Powstanie incydentu związanego z przetwarzaniem danych osobowych jest najkrótszą drogą do kontroli Generalnego Inspektora Ochrony Danych Osobowych. Bardzo często o wiele poważniejsze skutki związane są z roszczeniami cywilnoprawnymi, jakie mogą mieć w stosunku do administratora danych osoby fizyczne, gdyż naruszenie ochrony danych osobowych może również stanowić naruszenie dóbr osobistych (art. 23 i 24 Kodeksu cywilnego). Wystąpienie incydentu może także doprowadzić do utraty dobrego wizerunku organizacji, czego naprawienie może okazać się niezwykle kosztowne, trudne i długotrwałe.
Najczęstsze incydenty związane z ochroną danych osobowych
Kategoria: Ochrona danych osobowych
Data: 29-05-2015 r.
Jednym z kluczowych elementów niezbędnych do wprowadzenia skutecznego systemu ochrony danych osobowych jest zminimalizowanie ryzyka wystąpienia ewentualnych incydentów. Administrator danych, przygotowując wewnętrzne regulacje dotyczące ochrony danych osobowych powinien uwzględnić przede wszystkim specyfikę swojej działalności oraz zagrożenia z nią związane.
Według projektu rozporządzenia w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (tzw. ogólne rozporządzenie o ochronie danych przez naruszenie zasad ochrony danych osobowych) incydent należy rozumieć jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób (art. 4 pkt 9 pierwotnego brzmienia projektu rozporządzenia).
W obszarze danych osobowych przez incydent należy rozumieć zdarzenie, w wyniku którego doszło do ujawnienia lub utraty albo zwiększenia ryzyka ujawnienia lub utraty informacji stanowiącej dane osobowe lub informacji dotyczącej sposobu zabezpieczenia danych osobowych. Rodzaje incydentów możemy zidentyfikować, stosując różne kryteria. Przykładowo, kryterium takim może być źródło incydentu i jego istotność.
W mojej ocenie najważniejszym z kryteriów jest podział incydentów pod kątem zasad przetwarzania danych osobowych, które są naruszane. W ustawie o ochronie danych osobowych zostało sformułowanych pięć zasad przetwarzania danych osobowych.
Administrator danych powinien zapewnić, aby przetwarzanie danych osobowych odbywało się z zachowaniem zasad:
-
adekwatności,
-
rzetelności,
-
okresowości,
-
celowości (art. 26 ust. 1 ustawy o ochronie danych osobowych) oraz
-
zasady bezpieczeństwa (art. 36 ust. 1 ustawy o ochronie danych osobowych).
Zasada bezpieczeństwa
Najczęściej występującymi incydentami są te związane z zasadą bezpieczeństwa. To administrator danych jest zobowiązany do wdrożenia odpowiednich zabezpieczeń i dbania, aby były one przestrzegane.
Zasada adekwatności
Zasada adekwatności jest naruszana poprzez nadmierne pozyskiwanie danych osobowych. Administrator danych, zbierając dane „na zapas”, czasami nawet nieświadomie, może narazić się na odpowiedzialność karną.
Zasada retencji
Zasada okresowości polega na przetwarzaniu danych tylko tak długo, jak jest to niezbędne do zrealizowania celu, w jakim dane zostały zebrane. Do jej naruszenia dochodzi poprzez zbyt długie przetwarzanie danych osobowych pomimo że nie istnieje już cel, w jakim dane osobowe zostały zebrane.
Zasada celowości
Jedne z najczęściej występujących incydentów dotyczą naruszenia zasady celowości. Zgodnie z tą zasadą, dane powinny być przetwarzane wyłącznie w celu, w jakim zostały zebrane.
Zasada rzetelności
Zasada rzetelności jest związana z obowiązkiem zapewnienia, aby przetwarzane dane osobowe były zgodne ze stanem faktycznym, czyli prawdziwe i merytorycznie poprawne. Najczęściej do jej naruszenia, np. w sektorze finansowym, dochodzi w sytuacji, gdy bank przekazuje nieprawdziwe informacje na temat kredytobiorców do Biura Informacji Kredytowej o niespłaconych zobowiązaniach kredytowych.
Zobacz także:
Tagi: dane osobowe
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
