Naruszenie ODO

Obowiązek zarządzania naruszeniami ochrony danych osobowych był już znany wśród administratorów danych. W praktyce ograniczał się on jednak do spisania procedury i uruchomienia kanałów umożliwiających zgłaszanie incydentów.

Czego brakowało? Niestety często pracownicy nie mieli świadomości czym właściwie jest to naruszenie i dlaczego tak ważne jest ich zgłaszanie.

Efekt? „Jesteśmy bezpieczni bo nikt ma zgłasza naruszeń.” Czy na pewno?

RODO do tematu podchodzi bardziej praktycznie, ponieważ analizuje zarówno przyczyny, jak i skutki naruszenia, starając się je minimalizować. Co to oznacza?

Po pierwsze, administrator musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

Po drugie, w przypadku gdy jest wysoko prawdopodobne, że naruszenie może skutkować naruszeniem praw lub wolności osób fizycznych, obowiązkowo, w ciągu 72 godz. należy powiadomić organ nadzoru (aktualnie GIODO), wskazując na wszystkie istotne aspekty naruszenia.

Po trzecie, w przypadku gdy jest wysoko prawdopodobne, że naruszenie może skutkować naruszeniem praw lub wolności osób fizycznych, należy powiadomić podmiot danych, czyli osoby których dane są zagrożone (uwaga: nie zawsze jest to wymagane!).

Jednocześnie, RODO wskazuje, że należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. Liczy się jak najszybsza reakcja.

PBSG, w ramach usługi wdrożenia wymagań RODO, wspiera klientów w opracowaniu procesu identyfikacji i zarządzania naruszeniami ochrony danych osobowych, z uwzględnieniem:

  • możliwości implementacji do aktualnie wykorzystywanych mechanizmów obsługi incydentów bezpieczeństwa,

  • jasnego zdefiniowania czym jest naruszenie ochrony danych osobowych i jakie mogą być jego przykłady, biorąc pod uwagę specyfikę organizacji,

  • mechanizmów technicznych wspierających identyfikację incydentów, analizy występujących incydentów i podejmowania stosownych działań zapobiegających i informacyjnych.