GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
25 stycznia 2022

Co to jest incydent?

Co to jest incydent?

Zgodnie z RODO podmiot, który przetwarza dane osobowe musi wdrożyć odpowiednie środki organizacyjne i techniczne, które zminimalizują możliwość występowania zagrożeń dla bezpieczeństwa danych osobowych.

W przypadku wystąpienia zdarzenia, które zagraża bezpieczeństwu informacji np. zachowaniu ich integralności, poufności i dostępności mówimy o incydencie bezpieczeństwa. Jeżeli incydent bezpieczeństwa powoduje negatywne konsekwencje dla osób, których dane przetwarzamy, mamy wówczas do czynienia z naruszeniem ochrony danych osobowych. W celu wykrywania incydentów administrator powinien mieć wdrożoną  stosowną procedurę.

W przypadku wykrycia incydentu bezpieczeństwa administrator danych ma obowiązek oceny czy jest ono  naruszeniem  ochrony danych osobowych. Jeżeli to podmiot  przetwarzający stwierdził incydent ma on obowiązek powiadomienia o nim administratora bez zbędnej zwłoki. Ocena incydentu powinna odbywać się w oparciu o przyjętą u administratora procedurę oceny incydentów bezpieczeństwa.

W ramach prowadzonej przez administratora oceny bada się czy jest to naruszenie ochrony danych osobowych czy jedynie incydent bezpieczeństwa. Jeśli jest to naruszenie, sprawdzamy  jakiej kategorii danych ono dotyczyło. Wskazujemy  też możliwe negatywne konsekwencje dla osób, których dane dotyczą oraz to czy naruszenie wpłynęło na integralność, poufność czy dostępność przetwarzanych danych osobowych. Administrator ustala też czy konieczne jest zgłoszenie naruszenia do właściwego organu nadzoru lub do osoby, której dane zostały dotknięte naruszeniem.

Naruszenie RODO i kolejna kara za brak współpracy

Administrator danych ma 72 godziny od stwierdzenia naruszenia na zgłoszenie go do urzędu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych. Zgłoszenie naruszenia powinno nastąpić w każdym przypadku, chyba, że ocenimy, że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności  danej osoby. Zawiadomienie do organu powinno zawierać co najmniej:

  • opis charakteru naruszenia, w tym jeśli to możliwe wskazywać kategorie i liczbę osób, których dotknęło naruszenie,
  • dane kontaktowe oraz imię i nazwisko IOD lub punktu kontaktowego,
  • opisać konsekwencje naruszenia oraz
  • opisać środki zastosowane lub proponowane przez administratora w celu zaradzenia ewentualnym negatywnym skutkom naruszenia.

W Polsce został przygotowany formularz zgłaszania naruszeń przez Urząd Ochrony Danych Osobowych.

Kara za zwłokę…

Jeżeli w wyniku przeprowadzonej oceny administrator stwierdzi, że naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, jest zobowiązany do zawiadomienia osób, których dane dotyczą o  tym naruszeniu bez zbędnej zwłoki. Administrator powinien pamiętać, że zawiadomienie powinno być napisane jasnym i prostym językiem wyjaśniającym charakter naruszenia oraz zawierać obowiązkowo:

  • dane kontaktowe oraz imię i nazwisko IOD lub punktu kontaktowego,
  • opisane konsekwencje naruszenia oraz
  • opisane środki zastosowane lub proponowane przez administratora w celu zaradzenia ewentualnym negatywnym skutkom naruszenia.

Po wykryciu incydentu bezpieczeństwa oraz naruszenia danych osobowych ważne jest przeanalizowanie zdarzenia i wdrożenie środków, które mogą w przyszłości wyeliminować lub zminimalizować w przyszłości podobne zdarzenia.

Udostępnij publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies