Baza wiedzy

Naruszenia ochrony danych osobowych - jak sobie z nimi radzić?

Autor: Jakub WezgrajData dodania: Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Szkolenia i webinary

Naruszenia ochrony danych osobowych to jeden z obszarów RODO, które w praktyce przysparzają najwięcej problemów administratorom danych. Nasze doświadczenia wskazują, że w praktyce nie ma organizacji które nie doświadczają naruszeń. Jest natomiast nadal bardzo wiele podmiotów, które na te naruszenia nie reagują w prawidłowy sposób, co wiąże się z możliwą odpowiedzialnością finansową zarówno ze strony Prezesa Urzędu Ochrony Danych Osobowych jak i podmiotów danych.

Naruszenie ochrony danych osobowych a incydent bezpieczeństwa

W praktyce działalności konkretnej organizacji bardzo często będziemy mieli do czynienia z incydentami bezpieczeństwa, ale tylko niektóre z nich będą jednocześnie prowadziły do faktycznych naruszeń ochrony danych osobowych. Incydentem bezpieczeństwa jest bowiem zdarzenie, które prowadzi do naruszenia obowiązujących w organizacji zasad bezpieczeństwa. Ale to naruszenie zasad bezpieczeństwa nie zawsze musi prowadzić do skutku prowadzącego do naruszenia ochrony danych.

Aby doszło do naruszenia ochrony danych osobowych, konkretny incydent bezpieczeństwa musi doprowadzić do przynajmniej jednego z poniższych skutków:

  • utraty poufności danych osobowych
  • utraty integralności danych osobowych
  • utraty dostępności danych osobowych

Innymi słowy, incydent bezpieczeństwa musi mieć charakter "skutkowy", jego skutkiem musi być utrata jednego z powyżej wskazanych przymiotów (a więc poufności, integralności lub dostępności danych osobowych), aby można było stwierdzić naruszenie ochrony danych osobowych.

Utrata poufności danych osobowych

Z naruszeniem polegającym na utracie poufności danych osobowych będziemy mieli do czynienia w przypadkach kiedy dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych przez osobę nieuprawnioną.

Osobą nieuprawnioną będzie z kolei każda, która nie działa z upoważnienia administratora danych lub podmiotu przetwarzającego (czyli takiego, któremu wcześniej administrator danych powierzył do przetwarzania dane osobowe w trybie art. 28 RODO).

Z przypadkami naruszeń polegających na utracie poufności danych osobowych możemy mieć do czynienia nie tylko w sytuacjach uzyskania do nich dostępu przez hackerów czy też innych osób celowo działających na szkodę konkretnej organizacji (co w rzeczywistości stanowi ułamek przypadków), ale również (i to zdarza się zdecydowanie częściej) przypadkowego ujawnienia danych osobowych nieuprawnionym odbiorcom (np. w wyniku błędnego działania pracownika, który wysyłając maila z plikiem zawierającym dane osobowe, wysyła go na adres nieprawidłowego odbiorcy).

Utrata integralności danych

W przypadku naruszenia prowadzącego do utraty integralności danych dochodzi do sytuacji, w której przetwarzane dane osobowe (ich treść) zostają zmodyfikowane, choć administrator danych nie zakładał takiej ewentualności (nie planował takich działań).

Utrata integralności danych osobowych może być wynikiem działania (celowego lub przypadkowego) konkretnych osób (np. pracowników, osób z zewnątrz organizacji) - np. wówczas gdy pracownik przez pomyłkę zmienia konkretne dane w systemie informatycznym, przykładowo prawidłowe nazwisko klienta na niezgodne z rzeczywistością lub też może być wynikiem nieprawidłowego funkcjonowania narzędzi wykorzystywanych przez administratora danych (np. w wyniku błędnego działania systemu, w bazie danych nadpisują się dane osobowe w ten sposób, że w wyniku błędu system błędnie zestawia imiona i nazwiska klientów z ich adresami zamieszkania i wartościami dokonanych przez nich zakupów w sklepie internetowym).

Utrata dostępności danych osobowych

Naruszenie ochrony danych skutkujące utratą ich dostępności pojawia się wówczas, gdy w wyniku przypadkowego lub nieuprawnionego działania człowieka lub narzędzia (np. systemu, serwerów na których są zapisane dane) dochodzi do trwałej lub czasowej utraty dostępności do danych osobowych (czyli nikt w organizacji nie jest w stanie odczytać tych danych - trwale lub przez jakiś okres).

Przykładem tego typu zdarzeń mogą być awarie macierzy dyskowych, na których są zapisywane bazy danych systemów informatycznych i związany z tym (przynajmniej krótkotrwały) brak dostępu do danych w systemie lub całkowity brak funkcjonowania systemu. Innym przykładem może być sytuacja, w której dochodzi do zalania pomieszczeń, w których przechowywana jest dokumentacja papierowa zawierająca dane osobowe (w przypadku gdy organizacja nie dysponuje kopiami dokumentów lub też ich wersją elektroniczną). Oczywiście zdarzają się również przypadki, w których do utraty dostępu do danych dochodzi w wyniku celowego działania konkretnej osoby (np. ataki typu ransomware). Przykłady związane z możliwą utratą dostępności do danych można z resztą jeszcze długo mnożyć.

Zobacz nagranie z naszego szkolenia poświęcone naruszeniom ochrony danych osobowych

Zobacz nagranie z naszego szkolenia online, podczas którego krok po kroku wyjaśniamy w jaki sposób należy zarządzać tematyką naruszeń ochrony danych osobowych w organizacji.

Dwie i pół godziny praktycznej wiedzy, ciekawe wnioski i podpowiedzi.

KLIKNIJ i zobacz nagranie na naszym kanale Youtube

 

Zadaj pytanie  lub  Zadzwoń: 600 677 026

administrator danychincydent bezpieczeństwanaruszenie RODOnaruszenie rodoreagowanie na naruszeniaRODO

Wróć

Do góry