Spis treści
Naruszenie ochrony danych osobowych
Odpowiednie identyfikowanie naruszenia ochrony danych to podstawa na stanowisku IOD
Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:
- Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie.
- Skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.
- Naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Czym są dane osobowe?
Dane osobowe to informacje, które pozwalają zidentyfować konkretną osobę fizyczną. Termin ten jest kluczowy w kontekście przepisów o ochronie danych, a w szczególności Rozporządzenia Ogólnego o Ochronie Danych (RODO).
Dane osobowe to nie tylko takie informacje jak imię, nazwisko, adres zamieszkania, numer PESEL, numer telefonu czy adres email, ale także na przykład adres IP komputera, której używa osoba, czy dane zapisywane w plikach cookies.
Ważne jest, aby pamiętać, że to nie tylko informacje, które są wprost związane z naszą tożsamością są danymi osobowymi. Mogą to być także informacje, które w połączeniu z innymi danymi mogą doprowadzić do zidentyfikowania konkretnej osoby.
W przypadku danych szczególnie chronionych, takich jak dane na temat zdrowia, wyznania, orientacji seksualnej, przynależności etnicznej i rasowej, czy członkostwa w związkach zawodowych, mówimy o danych wrażliwych, które są podlegają szczególnie surowym zasadom przetwarzania.
Naruszenie ochrony danych osobowych (Personal Data Breach) oznacza nieautoryzowany dostęp, udostępnienie, utratę lub niszczenie danych osobowych. Przykłady takiego naruszenia obejmują:
- Złamanie zabezpieczeń IT: nieautoryzowany dostęp do danych osobowych przez hakerów.
- Włamanie: fizyczne lub logiczne włamanie do systemu informatycznego, w wyniku którego dostęp do danych osobowych mogą uzyskać osoby nieupoważnione.
- Zgubienie lub kradzież: utrata fizycznego nośnika danych osobowych, takiego jak dysk twardy lub pamięć USB, lub kradzież takiego nośnika.
- Błąd ludzki: np. wysłanie e-maila z danymi osobowymi do nieodpowiedniego adresata lub nieodpowiednie udostępnienie danych osobowych przez pracownika.
- Nieprawidłowe zabezpieczenie danych: np. brak odpowiednich zabezpieczeń, takich jak szyfrowanie, co umożliwia łatwy dostęp do danych osobowych przez osoby nieupoważnione.
- Naruszenie ochrony danych osobowych stanowi poważne zagrożenie dla prywatności i dobrego imienia osób, których dane dotyczą, dlatego RODO wymaga od przedsiębiorców, by oni podjęli odpowiednie kroki, aby zapobiec takim naruszeniom oraz aby zgłaszali je do organów nadzoru w terminie 72 godzin od momentu ich stwierdzenia.
Zgłaszanie naruszeń ochrony danych
Podmiot przetwarzający/Pracownik po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, chyba że:
- jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
- do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Zawiadomienie osób, których dane dotyczą
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Zawiadomienie nie jest wymagane, w następujących przypadkach:
- Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, np.: pseudonimizacja, szyfrowanie.
- Wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Środki organizacyjne i techniczne
Zadaniem IDO jest doradztwo Administratorowi w celu dobrania środków organizacyjnych i technicznych, które zminimalizują ryzyka naruszenia ochrony danych osobowych.
Dobór środków i zakresu zabezpieczeń wdrażanych przez administratora powinien zależeć od zakresu, formy, celu i ilości przetwarzanych danych, tak by zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.
W niektórych przypadkach powinien on również brać pod uwagę koszty wdrożenia oraz stan wiedzy technicznej w zakresie możliwych do wdrożenia rozwiązań.
Zgodnie z art. 32 RODO wdrażając odpowiednie zabezpieczenia administrator powinien uwzględnić między innymi:
- pseudonimizację i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności tych środków.
Rozporządzenie o Ochronie Danych Osobowych (RODO) wymaga od przedsiębiorców, aby oni stosowali odpowiednie środki organizacyjne i techniczne w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Przykłady takich środków to:
- uwierzytelnianie – dostęp do danych osobowych mają jedynie upoważnieni przez administratora pracownicy, którzy legitymują się nadanym identyfikatorem i hasłem,
- kopie zapasowe danych – w przypadku kiedy dane osobowe zostaną utracone, administrator będzie miał możliwość odzyskania ich z innego źródła,
- anonimizacja – przekształcenie danych osobowych w takim stopniu, że nie jest możliwa identyfikacja konkretnej osoby,
- zasada poufności – zobowiązanie pracowników do zachowania w tajemnicy przetwarzanie danych osobowych oraz sposobu ich zabezpieczenia
- Szyfrowanie danych: stosowanie szyfrowania danych osobowych w celu zabezpieczenia ich przed nieautoryzowanym dostępem.
- Zabezpieczenia fizyczne: zabezpieczanie pomieszczeń, w których przechowywane są dane osobowe, przed dostępem osób nieupoważnionych.
- Zabezpieczenia sieciowe: stosowanie zabezpieczeń sieciowych, takich jak firewalle, filtrowanie pakietów i VPN, w celu zabezpieczenia danych osobowych przed nieautoryzowanym dostępem z internetu.
- Dzienniki zdarzeń: rejestrowanie działań przetwarzania danych osobowych, w celu śledzenia i wykrywania nieautoryzowanych działań.
- Ochrona haseł: stosowanie silnych haseł i regularne ich zmienianie, w celu ochrony przed nieautoryzowanym dostępem.
- Kontrola dostępu: udzielanie dostępu do danych osobowych tylko upoważnionym pracownikom i zabezpieczenie przed nieautoryzowanym dostępem.
- Procedury awaryjne: opracowanie i regularne testowanie procedur awaryjnych, które pozwolą na skuteczne przywracanie danych osobowych w przypadku awarii lub naruszenia ochrony danych.
- Szkolenia: szkolenia pracowników w zakresie przepisów RODO oraz odpowiednich procedur i środków bezpieczeństwa.
Sprawdź:
Sprawdź naszą ofertę!
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.