W naszym życiu mogą pojawić się sytuacje, gdzie będzie trzeba egzekwować nasze prawa, a do tego niezbędna jest wiedza o tym, kto odpowiedzialny jest za nasze dane oraz co uznawane za naruszenie RODO.
Jak wyglądanie zgłaszanie przepisów RODO?
Zgodnie z przepisami RODO organizacja musi zgłosić naruszenie ochrony danych organowi ochrony danych, zwanemu również organem nadzorczym, jeśli wystąpi incydent "prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych", który prowadzi do potencjalnego zagrożenia praw i wolności osób. Europejski Inspektor Ochrony Danych (EIOD) zwraca uwagę, że choć nie każdy incydent związany z bezpieczeństwem informacji jest naruszeniem danych osobowych, to każde naruszenie danych osobowych jest incydentem związanym z bezpieczeństwem informacji.
Co uznawane jest za naruszenie przepisów RODO?
Jeśli naruszenie może spowodować "utratę kontroli nad swoimi danymi osobowymi lub ograniczenie praw, dyskryminację, kradzież tożsamości lub oszustwo, straty finansowe, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, utratę poufności danych osobowych chronionych tajemnicą zawodową lub jakąkolwiek inną znaczącą ekonomiczną lub społeczną szkodę dla danej osoby fizycznej", jak wymieniono w motywie 85 RODO, firma ma obowiązek zgłosić incydent.
Zdarzenia wymienione przez EIOD, które mogą być brane pod uwagę, to m.in:
- Utracona lub skradziona baza danych klientów (w tym utracona na nośnikach wymiennych, takich jak pamięci USB)
- Jedyna kopia zbioru danych osobowych została zaszyfrowana przez oprogramowanie ransomware lub została zaszyfrowana przez administratora danych przy użyciu klucza, którego już nie posiada
- Dane zostały usunięte przypadkowo lub przez osobę nieupoważnioną
- Rozproszony atak typu DDoS (distributed denial of service) powoduje tymczasową niedostępność danych osobowych, jeżeli dostęp do tych danych jest krytyczny - na przykład w szpitalu.
Za niepowiadomienie organu ochrony danych o naruszeniu przepisów grozi grzywna w wysokości 10 milionów euro (11,3 miliona dolarów) lub 2 procent światowego obrotu firmy.
