Analiza ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością dokonania zgłoszenia oraz zawiadomienia osób, których dotyczy naruszenie, nie jest łatwa. Ponadto przyznanie się do błędów lub nieprawidłowości wywołuje dodatkową frustrację oraz strach przed nałożeniem kary, gdyż zawiadomienie może skutkować interwencją organu nadzorczego (Urzędu Ochrony Danych Osobowych) – zgodnie z jego zadaniami i uprawnieniami określonymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). Ewentualna kontrola mogłaby doprowadzić do ujawnienia braku albo nieadekwatności istniejących środków bezpieczeństwa.
Warto jednak pamiętać, że umiejętność przyznania się do błędu nie jest oznaką słabości, tylko okazją do poprawy i rozwoju. Przede wszystkim jednak odpowiednia reakcja na naruszenie ochrony danych osobowych pomoże uchronić osoby, których dane zostały naruszone, przed możliwymi negatywnymi skutkami zdarzenia.
Kategorie naruszeń danych osobowych
Jak wynika z podanej w RODO definicji, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Pojęcie zniszczenia odnosi się do sytuacji, gdy dane osobowe przestają istnieć w jakiejkolwiek postaci pozwalającej na ich odczyt. Z kolei utracenie wiąże się z brakiem możliwości sprawowania kontroli nad danymi, najczęściej w postaci braku możliwości dostępu do nich.
Można wyróżnić trzy kategorie naruszeń ochrony danych osobowych:
- naruszenie dotyczące poufności danych,
- naruszenie dotyczące dostępności do danych,
- naruszenie dotyczące integralności danych.
Nie zawsze dane zdarzenie można jednoznacznie zakwalifikować do danej kategorii. Może się np. okazać, że w wyniku naruszenia doszło do nieuprawnionego ujawnienia danych, czyli naruszenia poufności, a w efekcie także do utracenia ich dostępności i integralności. Przykładem może być zdalne włamanie do komputera, kradzież danych, a następnie ich zniszczenie lub zmiana.
Naruszenie poufności
Z naruszeniem poufności danych osobowych będziemy mieli do czynienia wówczas, gdy powierzone nam dane osobowe w wyniku złamania zasad bezpieczeństwa zostaną w nieuprawniony sposób ujawnione lub udostępnione. Przykładem takiego naruszenia jest przesyłanie wiadomości e-mail z danymi osobowymi do niewłaściwych adresatów. Jeżeli dane nie zostaną zaszyfrowane, dojdzie do utraty poufności, którą niewątpliwie należy zgłosić organowi nadzorczemu. Jeżeli jednak dane będą skutecznie zabezpieczone hasłem dostępu, można założyć, że nie dojdzie do ich ujawnienia i w związku z tym do zagrożenia związanego z naru...