Mówiąc o naruszeniach bezpieczeństwa danych osobowych możemy wyróżnić dwie grupy incydentów: umyślne i losowe. W pierwszej grupie znajdziemy działania podejmowane przez ludzi świadomie, wbrew prawu. Z kolei zdarzenia losowe, czy to wewnętrzne czy zewnętrzne, nie zawsze zależą od ludzi. Bez względu jednak na ich rodzaj, większość tzw. incydentów bezpieczeństwa można przewidzieć. I warto się na tym zastanowić, bo po 25 maja 2018 r. na przedsiębiorców spadnie szczególna odpowiedzialność.
Pomyłka lub ignorancja
RODO w art. 4 ust. 12 definiuje naruszenie bezpieczeństwa przetwarzanych danych osobowych, określając je jako „prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych." Mamy więc jasno określony szeroki katalog incydentów dotyczących przetwarzanych danych, które powodują automatycznie powstanie naruszenia.
Jak wynika z doświadczenia administratorów danych, najtrudniejsze do przewidzenia są te incydenty, które wynikają z ludzkich pomyłek i braku świadomości. Aby w banalny sposób doszło do incydentu w ochronie danych osobowych, wystarczy...
1) Źle zaadresowana korespondencja elektroniczna
Używane w skrzynkach poczty elektronicznej adresy mogą być zapisywane w pamięci podręcznej, dzięki czemu aplikacja podpowiada adres mailowy. Nie zawsze jest on weryfikowany przez wysyłających maile. W efekcie braku weryfikacji adresu korespondencja może trafić do nieuprawnionego odbiorcy.