W przypadku ochrony danych osobowych zdarzają się także incydenty. Tym terminem określa się różnego rodzaju naruszenia poufności danych osobowych. Warto wiedzieć, w jaki sposób radzić sobie z takimi sytuacjami w oparciu o przepisy RODO.
Rodzaje incydentów RODO
Incydentami w kwestii ochrony danych osobowych są wszelkiego typu przypadki naruszenia poufności dostępności danych osobowych lub integralności. Tego typu sytuacje przepisy RODO określają jako naruszenie ochrony danych osobowych. Są one definiowane w formie naruszenia bezpieczeństwa prowadzącego do przypadkowego bądź też niezgodnego z prawem zniszczenia, zmodyfikowania, utracenia, bezprawnego ujawnienia lub nieuprawnionego dostępu do danych osobowych, które są przechowywane, przesyłane lub podlegają przetwarzaniu w inny niż wymieniony wyżej sposób.
Incydentami w przypadku ochrony danych osobowych określa się nie tylko kradzież danych osobowych czy też ich ujawnienie, ale także inne sytuacje stanowiące naruszenie ich ochrony. Europejska Rada Ochrony Danych w swoich wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych, dokonała podziału na trzy rodzaje, w zależności od skutków, jakie niesie za sobą to działanie. Zalicza się do nich między innymi takie sytuacje, jak:
- naruszenie dotyczące poufności danych w formie nieuprawnionego, przypadkowego ujawnienia bądź też nieuprawnionego dostępu do danych osobowych – omyłkowe przesyłanie PIT-u pracownika innemu pracownikowi czy też kradzież pamięci USB, na której przechowywane są kopie danych osobowych klientów, kontrahentów czy współpracowników,
- naruszenie dotyczące integralności danych, będące nieuprawnionym bądź przypadkowym zmodyfikowanym ich. Może to odbywać się w formie udostępnienia listy uczestników wydarzenia, w formie dokumentu, przeznaczonego do edycji. Uprawniona osoba wykonująca to działanie często nanosi zmiany, które są niezgodne z obowiązującymi przepisami,
- naruszenia dotyczącego dostępności danych stanowiących przypadkowy bądź też nieuprawniony dostęp do danych osobowych. Polega na ich zniszczeniu lub zainfekowaniu oprogramowania. Może to w rezultacie doprowadzić do utraty danych nawet, gdy jest ona tymczasowa. Naruszenie to następuje także, gdy dane udaje się odzyskać z kopii bezpieczeństwa lub dysku zapasowego.
Co należy zrobić, gdy wykryje się naruszenie ochrony danych osobowych?
Naruszeniem nazywa się także wszystkie działania dotyczące poufności, integralności, dostępności lub kombinacji wyżej wymienionych kategorii, w związku z ochroną i przetwarzaniem danych osobowych. Wielu przedsiębiorców zajmujących się przetwarzaniem danych osobowych zastanawia się, jak duże jest ryzyko zajścia incydentu. Okazuje się, że każdy podmiot, którego zadaniem jest przetwarzanie danych osobowych, powinien wdrożyć rozwiązania i procedury pozwalające mu szybko zidentyfikować dany incydent i wdrożyć odpowiednie środki zaradcze. Kluczowe znaczenie w identyfikowaniu i rozwiązywaniu incydentów RODO ma odpowiednie podejście kierownictwa i personelu podmiotu, którzy potrafią rozpoznać, że konkretne naruszenie określane jest jako incydent, czyli naruszenie ochrony danych osobowych. Tego typu Informacje należy przekazać do dalszej oceny w trybie natychmiastowym.
Procedura postępowania w sytuacji naruszenia ochrony danych osobowych
Podstawowymi krokami, które powinno podjąć się po zarejestrowaniu, a wcześniejszym zidentyfikowaniu incydentu RODO, jest przede wszystkim to, że administrator musi ocenić ryzyko związane z incydentem dla osób fizycznych, których dotyczy naruszenie ochrony danych osobowych. Z drugiej strony należy podjąć właściwe środki zaradcze w celu zniwelowania bądź też jak największego ograniczenia skutków naruszenia ochrony danych osobowych. W praktyce oznacza to, że wszystkie potencjalne naruszenia w ramach funkcjonowania organizacji administratora muszą być niezwłocznie przekazane do osoby zajmującej się reagowaniem na tego typu incydenty. Administrator powinien bez zbędnej zwłoki, nie później niż 72 godziny, po potwierdzeniu incydentu, zgłosić go do organu nadzorczego. Powinno się także ocenić, czy zaistniały przesłanki do zawiadamiania osób, których dane osobowe uległy naruszeniu. Chodzi tutaj o dokładną weryfikację poziomu ryzyka. Inaczej wygląda sytuacja w przypadku podmiotu pełniącego funkcję podmiotu przetwarzającego. Jeśli nastąpiło naruszenie ochrony danych osobowych ma się obowiązek zgłosić to naruszenie administratorowi niezwłocznie po jego stwierdzeniu. Termin na zgłoszenie jest ustalany w umowie powierzenia przetwarzania. Organem nadzorczym w Polsce, do którego administrator powinien dokonać zgłoszenie, jest Prezes Urzędu Ochrony Danych Osobowych.
Sprawne wykrywanie i rozwiązywanie problemów wynikających z incydentów związanych z RODO ma na celu ograniczenie skutków i konsekwencji, jakie może nieść za sobą naruszenie ochrony danych osobowych. Stwierdzenie naruszenia ochrony danych osobowych, bez względu na okoliczności towarzyszące, należy zawsze poddawać analizie i reagować na tego typu sytuację.
