Przejdź do treści
Strona główna » Blog » Jak ocenić naruszenie ochrony danych osobowych?

Jak ocenić naruszenie ochrony danych osobowych?

Każdy administrator musi liczyć się z możliwością naruszenia ochrony danych osobowych. Przetwarzanie danych osobowych wiąże się z ryzykiem. Przyczyną naruszenia może być szereg różnych zdarzeń. Błąd ludzki, zagrożenia ze sfery cyberbezpieczeństwa czy może zaniedbania organizacyjne? Na razie to bez znaczenia, bo każde z nich może doprowadzić właśnie do naruszenia ochrony danych osobowych.

O tym, czym jest naruszenie ochrony danych osobowych napisałem już odrębny artykuł. Możesz zapoznać się z nim klikając tutaj. Jeżeli natomiast wpadłeś tu tylko na chwilę, przypomnę w skrócie.

Z naruszeniem ochrony danych osobowych mamy do czynienia w szczególności wtedy, gdy:

  • utracisz dostęp do danych;
  • utracisz integralność danych, tj. zostaną wbrew Twojej intencji zmienione;
  • dane zostaną ujawnione.

Jeżeli doszło do zdarzenia, w wyniku którego ucierpiały wskazane wyżej obszary, powinieneś rozpatrzyć je pod kątem naruszenia ochrony danych osobowych. W jaki sposób możesz tego dokonać? Skorzystaj na przykład z metodyki oceniania naruszeń opracowanej przez ENISA. Rekomendacje te pozwolą Ci na przydzielenie konkretnych ocen i obliczenie na ich podstawie wagi naruszenia. Są one uzupełnione o przykłady, które pomogą Ci zastosować je w praktyce. Pamiętaj jednak, że nie są wyczerpujące. Życie pisze zdecydowanie więcej scenariuszy, niż jest to możliwe do oddania w takim dokumencie.

Ocena naruszenia ochrony danych osobowych zaczyna się od określenia jego kontekstu, tj. jakich danych osobowych i jakiego przetwarzania ono dotyczy. Metodologia wyróżnia dane zwykłe, dane dotyczące zachowań, dane finansowe oraz szczególne kategorie danych osobowych. Każda z grup ma przyporządkowane wartości liczbowe, które należy powiększyć lub pomniejszyć w zależności od okoliczności zdarzenia.

Drugim krokiem oceny naruszenia jest określenie łatwości identyfikacji konkretnej osoby z wykorzystaniem danych objętych naruszeniem. Zaproponowana w rekomendacjach ocena zawiera się w czterech ocenach. Wyróżniają kolejno stopień nieistotny, ograniczony, istotny i maksymalny. W dużym uproszczeniu najniższy stopień wiąże się z niewielkim prawdopodobieństwem prawidłowego ustalenia tożsamości osoby, a najwyższy z prawdopodobieństwem bardzo wysokim.

Kolejnym etapem jest przypisanie oceny wspomnianych już okoliczności naruszenia, którymi są utrata dostępu do danych, ich integralności lub poufności. Jeżeli zdarzenie było wywołane działaniem w złej wierze, konieczne będzie podwyższenie oceny.

Końcowy wynik oceny naruszenia otrzymasz po podłożeniu uzyskanych liczb do równania:

Jeżeli uzyskasz wartość przekraczającą 2, naruszenie podlega obowiązkowi zgłoszenia go do Prezesa Urzędu Ochrony Danych Osobowych.

Ocena naruszenia przy wykorzystaniu rekomendacji ENISA wygląda stosunkowo prosto, przynajmniej na papierze. Z doświadczenia wiem jednak, że w praktyce może nie być to łatwe zadanie. Naruszenia często są bardzo złożone, a ich prawidłowa ocena i podjęcie decyzji co do dalszych działań wymaga znajomości szeregu przepisów i wytycznych. Pomocne są także decyzje wydawane w sprawach naruszeń przez Prezesa UODO.

Na zakończenie życzę Ci, abyś nie musiał skorzystać z tych wskazówek. Jeżeli jednak by tak było, nie jesteś sam. Mogę Ci w tym pomóc i doradzić co zrobić w konkretnej sytuacji.😉

1 komentarz do “Jak ocenić naruszenie ochrony danych osobowych?”

  1. Pingback: Rejestr naruszeń ochrony danych osobowych - Zdrowe Dane

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *