aktualności
RODO: zgłaszamy naruszenia, ale nie wszystko wychodzi na światło dzienne
Polska znajduje się w czołówce krajów unijnych pod względem liczby zgłaszanych naruszeń ochrony danych osobowych do UODO – wynika z analizy portalu gdpr.pl, która bazuje na danych uzyskanych od europejskich organów nadzoru oraz Związku Firm Ochrony Danych Osobowych
I wbrew pozorom to miejsce na podium nie jest wynikiem stwierdzonych nieprawidłowości w stosowaniu przepisów RODO, ale zwiększonej świadomości dotyczącej konieczności zapewnienia bezpieczeństwa przetwarzanym danym osobowym. Oceniając stan wdrożenia w Polsce i Europie jednej z najważniejszych instytucji wskazanych w RODO – „samodenuncjacji”, czyli notyfikacji naruszeń do krajowego organu nadzorczego, uzyskaliśmy ciekawy i symptomatyczny obraz pokazujący tendencje, statystyki naruszeń oraz zróżnicowane podejście do ich zgłaszania.
Incydent czy już naruszenie?
Przypomnijmy, że Ogólne rozporządzenie o ochronie danych (dalej: RODO) wprowadziło nie tylko definicję naruszeń ochrony danych osobowych (art. 4 pkt 12 RODO), obowiązek ich rejestrowania, oceny oraz podejmowania działań naprawczych i prewencyjnych, lecz także – w określonych okolicznościach – zgłaszania ich do Urzędu Ochrony Danych Osobowych (UODO) oraz powiadamiania osób, których naruszenie dotyczyło (art. 33 oraz art. 34 RODO). Budowany w organizacji system bezpieczeństwa ma co prawda przeciwdziałać ich wystąpieniu, ale statystycznie rzecz ujmując, naruszenia są nieodłącznym elementem przetwarzania danych. Jednak co dokładnie oznacza naruszenie ochrony danych osobowych? W przypadku wystąpienia zdarzenia, które zagraża bezpieczeństwu informacji, np. zachowaniu ich integralności, poufności i dostępności, mówimy o incydencie bezpieczeństwa. Natomiast naruszenie ochrony danych osobowych, zgodnie z art. 4 pkt 12 RODO, oznacza naruszenie bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Należy więc pamiętać, że nie każdy incydent jest naruszeniem. To rozróżnienie jest konieczne, ponieważ w dalszej części będziemy się koncentrować na naruszeniach, i to tych, które wymagają określonych działań (zgłaszania do organu nadzoru).