fbTrack
REKLAMA
REKLAMA

Firma

Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych

Fotorzepa, Grzegorz Zawisz
Brak dostępu administratora do danych osobowych jest także naruszeniem ochrony danych – przypomina UODO w specjalnym materiale informacyjnym.

Od 25 maja 2018 r. do 25 maja 2019 r. administratorzy, realizując obowiązek wynikający z art. 33 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO), zgłosili Prezesowi Urzędu Ochrony Danych Osobowych 4 539 naruszeń ochrony danych osobowych.

Dwie trzecie zgłoszeń pochodziło od administratorów z sektora prywatnego, a jedna trzecia od administratorów z sektora publicznego. W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od firm: telekomunikacyjnych, ubezpieczeniowych, finansowych, banków oraz służby zdrowia. W sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały jednostki samorządu terytorialnego, szkoły, przedszkola, żłobki oraz placówki służby zdrowia.

Ocena ryzyka sprawia kłopot

Z rocznych doświadczeń Urzędu Ochrony Danych Osobowych wynika, że administratorzy w dalszym ciągu mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych, o którym stanowi art. 33 RODO. A tak jest choćby w przypadku utraty dostępu do danych, które się przetwarza. Z taką sytuacją natomiast można mieć do czynienia w przypadku zainfekowania systemu wirusem ransomware, który szyfruje np. dostęp do całych baz danych, a niekiedy ich kopii zapasowych.

UODO zapewnia, że wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – Urząd nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych.

Również spotkania z innymi podmiotami eksperckimi, jak CSIRT NASK, służą wymianie doświadczeń i informacji oraz doskonaleniu praktyk w zakresie wykrywania oraz zapobiegania występowaniu naruszeń związanych z infrastrukturą informatyczną.

Doświadczenia z pierwszego roku stosowania przepisów RODO w zakresie naruszeń ochrony danych osobowych oraz wypracowane na podstawie tych doświadczeń wskazówki dla administratorów i inspektorów ochrony danych zawarliśmy w specjalnym materiale zatytułowanym „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych" (pdf).

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Trzeba jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Źródło: rp.pl
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA
REKLAMA