoszeń do PUODO czy też powiadamiania o naruszeniu osób, których dane dotyczą. Każdorazowo jednak należy taką ewentualność wziąć pod uwagę, a czynnikiem pomagającym w decyzji o zgłoszeniu, ma być dla administratora możliwość powodująca, by to naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tak więc, to na administratorze spoczywa decyzja o tym, które naruszenia bezpieczeństwa danych będzie zgłaszał (pamiętając jednocześnie o przewidzianej w RODO możliwości sankcji za brak zgłoszeń o naruszeniach powodujących wysokie ryzyko naruszania praw i wolności osób fizycznych) do PUODO, oraz o których będzie informował podmioty danych.

Angelika Niezgoda

Autor

Angelika Niezgoda

Pełni funkcje doradcze z zakresu ochrony danych osobowych dla klientów Audytel S.A. Obecnie jest Administratorem Bezpieczeństwa Informacji, prowadzi audyty bezpieczeństwa danych i czuwa nad wdrożeniem procedur. Posiada certyfikat Inspektora Ochrony Danych (TUV SUD) i znajomość normy ISO 27001.

więcej informacji w zakładce O Nas >>

Z tej samej kategorii

Kategorie