1. Czym jest Incydent RODO?
Naruszenie ochrony danych osobowych, określane jako incydent RODO, to sytuacja, która może negatywnie wpłynąć na poufność, integralność lub dostępność danych. Incydent RODO nie ogranicza się jedynie do wycieku danych, ale obejmuje również czasową utratę dostępu, zniszczenie lub utratę danych osobowych.
2. Przykłady Incydentów RODO
Incydentami RODO mogą być:
- Zniszczenie jedynego egzemplarza akt osobowych.
- Zgubienie pendrive’a będącego jedynym nośnikiem informacji o klientach.
- Nieuprawniony dostęp do systemu informatycznego firmy.
- Wysłanie mailem niezaszyfrowanych dokumentów zawierających dane osobowe do niewłaściwego odbiorcy.
3. Jak Reagować na Incydent RODO?
W przypadku podejrzenia lub wystąpienia incydentu RODO, kadra kierownicza powinna niezwłocznie podjąć następujące kroki:
- Podjąć działania zapobiegawcze, mające na celu zminimalizowanie negatywnych skutków incydentu, np. przywrócenie działania systemu.
- Ocenić ryzyko naruszenia praw osób, których dane dotyczą.
- Zgłosić naruszenie Prezesowi UODO.
- Powiadomić osoby, których dane zostały naruszone, o zaistniałej sytuacji (jeśli ryzyko jest istotne).
4. Kogo Zaangażować w Reakcję na Incydent?
W zależności od specyfiki incydentu, należy zaangażować odpowiednie osoby, takie jak:
- Prawnik specjalizujący się w ochronie danych osobowych.
- Inspektor Ochrony Danych (IOD).
- Informatyk.
Współpraca z profesjonalistami jest kluczowa dla właściwego zabezpieczenia interesów firmy.
5. Zgłoszenie Naruszenia do Prezesa UODO
Zgłoszenie naruszenia do Prezesa UODO powinno nastąpić w ciągu 72 godzin od stwierdzenia incydentu.
6. Kiedy Nie Trzeba Zgłaszać Naruszenia?
Naruszenia nie trzeba zgłaszać, jeżeli jest mało prawdopodobne, że mogło ono spowodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
7. Dokumentowanie Incydentu
Należy dokumentować każde działanie podjęte w związku z wystąpieniem incydentu.
