Prezes Urzędu Ochrony Danych Osobowych (UODO) wydał nowe wytyczne zawarte w poradniku „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, które znacząco zmieniają dotychczasowe podejście do kwalifikowania incydentów związanych z danymi osobowymi. Nowe wskazówki Prezesa UODO powodują, że wiele zdarzeń, które dotychczas nie były traktowane jako naruszenia ochrony danych, teraz zostanie uznanych za takie naruszenie. To istotna zmiana dla administratorów danych, którzy będą zobowiązani do bardziej rygorystycznego podejścia do monitorowania incydentów i raportowania ich do organu nadzorczego.

Nowe podejście do naruszeń ochrony danych

Według nowych wytycznych, aby określone zdarzenie zostało zakwalifikowane jako naruszenie ochrony danych osobowych, wystarczy, że istnieje prawdopodobieństwo, że może ono powodować naruszenie poufności, integralności lub dostępności danych. W praktyce oznacza to, że każda sytuacja, w której wystąpi zagrożenie dla danych osobowych, powinna być traktowana jako naruszenie.

Kiedy mamy do czynienia z naruszeniem ochrony danych?

Europejska Rada Ochrony Danych (EROD) definiuje naruszenie ochrony danych osobowych jako zdarzenie, które skutkuje naruszeniem co najmniej jednej z trzech podstawowych zasad ochrony danych:

  1. Poufność danych – gdy nieuprawnione osoby uzyskują dostęp do danych osobowych (np. wyciek danych z bazy klientów, zgubienie nośnika z danymi, błędne wysłanie e-maila z danymi do niewłaściwego odbiorcy).
  2. Integralność danych – gdy dane zostają nieuprawnienie zmodyfikowane, usunięte lub uszkodzone (np. atak ransomware, błędne nadpisanie danych w systemie, manipulacja danymi przez osobę nieuprawnioną).
  3. Dostępność danych – gdy dane są czasowo lub trwale niedostępne dla uprawnionych użytkowników (np. awaria systemu uniemożliwiająca dostęp do danych, atak DDoS blokujący dostęp do platformy przetwarzającej dane osobowe).

Konsekwencje dla administratorów danych

Nowe wytyczne oznaczają, że administratorzy danych powinni wdrożyć skuteczniejsze mechanizmy monitorowania incydentów, ponieważ więcej zdarzeń będzie kwalifikowanych jako naruszenie. Każde takie naruszenie wymaga odpowiedniej analizy ryzyka, a w przypadku, gdy może ono skutkować ryzykiem dla praw i wolności osób fizycznych – zgłoszenia do UODO w terminie 72 godzin. Administratorzy powinni również przygotować się na konieczność częstszego informowania osób, których dane dotyczą, o potencjalnych zagrożeniach wynikających z naruszenia.

Podsumowanie

Nowe wytyczne Prezesa UODO zmieniają podejście do incydentów związanych z ochroną danych osobowych. Zmiana ta skutkuje rozszerzeniem katalogu sytuacji uznawanych za naruszenie, co nakłada dodatkowe obowiązki na administratorów danych. Kluczowe jest wdrożenie skutecznych mechanizmów ochrony oraz procedur raportowania, aby minimalizować ryzyko naruszeń i zapewnić zgodność z przepisami RODO.