Brak dostępu administratora do danych osobowych jest także naruszeniem ochrony danych – to jedno z przypomnień zawartych w specjalnym materiale informacyjnym UODO dotyczącym tego zagadnienia.
Od 25 maja 2018 r. do 25 maja 2019 r. administratorzy, realizując obowiązek wynikający z art. 33 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO), zgłosili Prezesowi Urzędu Ochrony Danych Osobowych 4 539 naruszeń ochrony danych osobowych. Dwie trzecie notyfikacji pochodziło od administratorów z sektora prywatnego, a jedna trzecia od administratorów z sektora publicznego. W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od firm: telekomunikacyjnych, ubezpieczeniowych, finansowych, banków oraz służby zdrowia. W sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały jednostki samorządu terytorialnego, szkoły, przedszkola, żłobki oraz placówki służby zdrowia.
Z naszych rocznych doświadczeń w zakresie przyjmowania i analizy zgłoszeń naruszeń ochrony danych osobowych wynika, że administratorzy w dalszym ciągu mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych, o którym stanowi art. 33 RODO. A tak jest choćby w przypadku utraty dostępu do danych, które się przetwarza. Z taką sytuacją natomiast można mieć do czynienia w przypadku zainfekowania systemu wirusem ransomware, który szyfruje np. dostęp do całych baz danych, a niekiedy ich kopii zapasowych.
Wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – UODO nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych.
Również spotkania z innymi podmiotami eksperckimi, jak CSIRT NASK, służą wymianie doświadczeń i informacji oraz doskonaleniu praktyk w zakresie wykrywania oraz zapobiegania występowaniu naruszeń związanych z infrastrukturą informatyczną.
Nasze doświadczenia z pierwszego roku stosowania przepisów RODO w zakresie naruszeń ochrony danych osobowych oraz wypracowane na podstawie tych doświadczeń wskazówki dla administratorów i inspektorów ochrony danych zawarliśmy w specjalnym materiale zatytułowanym „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, który dostępny jest poniżej. Mamy nadzieję, że będzie on pomocny w doskonaleniu praktyk administratorów w tym zakresie.
Załącznik do pobrania:
