Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Zgłaszanie naruszeń ochrony danych

14-09-2018 Autor: Michał Mazur

Jednym z mechanizmów umożliwiających ochronę naruszenia praw lub wolności osób fizycznych jest obowiązek zgłaszania naruszeń ochrony danych, któremu w rodo poświęcono art. 33 i 34. Również Europejska Rada Ochrony Danych (dawniej Grupa Robocza art. 29) stoi na stanowisku, że nowy obowiązek zgłaszania naruszeń przyniesie wiele korzyści, gdyż dzięki niemu administratorzy mogą otrzymać od organu nadzorczego cenne porady i wskazówki.


Ochrona podstawowych praw i wolności osób fizycznych, zwłaszcza prawa do ochrony danych osobowych, realizowana jest przez wiele procedur i mechanizmów określonych w przepisach rodo. W czasach ogromnego postępu technologicznego, big data oraz internetu rzeczy, w których wykorzystywanie i przesyłanie danych ma miejsce na niespotykaną dotąd skalę, należy szczególną uwagę skupiać na tych operacjach przetwarzania, które ze względu na swój zakres, kontekst i cele mogą powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Naruszenie ochrony danych osobowych a incydent

Naruszenie jest definiowane w art. 4 ust. 12 rodo jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszenie stanowi zatem rodzaj zdarzenia zagrażającego bezpieczeństwu, przy czym nie każde takie zdarzenie stanowi naruszenie ochrony danych osobowych.

W procesach biznesowych ochrona danych osobowych dość często jest nierozerwalnie połączona z szeroko pojętą ochroną informacji, która posługuje się pojęciem incydentu. Incydentem z zakresu bezpieczeństwa informacyjnego nazywa się zdarzenie lub ciąg zdarzeń (składających się na realizację zagrożenia), które powodują lub mogą spowodować niepożądaną zmianę wymaganych wartości istotnych kryteriów jakości informacji (K. Liderman, Bezpieczeństwo informacyjne. Nowe wyzwania, Warszawa 2017). W przypadku informacji, jakimi są dane osobowe, na tak istotne kryteria składają się m.in. poufność, integralność i dostępność danych.
 
Każde naruszenie ochrony danych osobowych jest incydentem, ale nie każdy incydent stanowi naruszenie w rozumieniu przepisów o ochronie danych osobowych.

Ryzyko jako czynnik warunkujący obowiązki z art. 33 i 34

Czynnikiem warunkującym obowiązek zgłoszenia naruszenia Prezesowi UODO jest ryzyko naruszenia praw i wolności osób fizycznych. W przypadku naruszenia administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po jego stwierdzeniu, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało wspomnianym ryzykiem (art. 33 ust. 1 rodo). Ryzyko naruszenia praw i wolności istnieje, gdy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono.

Przykładem takich szkód jest dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, naruszenie dobrego imienia czy strata finansowa. Jak wskazuje Grupa Robocza art. 29 w wytycznych dotyczących zgłaszania naruszenia ochrony danych osobowych (WP 250), jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub obejmujących dane genetyczne, dane dotyczące zdrowia lub życia seksualnego, wyroków skazujących i wykroczeń lub związanych z nimi środków bezpieczeństwa, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Jak stwierdzić naruszenie i skutecznie je obsłużyć?

Według Grupy Roboczej art. 29 administrator „stwierdza” naruszenie, kiedy ma wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych. Wdrożenie wszelkich odpowiednich środków technicznych i organizacyjnych ma szczególne znaczenie, gdyż natychmiastowe stwierdzenie naruszenia pozwoli w sposób skoordynowany i skuteczny zareagować na zdarzenie naruszające ochronę danych osobowych i zdecydować o bezzwłocznym zgłoszeniu go organowi nadzorczemu i ewentualnym zawiadomieniu osób, których ono dotyczy. Dlatego tak ważne jest zapewnienie prawidłowej obsługi incydentów wewnątrz organizacji, czyli ich wykrywanie, rejestrowanie (art. 33 ust. 5 rodo), analiza, prowadzenie działań prewencyjnych oraz minimalizujących ich negatywne skutki.
 
Do skutecznego reagowania na zdarzenia będące naruszeniem ochrony danych osobowych niezbędne jest budowanie świadomości w tym zakresie zarówno kierownictwa wszystkich szczebli, jak i podległych im pracowników.

Kluczowym elementem każdego planu reagowania na naruszenia powinna być ochrona osób fizycznych i ich danych osobowych. W procesie tym rolę, która jest nie do przecenienia, może odgrywać inspektor ochrony danych, jeśli został przez administratora bądź podmiot przetwarzający wyznaczony. Udzielanie administratorowi lub podmiotowi przetwarzającemu porad dotyczących ochrony danych oraz monitorowanie zgodności z rodo, udzielanie porad dotyczących oceny skutków dla ochrony danych, a przede wszystkim zapobieganie naruszeniom są jednymi z najistotniejszych zadań IOD. Tym bardziej że administrator, zgłaszając naruszenie, ma obowiązek podać dane kontaktowe swojego inspektora lub innego punktu kontaktowego. Dotychczasowe doświadczenie organu nadzorczego w kontaktach w sprawach naruszeń wskazuje, że zdarzają się administratorzy, którzy nie zapewniają, by wskazany punkt kontaktowy był dostępny (ze względu na okres urlopowy, wyjazdy służbowe czy brak wyznaczenia osób zastępujących).

Zgłoszenie naruszenia do Prezesa UODO

Jednym z celów zgłaszania naruszeń ochrony danych jest ograniczenie szkód dla osób fizycznych. Po przeprowadzeniu odpowiedniej analizy pod kątem ryzyka naruszenia praw lub wolności tych osób administrator, który uznał, że ryzyko to nie jest małe, zobligowany jest do powiadomienia o naruszeniu organ nadzorczy.

[...]

Autor jest p.o. zastępcy dyrektora Zespołu Współpracy z Administratorami Danych w Urzędzie Ochrony Danych Osobowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.