Co zrobić, gdy w ratuszu doszło do wycieku danych

Warszawski magistrat zaliczył niedawno poważną wpadkę - omyłkowo przesłał nieuprawnionym osobom numery ksiąg wieczystych z rejestrów cen nieruchomości i poinformował o tym w swoim Biuletynie Informacji Publicznej. Sprawa ta skłania do omówienia problemów związanych z bezpieczeństwem danych osobowych w sektorze publicznym i poszukania odpowiedzi na pytanie, jak zapobiec takim przypadkom oraz jak prawidłowo reagować, gdy już się wydarzą.

W takich przypadkach, jak przypomniany wyżej, RODO posługuje się terminem „naruszenie ochrony danych osobowych”. Potocznie używa się określenia incydent bezpieczeństwa (nim się też to posłużyły władze stolicy). Incydentem nie jest jednak naruszenie jakiegokolwiek wymogu RODO, np. niespełnienie obowiązku informacyjnego, ale wyłącznie naruszenie reguł bezpieczeństwa (jednego z trzech jego atrybutów, tj. poufności, integralności i dostępności danych) prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.