praktycznie
bezpiecze ń stwo danych
EROD wspiera w poprawnym reagowaniu na naruszenia ochrony danych Nałożone w ostatnim czasie pieniężne kary administracyjne dowodzą, iż niemałym wyzwaniem dla administratorów danych osobowych (AOD) jest prawidłowe podejście do analizy i oceny naruszeń, które u nich wystąpiły. Karolina Szuścik, CISA Inspektor Ochrony Danych, KAMSOFT S.A.
Problemy występują mimo tego, iż Grupa Robocza Art. 29 opracowała reguły dotyczące zgłaszania naruszeń ochrony danych – wytyczne WP250. Na ten problem zwróciła także uwagę Europejska Rada Ochrony Danych (EROD), która jest niezależnym organem europejskim, działającym na rzecz spójnego stosowania zasad ochrony danych w całej Unii Europejskiej.
34
OSOZ Polska 3/2021
Na początku 2021 roku organ ten wydał wytyczne „EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych”. Dokument opisuje 18 naruszeń ochrony danych pogrupowanych w ramach sześciu rozdziałów: – ataki typu ransomware, – wycieki danych, – błędy podczas wysyłki danych osobowych, – kradzieże lub zagubienia urządzeń oraz dokumentów w formie papierowej,
– socjotechniki, – zagrożenia pochodzące z wewnątrz organizacji. W każdej z powyższych grup zostały opisane szczegółowe przykłady naruszeń i wskazówki, jak administratorzy danych powinni postąpić w przypadku, gdy stwierdzą takie naruszenie w stosunku do przetwarzanych danych osobowych. Nie są to rzeczywiste przykłady, jednakże opierają się one na doświadczeniu organów nadzorczych w kwestiach powiadomień o wyciekach danych. Zanim przejdziemy do omówienia wybranych przykładów, należy wyraźnie wskazać, iż jednym z najważniejszych obowiązków AOD jest ocena zidentyfikowanych zagrożeń wobec praw i wolności osób,
