Spis treści
Czym jest naruszenie ochrony danych osobowych?
Do sytuacji naruszenia ochrony danych osobowych dochodzi, gdy:
- dotyczy danych przesyłanych, przechowywanych lub przetwarzanych przez podmiot, którego dotyczy naruszenie
- jego skutkiem jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych
- jest skutkiem złamania zasad bezpieczeństwa danych
Przykładowo, do naruszenia ochrony danych osobowych dojdzie w sytuacji, gdy pracownik wysłał bazę danych klientów do postronnej osoby.
Kto i w jakim terminie dokonuje zgłoszenia o naruszeniu ochrony danych osobowych?
Zgłoszenia o naruszeniu ochrony danych osobowych dokonuje:
- administrator – przedsiębiorca lub jednostka publiczna przetwarzająca dane osobowe
- pełnomocnik administratora
Osoba zobowiązana ma 72 godziny aby poinformować o naruszeniu Urząd Ochrony Danych Osobowych (UODO).
Kiedy nie trzeba zawiadamiać UODO o naruszeniu danych osobowych?
Jeśli po odkryciu naruszenia ochrony danych osobowych Administrator stwierdzi, że ryzyko naruszenia praw i wolności osób fizycznych (np. wystąpienie szkody materialnej lub niematerialnej) jest małe, to nie musi powiadamiać o tym Prezesa UODO.
Wskazuje się, że będzie tak, gdy np.:
- pracownikowi zaginął pendrive z danymi osobowymi klientów, jednak został wcześniej zaszyfrowany, a znalazca nie zna hasła; nie ma wtedy obawy, że naruszenie stanowiło zagrożenie dla praw lub wolności osób, których dane dotyczą;
- pracownik przez pomyłkę wyniósł z pracy teczkę z niezabezpieczonymi danymi osobowymi; po chwili zorientował się jednak, że nastąpiła pomyłka i wrócił do pracy zwracając teczkę; w takim przypadku również nie ma groźby zagrożenia dla praw lub wolności osób, których dane dotyczą.
Jakie są przykłady naruszenia ochrony danych osobowych?
Naruszenie ochrony danych osobowych może przybrać formę naruszenia:
- poufności – np. gdy twój pracownik wyśle przypadkowo bazę danych osobowych klientów do osoby postronnej lub niewłaściwego działu firmy;
- dostępności – np. gdy zaginie pendrive z bazą danych klientów;
- integralności – np. gdy pracownik dla żartu zmieni nazwiska klientów.