Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych

Brak dostępu administratora do danych osobowych jest także naruszeniem ochrony danych – to jedno z przypomnień zawartych w specjalnym materiale informacyjnym UODO dotyczącym tego zagadnienia.

Od 25 maja 2018 r. do 25 maja 2019 r. administratorzy, realizując obowiązek wynikający z art. 33 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO), zgłosili Prezesowi Urzędu Ochrony Danych Osobowych 4 539 naruszeń ochrony danych osobowych. Dwie trzecie notyfikacji pochodziło od administratorów z sektora prywatnego, a jedna trzecia od administratorów z sektora publicznego. W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od firm: telekomunikacyjnych, ubezpieczeniowych, finansowych, banków oraz służby zdrowia. W sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały jednostki samorządu terytorialnego, szkoły, przedszkola, żłobki oraz placówki służby zdrowia.

Z naszych rocznych doświadczeń w zakresie przyjmowania i analizy zgłoszeń naruszeń ochrony danych osobowych wynika, że administratorzy w dalszym ciągu mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych, o którym stanowi art. 33 RODO. A tak jest choćby w przypadku utraty dostępu do danych, które się przetwarza. Z taką sytuacją natomiast można mieć do czynienia w przypadku zainfekowania systemu wirusem ransomware, który szyfruje np. dostęp do całych baz danych, a niekiedy ich kopii zapasowych.

Wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – UODO nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych.

Również spotkania z innymi podmiotami eksperckimi, jak CSIRT NASK, służą wymianie doświadczeń i informacji oraz doskonaleniu praktyk w zakresie wykrywania oraz zapobiegania występowaniu naruszeń związanych z infrastrukturą informatyczną.

Nasze doświadczenia z pierwszego roku stosowania przepisów RODO w zakresie naruszeń ochrony danych osobowych oraz wypracowane na podstawie tych doświadczeń wskazówki dla administratorów i inspektorów ochrony danych zawarliśmy w specjalnym materiale zatytułowanym „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, który dostępny jest poniżej. Mamy nadzieję, że będzie on pomocny w doskonaleniu praktyk administratorów w tym zakresie.

2019-05-30 Metadane artykułu
Podmiot udostępniający: Zespół Współpracy z Administratorami Danych
Wytworzył informację: Monika Młotkiewicz 2019-05-30
Wprowadził‚ informację: Łukasz Kuligowski 2019-05-30 15:05:06
Ostatnio modyfikował: Edyta Madziar 2019-06-03 10:04:13

Załączone pliki

Podmiot udostępniający: Zespół Współpracy z Administratorami Danych
Wytworzył informację: Monika Młotkiewicz 2019-06-04
Wprowadził‚ informację: Edyta Madziar 2019-06-04 12:05:51
Ostatnio modyfikował: Edyta Madziar 2019-08-10 15:47:22