Reklama

Polityka i prawo

Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych

Fot. geralt/Pixabay
Fot. geralt/Pixabay

Brak dostępu administratora do danych osobowych jest także naruszeniem ochrony danych – to jedno z przypomnień zawartych w specjalnym materiale informacyjnym UODO dotyczącym tego zagadnienia.

Od 25 maja 2018 r. do 25 maja 2019 r. administratorzy, realizując obowiązek wynikający z art. 33 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO), zgłosili Prezesowi Urzędu Ochrony Danych Osobowych 4 539 naruszeń ochrony danych osobowych. Dwie trzecie notyfikacji pochodziło od administratorów z sektora prywatnego, a jedna trzecia od administratorów z sektora publicznego. W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od firm: telekomunikacyjnych, ubezpieczeniowych, finansowych, banków oraz służby zdrowia. W sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały jednostki samorządu terytorialnego, szkoły, przedszkola, żłobki oraz placówki służby zdrowia.

Z rocznych doświadczeń UODO w zakresie przyjmowania i analizy zgłoszeń naruszeń ochrony danych osobowych wynika, że administratorzy w dalszym ciągu mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych, o którym stanowi art. 33 RODO. A tak jest choćby w przypadku utraty dostępu do danych, które się przetwarza. Z taką sytuacją natomiast można mieć do czynienia w przypadku zainfekowania systemu wirusem ransomware, który szyfruje np. dostęp do całych baz danych, a niekiedy ich kopii zapasowych.

Wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – UODO nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych.

Również spotkania z innymi podmiotami eksperckimi, jak CSIRT NASK, służą wymianie doświadczeń i informacji oraz doskonaleniu praktyk w zakresie wykrywania oraz zapobiegania występowaniu naruszeń związanych z infrastrukturą informatyczną.

Doświadczenia UODO z pierwszego roku stosowania przepisów RODO w zakresie naruszeń ochrony danych osobowych oraz wypracowane na podstawie tych doświadczeń wskazówki dla administratorów i inspektorów ochrony danych zostały zawarte  w specjalnym materiale zatytułowanym „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”.

Źródło: Urząd Ochrony Danych Osobowych

Reklama

Komentarze

    Reklama