Zdarzenia, które mogą być uznane za naruszenie!

Zdarzenia, które mogą być uznane za naruszenie!

Czy na pewno wiemy co to jest naruszenie i co z nim zrobić? Często spotykamy się z informacjami u klientów, że u nich do naruszeń nie dochodzi. Czy faktycznie? A może pracownicy nie wiedzą, co trzeba zgłaszać i komu.

Każde naruszenie danych osobowych należy zgłosić do osoby upoważnionej. Najczęściej do Inspektora Ochrony Danych. Celem powiadomienia IOD jest przeanalizowanie przyczyn wystąpienia naruszenia oraz analiza ewentualnych skutków. W przypadku gdy naruszenie będzie skutkowało naruszeniem praw i wolności osoby fizycznej, zgodnie z przepisami prawa, w ciągu 72 godzin takie naruszenie należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych. Każde naruszenie trzeba przeanalizować i zaewidencjonować wewnętrznie, jednak nie każde należy zgłosić do Prezesa UODO.

Czym jest naruszenie ?

Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Tym samym z naruszeniem ochrony danych będziemy mieli do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania pracownika przetwarzającego dane, jak i wtedy, gdy pracownik ten doprowadzi do incydentu niechcący.

Najogólniej mówiąc naruszenia można podzielić na trzy grupy:

  • naruszenie poufności, które polega na ujawnieniu lub udostępnieniu danych osobie nieuprawnionej;
  • naruszenie integralności, które sprowadza się do zmiany treści danych osobowych, czyli ich modyfikowania, w sposób nieautoryzowany;
  • naruszenie dostępności, które wiąże się z trwałą utratą dostępu do danych lub ich zniszczeniem.

Jak zdarzenia mogą być uznane za naruszenia?

  • zgubienie lub kradzież nośnika lub urządzenia;
  • zgubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji dokumentacji papierowej, która zawiera dane osobowe;
  • utratę przez operatora pocztowego korespondencji papierowej lub otwarcie jej przed zwróceniem nadawcy;
  • nieuprawnione uzyskanie dostępu do informacji;
  • nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń;
  • pojawienie się złośliwego oprogramowania, które ingeruje w poufność, integralność i dostępność danych;
  • uzyskanie poufnych informacji przez pozornie zaufaną osobę w oficjalnej komunikacji elektronicznej, tj. drogą e-mailową lub za pomocą komunikatora internetowego (phishing);
  • nieprawidłową anonimizację danych osobowych w dokumencie;
  • nieprawidłowe usunięcie lub zniszczenie danych osobowych z nośnika lub urządzenia elektronicznego przed jego zbyciem przez administratora;
  • niezamierzoną publikację;
  • wysłanie danych osobowych do niewłaściwego odbiorcy;
  • ujawnienie danych niewłaściwej osoby;
  • ustne ujawnienie danych osobowych;
  • udostępnienie danych osobowych nieuprawnionym osobom w związku z wysyłaniem poczty elektronicznej;
  • zagubienie lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne);
  • udostępnienie dokumentacji zawierającej dane osobowe osobie nieuprawnionej;
  • zablokowanie dostępu do danych osobowych;
  • wysyłka dokumentów na niewłaściwy adres korespondencyjny;
  • niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji;
  • w wyniku cyberataku na usługę nastąpił wyciek danych osobowych osób fizycznych;
  • wiadomość e-mail w ramach marketingu bezpośredniego wysłano do odbiorców w polach „do:” lub „dw:”, tym samym umożliwiając każdemu odbiorcy wgląd w adresy e-mail innych odbiorców.

Autor: Krzysztof Juszczak, Dyrektor Projektu – Inspektor Ochrony Danych Osobowych

 

© Copyright by CompNet Sp. z o. o.