W przypadku naruszenia ochrony danych osobowych należy bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
R. pr. Artur Klepacki
Dyrektor Departamentu Informatyki i Cyberbezpieczeństwa w Urzędzie Ochrony Danych Osobowych
Jakie są główne cyberzagrożenia dla danych osobowych we współczesnym świecie?
Do najczęstszych zagrożeń należą ataki phishingowe, złośliwe oprogramowanie (malware), a także przejmowanie kont i kradzież tożsamości. Powszechne stały się również ataki na urządzenia IoT oraz manipulacje informacyjne w mediach społecznościowych.
Co oznacza naruszenie ochrony danych osobowych?
To naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Może wynikać zarówno z lekkomyślności lub niedbalstwa, przykładowo z niezapewnienia przez administratora odpowiednich procedur dla pracowników, pomimo świadomości prawnego obowiązku ich wdrożenia, ale może być również skutkiem celowego działania osób trzecich. Naruszeniem ochrony danych osobowych będzie więc zarówno atak hakerski, jak również przypadkowe przesłanie dokumentów osobom trzecim albo zagubienie nieodpowiednio zabezpieczonego nośnika danych z bazą klientów.
Czy każde naruszenie ochrony danych osobowych jest naruszeniem przepisów RODO?
Naruszenie ochrony danych osobowych to konkretny incydent dotyczący przetwarzania danych osobowych, podczas gdy naruszenie przepisów RODO to szersze pojęcie, obejmujące każdą sytuację niezgodną z prawem ochrony danych osobowych. Naruszeniem przepisów RODO może być więc zarówno naruszenie ochrony danych osobowych, jak również brak spełniania obowiązków informacyjnych, nieprawidłowe udostępnianie danych, niewyznaczenie inspektora ochrony danych, brak prowadzenia lub niekompletność dokumentacji czynności przetwarzania czy też brak wewnętrznego porozumienia między współadministratorami danych.
Z drugiej strony, nawet jeżeli doszło do naruszenia ochrony danych osobowych, ale administrator bądź podmiot przetwarzający wykaże, że po jego stronie nie było zaniedbań oraz wdrożył niezbędne środki techniczne i organizacyjne, to nie będzie można stwierdzić, że doszło do naruszenia przepisów o ochronie danych osobowych.
Z jakich powodów najczęściej są nakładane administracyjne kary pieniężne za naruszenie przepisów RODO w związku z cyberbezpieczeństwem?
Najczęstszymi naruszeniami przepisów RODO w związku z cyberbezpieczeństwem, czyli odpornością systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych, jest przede wszystkim niewdrożenie przez administratorów środków i procedur, o których mowa w art. 24 i 25 RODO oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32 RODO. Naruszenia tych przepisów podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Decyzje Prezesa Urzędu Ochrony Danych Osobowych w sprawach administracyjnych kar pieniężnych są udostępniane na stronie internetowej orzeczenia.uodo.gov.pl.
Jakie obowiązki ma administrator po wykryciu naruszenia ochrony danych osobowych?
W przypadku naruszenia ochrony danych osobowych należy bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Niezależnie od zgłoszenia należy podjąć działania w celu zaradzenia naruszeniu ochrony danych osobowych, np. blokując nieautoryzowany dostęp czy resetując hasła. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych, należy też bez zbędnej zwłoki zawiadomić o takim naruszeniu osobę, której dane dotyczą.
