Naruszenie ochrony danych osobowych w pigułce 

Naruszenie ochrony danych osobowych w pigułce 

czyli jak postępować w przypadku wystąpienia naruszenia ochrony danych osobowych 

Czym jest naruszenie ochrony danych osobowych?

Zgodnie z legalną definicją zawartą w art. 4 pkt. 12 RODO naruszenie ochrony danych osobowych (z ang. personal data breach) oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 

Rozkładając powyższą prawniczą definicję naruszenia ochrony danych osobowych na czynniki pierwsze, można wyróżnić zatem cztery sytuacje, w których będziemy mieć do czynienia z naruszeniem:  

• zniszczenie danych osobowych – sytuacja, w której dane już nie istnieją lub przestały istnieć w postaci, w której administrator mógłby je w jakikolwiek sposób wykorzystać. 

Przykład: zalanie dokumentacji; trwałe uszkodzenie dysku twardego

• utrata danych osobowych – sytuacja, w której dane mogą nadal istnieć, ale administrator utracił nad nimi kontrolę, nie posiada już do nich dostępu lub nie znajduje się już w ich posiadaniu.

Przykład: kradzież urządzenia, na którym przechowywana jest kopia bazy danych klientów administratora; atak ransomware

• zmodyfikowanie danych osobowych – sytuacja, w której dane osobowe zostały zmodyfikowane, zniekształcone lub przestały być kompletne.

Przykład: pracownik wprowadza zmiany w danych kontaktowych klienta, w sposób taki że stają się one nieprawidłowe; pracownik szpitala zmienia wyniki badań pacjenta, czego skutkiem jest postawienie nieprawidłowej diagnozy przez lekarza 

• nieuprawnione lub niezgodne z prawem przetwarzanie – sytuacja, w której ujawniono (lub udostępniono) danych osobowych odbiorcom, którzy nie są upoważnieni do ich otrzymania (lub do uzyskania do nich dostępu), lub jakąkolwiek inną formę przetwarzania skutkującą naruszeniem przepisów RODO.

Przykład: wysłanie wiadomości e-mail z załącznikami do błędnego adresata, który nie był uprawniony do otrzymania takich danych 

Według Grupy Roboczej Art. 29 naruszenia ochrony danych osobowych można podzielić na następujące kategorie: 

• „naruszenie dotyczące poufności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych; 

Przykład: Pracownik podał osobie nieuprawnionej login i hasło do konta z prawem ogólnego dostępu do bazy danych klientów. Osoba nieuprawniona może uzyskać dostęp do wszystkich informacji dotyczących klientów bez żadnych ograniczeń 

• „naruszenie dotyczące integralności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych; 

Przykład: Z placówki medycznej skradziono cztery laptopy, w których przechowywano szczególnie chronione dane dotyczące zdrowia pacjentów. Administrator posiada jedynie starą kopię zapasową dokumentacji medycznej, wszystkie zmiany danych dokonane w skradzionych komputerach zostały utracone, skutkując zakłóceniem integralności danych.  

• „naruszenie dotyczące dostępności danych” – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.

Przykład: Skradziono służbowy laptop, którego zawartość została zaszyfrowana, należący do doradcy finansowego. Chociaż nie doszło do złamania klucza szyfrowania ani hasła, to jednak nie jest dostępna żadna kopia zapasowa.

Pamiętaj, że każde naruszenie ochrony danych osobowych jest rodzajem incydentu bezpieczeństwa. Jednak nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych. 

Jak należy postąpić w przypadku naruszenia ochrony danych osobowych w firmie? 

Na początek przeprowadź dochodzenie wewnętrzne w firmie, które pozwoli ustalić okoliczności i kontekst naruszenia. Następnie zbierz wszystkie potrzebne informacje o zdarzeniu i przeprowadź ocenę, w ramach której: 

• ustalisz osoby dotknięte naruszeniem, 
• ocenisz stopień ryzyka naruszenia praw lub wolności osób fizycznych, których dane są objęte naruszeniem, co pozwoli Tobie rozstrzygnąć, czy:
  • naruszenie podlega zgłoszeniu do organu nadzorczego,
• zawiadomisz osoby, których dane dotyczą o naruszeniu ochrony ich danych osobowych,
• ewentualnie powołasz specjalny zespół zarządzania kryzysowego. 

Jakie działania zapobiegawcze możesz podjąć w aby ograniczyć liczbę naruszeń ochrony danych osobowych? 

Po pierwsze edukuj swoich pracowników. Jak wynika z raportu ZFODO aż 86,27% z całkowitej liczby naruszeń ochrony danych osobowych została spowodowanych działaniami pracowników lub współpracowników organizacji. Wiele naruszeń wynika z nieznajomości procedur dotyczących danych osobowych czy bezpieczeństwa informacji. Z tego powodu niezbędne jest organizowanie cyklicznych szkoleń pracowników, które zwiększą ich świadomość na istniejące zagrożenia w cyberprzestrzeni oraz obowiązujące przepisy prawne dotyczące ochrony danych osobowych. 

Po drugie inwestuj w solidne rozwiązania bezpieczeństwa IT, takie jak programy antywirusowe, zapory sieciowe i regularne aktualizacje oprogramowania. Dzięki temu ograniczysz ryzyko ataków hakerskich i nieautoryzowanego dostępu do danych. Więcej o środkach ochrony bezpieczeństwa IT w przypadku ataków hakerskich przeczytasz tutaj. 

Po trzecie opracuj zrozumiałe procedury dotyczące postępowania w przypadku naruszenia danych osobowych w Twojej firmie. Jeśli dojdzie do naruszenia, szybka reakcja Twoich pracowników jest kluczowa. Po zidentyfikowaniu naruszenia musisz bezzwłocznie odpowiednie organy nadzorcze i wdrożyć działania naprawcze, aby nie narazić się na nałożenie kary pieniężnej. 

Nie zgłosisz naruszenia? Licz się z dużymi kosztami