Co to jest naruszenie ochrony danych i co musimy zrobić w przypadku naruszenia ochrony danych?
Odpowiedź
Naruszenie ochrony danych ma miejsce, gdy dane, za które odpowiedzialna jest Państwa firma/organizacja, ulegają incydentowi bezpieczeństwa, którego skutkiem jest naruszenie poufności, dostępności lub integralności. Jeśli tak się stanie i jest prawdopodobne, że naruszenie stwarza ryzyko dla praw i wolności osoby fizycznej, Twoja firma/organizacja musi powiadomić organ nadzorczy bez zbędnej zwłoki, a najpóźniej w ciągu 72 godzin od dowiedzenia się o naruszeniu. Jeśli Twoja firma/organizacja jest podmiotem przetwarzającym dane, musi powiadomić o każdym naruszeniu danych administratora danych.
Jeśli naruszenie danych stwarza wysokie ryzyko dla osób, których dotyczy, wszyscy oni również powinni zostać poinformowani, chyba że istnieją skuteczne techniczne i organizacyjne środki ochrony, które zostały wdrożone, lub inne środki, które zapewniają, że ryzyko nie będzie się już prawdopodobnie urzeczywistniać.
Jako organizacja istotne jest wdrożenie odpowiednich środków technicznych i organizacyjnych w celu uniknięcia możliwych naruszeń ochrony danych.
Przykłady
Organizacja musi powiadomić organ ochrony danych i osoby fizyczne
Dane pracowników firmy tekstylnej zostały ujawnione. Dane te obejmowały adresy osobiste, skład rodziny, miesięczne wynagrodzenie i roszczenia medyczne każdego pracownika. W takim przypadku firma tekstylna musi poinformować organ nadzorczy o naruszeniu. Ponieważ dane osobowe zawierają dane wrażliwe, takie jak dane dotyczące zdrowia, firma musi powiadomić również pracowników.
Pracownik szpitala postanawia skopiować dane pacjentów na płytę CD i publikuje je w Internecie. Szpital dowiaduje się o tym kilka dni później. Szpital ma 72 godziny na poinformowanie organu nadzorczego, a ponieważ dane osobowe zawierają informacje wrażliwe, takie jak to, czy pacjent ma raka, czy jest w ciąży, itp. W takim przypadku pojawiłyby się wątpliwości, czy szpital wdrożył odpowiednie techniczne i organizacyjne środki ochrony. Jeśli rzeczywiście wdrożył odpowiednie środki ochrony (np. szyfrowanie danych), istotne ryzyko byłoby mało prawdopodobne i mógłby być zwolniony z obowiązku powiadamiania pacjentów.
Firma musi powiadomić klientów, a oni mogą być następnie zmuszeni do powiadomienia organu ochrony danych i osób fizycznych
Usługa w chmurze traci kilka dysków twardych zawierających dane osobowe należące do kilku klientów. Musi powiadomić tych klientów, gdy tylko dowie się o naruszeniu. Jego klienci muszą powiadomić IOD oraz osoby fizyczne w zależności od danych, które były przetwarzane przez przetwarzającego dane.