Przykłady naruszenia RODO

Przykłady naruszenia RODO

Klasyfikowanie naruszeń

RODO

Naruszenie może być przypadkowe lub celowe (niezgodne z prawem), może polegać na zniszczeniu, utracie lub zmodyfikowaniu danych, jak również ich nieuprawnionym ujawnieniu lub nieuprawnionym dostępie do danych, które są przechowywane, przesyłane lub w inny sposób przetwarzane.

Korzystając z definicji powiązanych z Normą ISO 27001 dotyczącą bezpieczeństwa informacji, możemy przywołać trzy kategorie, które od dawna są używane w bezpieczeństwie informacji:

integralność danych,

poufność danych,

dostępność danych.

Opierając się na tych kategoriach można uznać, że naruszenie poufności danych nastąpi w momencie, gdy dojdzie do nieuprawnionego ujawnienia lub udostępnienia danych. Z naruszeniem integralności danych będziemy mieć do czynienia w momencie, gdy nastąpi nieuprawniona lub przypadkowa ich modyfikacja, a z naruszeniem dostępności — w sytuacji przypadkowego lub nieuprawnionego dostępu lub ich zniszczenia. Biorąc pod uwagę okoliczności, z jakimi można się spotkać w życiu codziennym możemy mieć do czynienia z dowolną kombinacją kategorii naruszenia danych.

Przykład: „W wyniku przerwy w dostawie prądu lub ataku typu blokada usług, administrator tymczasowo lub trwale traci dostęp do danych osobowych.”

RODO (Rozporządzenie o Ochronie Danych Osobowych) lub GDPR (General Data Protection Regulation) to prawo unijne, które obowiązuje od 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej. W Polsce zastąpiło ono ustawę o ochronie danych osobowych. Przepisy, jakie wprowadza, dotyczą wszystkich podmiotów będących administratorami danych osobowych.

W powyższym przykładzie mamy do czynienia ze zdarzeniem skutkującym utratą dostępności danych osobowych przez pewien odcinek czasu. Jest to naruszenie, ponieważ brak dostępu do danych może mieć znaczący wpływ na prawa i wolności osób fizycznych. Pamiętać należy jednak, że nie każda czasowa niedostępność do danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw i wolności osób fizycznych, np. w przypadku szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować jako wysokie ryzyko dla praw i wolności osób fizycznych.

Violetta Kołodziejczak

źródła:

https://www.politykabezpieczenstwa.pl/pl/a/naruszenie-przepisow-ochrony-danynych-osobowych

https://samorzad.infor.pl/sektor/organizacja/rodo-2018/785330,RODO-Naruszenie-danych-osobowych-w-praktyce.html

https://freshmail.pl/rodo/artykuly-o-rodo

https://freshmail.pl/rodo/

Naruszenie danych może mieć miejsce również w następujących przypadkach:

Naruszenie danych

Nieodpowiednie usuwanie danych (np. administrator postanawia pozbyć się starych komputerów. Przed sprzedażą usuwa jedynie pliki na pulpicie i opróżnia kosz ze starych plików. Nie usuwa jednak danych z dysku komputera).

-zmiana danych bez zgody osoby, której dane dotyczą;

-wysłanie danych do niewłaściwej osoby (np. poprzez niewłaściwie zaadresowanie poczty elektronicznej);

-utrata nośników danych (telefon, laptop, USB, teczki zawierające dane w wersji papierowej);

-nieuprawnione udostępnienie danych (np. elektronicznie – przekazywanie danych przez zdalny dostęp np. VPN, często przydzielane bezterminowo - ale też np. telefonicznie (rozmówca podaje się za pracownika policji czy urzędu, próbując wyciągnąć informacje);