| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJE | KARIERA | SKLEP
Jesteś tutaj: STRONA GŁÓWNA > Sektor publiczny > Organizacja > RODO 2018 > RODO: Naruszenie danych osobowych w praktyce

RODO: Naruszenie danych osobowych w praktyce

RODO obowiązuje od 25 maja 2018 r. Na stronach internetowych Urzędu Ochrony Danych Osobowych zamieszczono przykłady naruszeń danych osobowych.

Przykład: „W wyniku przerwy w dostawie prądu lub ataku typu blokada usług, administrator tymczasowo lub trwale traci dostęp do danych osobowych.”

W powyższym przykładzie mamy do czynienia ze zdarzeniem skutkującym utratą dostępności danych osobowych przez pewien odcinek czasu. Jest to naruszenie, ponieważ brak dostępu do danych może mieć znaczący wpływ na prawa i wolności osób fizycznych. Pamiętać należy jednak, że nie każda czasowa niedostępność do danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw i wolności osób fizycznych, np. w przypadku  szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia  przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować  jako wysokie ryzyko dla praw i wolności osób fizycznych. W przypadku kilkugodzinnego braku dostępu spółki medialnej do swoich systemów i niemożliwości wysyłania newslettera do abonentów, istnieje natomiast niskie  prawdopodobieństwo naruszenia praw i wolności osób fizycznych. Podobnie w przypadku planowanej konserwacji systemu, dane osobowe mogą być niedostępne przez pewien czas i nie należy traktować tego jako naruszenia bezpieczeństwa (ryzyko niskie).

Chociaż utrata dostępu do systemów administratora może być tylko tymczasowa i w początkowej fazie naruszenia nie wywołuje skutków dla praw i wolności osób fizycznych, ważne jest, aby administrator po przeprowadzeniu pełnej analizy ryzyka, rozważył wszystkie możliwe konsekwencje naruszenia, zarówno te które już zaistniały jak i te, które mogą zaistnieć w przyszłości.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Przykład: System informatyczny administratora został zainfekowany złośliwym oprogramowaniem. Po przeprowadzeniu wstępnej analizy administrator stwierdził, że nastąpiła tymczasowa utrata dostępu do danych jednak z uwagi na fakt, że administrator posiadał elektroniczny system zabezpieczeń chroniący przed wyciekiem danych, ryzyko naruszenia praw i wolności osób fizycznych było małe, a samo naruszenie nie wymagało zgłoszenia do Prezesa UODO. Po paru godzinach okazało się jednak, że w wyniku ww. włamania do systemu, haker po obejściu zabezpieczeń, uzyskał dostęp do danych osobowych, w związku z czym ryzyko naruszenia praw i wolności osób fizycznych stało się wysokie i wymagało zgłoszenia do organy nadzorczego.

Naruszenie danych może mieć miejsce również w następujących przypadkach:

  • zmiana danych bez zgody osoby, której dane dotyczą;
  • wysłanie danych do niewłaściwej osoby (np. poprzez niewłaściwie zaadresowanie poczty elektronicznej);
  • utrata nośników danych (telefon, laptop, USB, teczki zawierające dane w wersji papierowej);
  • nieuprawnione udostępnienie danych (np. elektronicznie – przekazywanie danych przez zdalny dostęp np. VPN, często przydzielane bezterminowo - ale też np. telefonicznie (rozmówca podaje się za pracownika policji czy urzędu, próbując wyciągnąć informacje);
  • nieodpowiednie usuwanie danych (np. administrator postanawia pozbyć się starych komputerów. Przed sprzedażą usuwa jedynie pliki na pulpicie i opróżnia kosz ze starych plików. Nie usuwa jednak danych z  dysku komputera).

Źródło: Urząd Ochrony Danych Osobowych

Czytaj także

Narzędzia księgowego

POLECANE

reklama

Ostatnio na forum

RODO 2018

RODO 2018

Eksperci portalu infor.pl

Aleksandra Chołub

Kancelaria Adwokacka Aleksandra Chołub

Zostań ekspertem portalu Infor.pl »