Naruszenie ochrony danych – obowiązki administratora

11 września 2019

Naruszenie ochrony danych osobowych wymaga podjęcia przez administratora określonych kroków, aby jak najszybciej zminimalizować ryzyko negatywnych skutków zdarzenia i w razie potrzeby im zaradzić. UODO opublikował przewodnik po całym procesie. Przyjrzyjmy się mu bliżej.

Naruszenie ochrony danych – definicja

Zacytujmy fragment rozporządzenia definiujący pojęcie naruszenia.

„Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” 

Aby zdarzenie rzeczywiście można było nazwać naruszeniem, zaistnieć muszą trzy czynniki. Mianowicie:

  • musi ono dotyczyć danych osobowych przetwarzanych przez dany podmiot,
  • skutki to zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub uzyskanie dostępu przez osobę do tego nieuprawnioną,
  • powodem naruszenia było nieprzestrzeganie zasad bezpieczeństwa.

Rodzaje naruszeń

Naruszenie ochrony danych może mieć różny charakter, dlatego dokonano klasyfikacji. I tak dzielimy je na:

  • naruszenie poufności – gdy dane ujawnione zostaną osobie nieuprawnionej do posiadania w nie wglądu
  • naruszenie dostępności – gdy administrator czasowo lub trwale utraci dostęp do danych (Ale nie każdy czasowy brak dostępności oznacza naruszenie! Nie zawsze stwarza on ryzyko dla osób przetwarzanych.)
  • naruszenie integralności – gdy dane zostaną nieprawnie zmodyfikowane

Naruszenie ochrony danych – zadania administratora

Administrator zobowiązany jest podjąć jak najszybsze działania, by zniwelować skutki naruszenia. Przede wszystkim dokonać musi oceny ryzyka, jakie zdarzenie to stwarza dla wolności i praw osób, których dane dotyczą. Naruszenie zgłosić należy do organu nadzorczego, w tym przypadku UODO, trzeba także powiadomić wszystkich, których dane podlegają naruszeniu. Administrator powinien także prowadzić wewnętrzną ewidencję naruszeń oraz wprowadzać procedury, które miałyby zapobiegać kolejnym naruszeniom w przyszłości. We wszystkich tych czynnościach liczy się czas reakcji i sprawność działania.

Na wypadek naruszeń, administratorzy powinni mieć przygotowaną procedurę postępowania.
Procedura taka powinna składać się z:

  • celu stosowania
  • zakresu stosowania
  • katalogu prawdopodobnych naruszeń
  • opisu etapów zarządzania naruszeniem
  • opisu postępowania pracowników administratora

Dokument ten ma sprawić, że możliwe będzie jak najszybsze podjęcia działania bez tracenia czasu na zastanawianie się, co robić w momencie, gdy doszło do naruszenia.

Na podstawie: https://uodo.gov.pl/pl/134/1029