Incydent w ochronie danych osobowych
pixabay.com
Autor Iga Marciniszyn - 3 Stycznia 2021

Incydent w ochronie danych osobowych

Mimo faktu, że od dłuższego czasu przepisy o ochronie danych osobowych są już obowiązującymi, ich poprawna interpretacja wciąż budzi wątpliwości. Przepisy RODO nakładają na podmioty obowiązek zabezpieczenia danych i wskazują niezbędne działania, które należy podjąć, gdyby doszło do naruszenia ochrony danych. Czy każdy incydent związany z naruszeniem bezpieczeństwa należy zgłosić?

Czym jest incydent w ochronie danych osobowych?

Każdy podmiot, który przetwarza dane osobowe, zobowiązany jest do przeanalizowania tego, jakie dane osobowe przetwarza, w jakim celu to robi oraz w jakim zakresie. Takie ustalenia są konieczne, by zgodnie z prawem podjąć działania pozwalające na wdrożenie zabezpieczeń niezbędnych ze względu na konieczność zapewnienia danym przetwarzanym i przechowywanym pełnego bezpieczeństwa. W praktyce, niestety, nawet największym korporacjom na świecie, które przeznaczają ogromne fundusze na ochronę danych, zdarzają się wpadki w postaci wycieku. Żaden, nawet najlepszy system, nie zagwarantuje stuprocentowej pewności co do bezpieczeństwa danych. Osoba, która przechowuje i przetwarza dane, musi być przygotowana na takie sytuacje. Wyróżniamy trzy grupy incydentów w ochronie danych:

  • incydenty umyślne, jak np. świadome niszczenie danych czy ich kradzież,
  • zdarzenia losowe wewnętrzne, np. awaria komputera czy pomyłki informatyków,
  • zdarzenia losowe zewnętrzne, np. związane z żywiołami czy utratą zasilania.

Czy każdy incydent z naruszeniem bezpieczeństwa to naruszenie danych?

Przepisy nakładają dokładne restrykcje związane z koniecznością zgłaszania incydentów bezpieczeństwa. Według przepisów RODO:

„Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych".

W związku z tym każdy incydent na danych, w wyniku którego dane zostaną zniszczone, utracone, zmodyfikowane, nieprawnie ujawnione lub nieprawnie udostępnione innemu podmiotowi powoduje naruszenie ochrony danych osobowych.

Zdarzenia, które określić można mianem incydentów bezpieczeństwa, muszą być oceniane przez pryzmat skutków, jakie mogą za sobą nieść. Jeśli incydent ten skutkuje jednym z wymienionych wyżej rezultatów, niezbędne jest podjęcie odpowiedniej reakcji na to wydarzenie.

Obowiązki administratora danych

Zgodnie z przepisami, w przypadku pojawienia się incydentu bezpieczeństwa administrator danych ma obowiązek powiadomić o ich naruszeniu osobę, której dotyczą dane oraz organ nadzorczy danych. Jednak przedsiębiorca ma obowiązek powiadomienia osoby, której dane dotyczą tylko w przypadku, gdy naruszenie ochrony danych może powodować znaczne ryzyko naruszenia praw lub wolności. Oznacza to wszystkie negatywne skutki, które incydent bezpieczeństwa może nieść za sobą wobec osoby, której dane są naruszone, np. możliwość popełnienia przestępstwa czy kradzież tożsamości. Powiadomienie takiej osoby powinno nastąpić bezzwłocznie po uzyskaniu informacji o wystąpieniu incydentu bezpieczeństwa. Takie zawiadomienie osoby, której dane dotyczą, należy wykazać przed organem nadzorczym.

Administrator nie ma konieczności zawiadamiania osoby fizycznej o incydencie bezpieczeństwa, gdy:

  • wdrożył wcześniej odpowiednie środki ochrony danych, których dotyczyło naruszenie,
  • zastosował również środki eliminujące prawdopodobieństwo dużego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
  • zawiadomienie osoby, której dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku. W takiej sytuacji administrator ma obowiązek opublikowania ogólnodostępnego komunikatu o incydencie bezpieczeństwa, który miał miejsce

Co zrobić, gdy dojdzie do incydentu w ochronie danych?

Gdy zdarzy się sytuacja, w której dojdzie do incydentu w ochronie danych Administrator Bezpieczeństwa Informacji przeprowadza postępowanie wyjaśniające, w którym musi ustalić czas wystąpienia incydentu, jego przyczyny i szkody, jakie poczyniło to wydarzenie. Ponadto konieczne jest zabezpieczenie dowodów, jeśli takowe się pojawiły, a następnie ustalenie osoby odpowiedzialnej za wystąpienie incydentu. W dalszej części należy podjąć działania naprawcze i zabezpieczające, które uniemożliwią występowanie takich sytuacji w przyszłości. Należy również sporządzić pełną dokumentację toku postępowania.

Następny artykułNie przegap żadnych najciekawszych artykułów! Kliknij obserwuj biznesinfo.pl na:Obserwuj nas na Google News Google News