Obowiązki administratorów, a naruszenia ochrony danych osobowych

RODO nakłada na administratorów obowiązki w przypadku naruszeń ochrony danych osobowych

Czym jest naruszenie ochrony danych osobowych?

Naruszenie ochrony danych osobowych to inaczej naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, czy też nieuprawnionego ujawnienia danych osobowych. Aby mówić o tym, że doszło do naruszenia, muszą być spełnione trzy warunki, naruszenie musi dotyczyć przesłanych danych osobowych, jego skutkiem musi być zniszczenie, utracenie, zmodyfikowanie lub nieuprawnione ujawnienie, a także naruszenie musi być skutkiem złamania zasad bezpieczeństwa danych.

Wyróżniamy trzy typy naruszeń danych:

  • naruszenie poufności (ujawnienie danych osobowych nieuprawnionej osobie),

  • naruszenie dostępności (czasowa bądź trwała utrata lub zniszczenie danych),

  • naruszenie integralności (zmiana treści danych osobowych w sposób nieautoryzowany).

Naruszenie ochrony danych – co musi zrobić administrator?

Na administratorze danych osobowych w przypadku naruszenia ochrony danych spoczywa wiele obowiązków. Zacznijmy jednak od początku, w momencie gdy wystąpi podejrzenie incydentu bezpieczeństwa, administrator musi w przeciągu 72 godzin ustalić okoliczności naruszenia, zadecydować, czy należy zgłosić je do Prezesa UODO, a także powiadomić osobę, której dotyczy ten incydent. Administrator powinien odpowiednio wcześniej opracować i wdrożyć procedurę zarządzania incydentami bezpieczeństwa danych osobowych, aby w momencie wystąpienia naruszenia szybko zareagować. Przygotowanie takiej procedury znacząco pomaga ujednolić, usprawnić, a także przyspieszyć działania administratora, kiedy dochodzi do naruszenia. Procedura powinna zawierać:

  • cel opracowania procedury,

  • zakres stosowania procedury,

  • zbiór potencjalnych zagrożeń i naruszeń,

  • opisane kolejno etapy zarządzania naruszeniem,

  • opisany proces postępowania personelu administratora.

Ważne jest, aby w przypadku naruszenia bezpieczeństwa, administrator wprowadził określone procedury, które umożliwią mu prawidłowe stwierdzenie i ocenę naruszenia pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Powinien on także prowadzić wewnętrzną ewidencję naruszenia. Jednak co najważniejsze, administrator powinien jak najszybciej podjąć działania wobec organu nadzorczego oraz osób, których naruszenie dotyczy.

Kiedy powiadomić Prezesa UODO o naruszeniu danych?

Uznaje się, że administrator ma 72 godziny, aby powiadomić Prezesa UODO o naruszeniu danych osobowych, jeśli z przeprowadzonej analizy okazało się, że wystąpiło ryzyko naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okazało się, że ryzyko nie wystąpiło, administrator jest zwolniony z obowiązku powiadomienia organu nadzorczego. Administrator, kierując zgłoszenie naruszenia do Prezesa UODO powinien dokładnie opisać charakter naruszenia ochrony danych osobowych, wskazać dane kontaktowe inspektora ochrony danych, przedstawić możliwe konsekwencje wynikające z tego naruszenia, oraz co najważniejsze wskazać środki, jakie zostały zastosowane w celu zminimalizowania skutków naruszenia ochrony danych.

 

Źródło:

https://uodo.gov.pl/pl/file/2210″>https://uodo.gov.pl/pl/file/2210

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość