analiza

Nowy poradnik UODO zwiększy liczbę zgłaszanych incydentów

Opublikowana w minionym tygodniu nowa wersja poradnika Urzędu Ochrony Danych Osobowych dotyczącego naruszeń ochrony danych osobowych przynajmniej dla części administratorów może oznaczać konieczność przeglądu dotychczasowych procedur. Bez wątpienia zwiększy też liczbę zgłoszeń dotyczących incydentów bezpieczeństwa.

Incydent bezpieczeństwa a naruszenie ochrony danych osobowych

UODO zwraca uwagę, że naruszenie ochrony danych osobowych jest szczególnym przypadkiem incydentu bezpieczeństwa. Jak wskazuje w wielu miejscach poradnika, nie jest tak, że każdy incydent dotyczący bezpieczeństwa informacji jest naruszeniem ochrony danych osobowych. Naruszeniem jest incydent, który dotyczy przetwarzanych danych osobowych oraz prowadzi do ich nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do nich. Urząd jednocześnie podaje sytuacje, gdy incydent bezpieczeństwa nie jest naruszeniem ochrony danych osobowych. Może nim być omyłkowe wysłanie e-maila zawierającego dane osobowe do niewłaściwego – ale uprawnionego – odbiorcy wewnątrz organizacji (zdarzenie nie prowadzi do nieuprawnionego ujawnienia danych osobowych). Oczywiście administrator będzie musiał „rozliczyć się” z tego, jak kwalifikuje zdarzenia jako incydenty bezpieczeństwa i kiedy przyjmuje, że dochodzi do naruszenia ochrony danych osobowych.