Mając na uwadze fakt, iż obowiązujące regulacje w zakresie ochrony danych osobowych przenikają wszelkie sfery życia społeczno-gospodarczego, warto mieć świadomość co do najczęstszych potencjalnych przyczyn naruszeń Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych zwanego potocznie „RODO”. Wiedza ta z pewnością może posłużyć podjęciu stosownych działań, w tym także wdrożeniu procedur prawnych, które pozwolą zabezpieczyć się od kar finansowych bądź innych sankcji przewidzianych przez RODO.
Tytułem wstępu warto odnieść się do art. 4 pkt 12 RODO, który definiuje pojęcie naruszenia ochrony danych osobowych, wskazując, iż oznacza ono: „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Zgodnie z RODO wyróżnić można trzy zasadnicze typy naruszeń ochrony danych osobowych, do których zaliczamy kolejno:
- Naruszenie poufności charakteryzujące się ujawnieniem osobie nieuprawnionej danych osobowych,
- Naruszenie dostępności polegające na czasowej lub trwałej utracie lub zniszczeniu danych osobowych oraz
- Naruszenie integralności skutkujące nieautoryzowaną zmianą treści danych osobowych.
Do najczęstszych przyczyn naruszenia RODO, w oparciu o dane udostępniane przez Urząd Ochrony Danych osobowych należy zaliczyć następujące naruszenia.
Naruszenia związane z używaniem poczty elektronicznej
Masowa korespondencja mailowa staje się coraz powszechniejszą formą marketingu i stanowi często podstawowe narzędzie pracy dla przedsiębiorców. Naruszenia związane z jej wykorzystywaniem powstają zwykle wówczas, gdy nadawca wysyłając korespondencję do wielu adresatów jednocześnie nie zadba o to, by konkretny adresat nie miał możliwości poznania pozostałych adresów mailowych innych osób, do których kierowana jest wiadomość. Wskazać należy, iż adres mail może być uznany za daną osobową podlegającą ochronie wówczas, gdy jesteśmy w stanie na jego podstawie zidentyfikować konkretną osobą fizyczną.
Niekiedy zdarzają się również sytuacje, że do naruszenia dochodzi w sytuacji, gdy mail wysłany na zły adres mailowy, trafił do nieuprawnionej osoby w wyniku czego dochodzi do naruszenia zasady poufności. Celem zmniejszenia ryzyka wystąpienia takiej sytuacji, warto wdrożyć w swojej firmie odpowiednią politykę RODO, czy też zadbać o stosowne zapisy w stopce maila.
Zagubienie dokumentów zawierających dane osobowe
Często spotykane naruszenie przepisów dotyczących ochrony danych osobowych związane jest ze zgubieniem dokumentów zawierających dane osobowe. Dotyczy to przypadków zagubienia zarówno elektronicznych nośników danych zawierających dane osobowe, takich jak smartfony czy laptopy, ale także fizycznej dokumentacji. Na wypadek takich sytuacji konieczne jest stosowanie odpowiednich zabezpieczeń o charakterze technicznym (wszelkie hasła, szyfrowanie urządzeń) oraz wdrożenie w firmie procedur dotyczących obiegu dokumentów zawierających dane osobowe (polityka bezpieczeństwa, polityka czystego biurka).
Ataki hakerskie
Z naruszeniem ochrony danych osobowych, mamy do czynienia także w przypadku ataku hakerskiego, czy innego złośliwego oprogramowania. Takie zdarzenia powinny być więc, co do zasady, zgłoszone organowi nadzorczemu tj. Prezesowi Urzędu Ochrony Danych Osobowych. Powyższe wynika z art. 33 RODO, który stanowi, że w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo ust. 5 powołanego artykułu obliguje podmioty przetwarzające dane osobowe do ewidencjonowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Warto też zwrócić uwagę na to, że dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania art. 33 RODO.
Zgodnie zaś z art. 34 RODO: „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.
Potencjalne naruszenia ochrony danych osobowych, z uwzględnieniem tych przedstawionych powyżej, mogą mieć daleko idące konsekwencje dla administratorów i podmiotów przetwarzających dane osobowe, dlatego niezwykle istotne jest podjęcie przez administratorów i procesorów środków zapobiegawczych o charakterze proceduralnym np. przez wdrożenie w swojej firmie odpowiedniej polityki w zakresie ochrony danych osobowych, czy też innych środków o charakterze technicznym.