W dzisiejszym wpisie chcielibyśmy poruszyć kwestie różnicy pomiędzy naruszeniem ochrony danych osobowych a naruszeniem przepisów RODO. Pojęcia te są niekiedy używane zamiennie, choć w rzeczywistości mogą być to inne zdarzenia prawne.
Naruszenie ochrony danych osobowych zostało zdefiniowane w samym rozporządzeniu RODO w art. 4 pkt 12 – „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych, które są przesyłane, przechowywane lub w inny sposób przetwarzane.”
Wyróżniamy trzy typy naruszeń:
👉🏻 naruszenie poufności
👉🏻 naruszenie integralności
👉🏻 naruszenie dostępności.
Jako przykłady kolejno można wskazać:
👉🏻 omyłkowe wysłanie e-maila z danymi osobowymi do niewłaściwego i nieuprawnionego odbiorcy
👉🏻 wprowadzenie do dokumentacji błędnych danych osobowych
👉🏻 trwała lub czasowa utrata dostępu do danych osobowych z powodu awarii systemu informatycznego.
W tym miejscu warto już podkreślić, że naruszenie ochrony danych nie w każdym przypadku musi zostać zakwalifikowane jako naruszenie przepisów RODO. Naruszenie przepisów RODO wynika z postępowania niezgodnego z określonymi wymogami przewidzianymi w tym akcie prawnym, które może – ale nie musi – wpływać na powstawanie naruszeń ochrony danych osobowych.
Można to zilustrować przykładem szpitala, który wdrożył najwyższy standard ochrony danych i zgodnie z zasadami RODO wdrożył odpowiednie środki bezpieczeństwa przetwarzania. 👇🏻
Pomimo wysiłku oraz najszczerszych chęci dochowania „rodowskich” standardów szpital padł ofiarą zaawansowanego cyberataku przy wykorzystaniu nieznanej wcześniej luki w oprogramowaniu. W rezultacie hakerzy wykradli dane pacjentów. W tym przypadku naruszenie ochrony danych osobowych wystąpiło, choć administrator nie naruszył przepisów RODO.
A teraz odwróćmy trochę ten przykład 🔁
Firma marketingowa gromadziła dane osobowe klientów, nie uzyskawszy na to wyraźnej zgody (i nie definiując przy tym innej przesłanki legalizującej proces przetwarzania), oraz nie informowała ich o celach przetwarzania. Dane były jednak przechowywane w bezpieczny sposób, nie dochodziło do naruszeń. Po pewnym czasie inspektor ochrony danych dostrzegł uchybienia w stosowaniu przepisów RODO. W odpowiedzi firma dostosowała swoją działalność do obowiązującego prawa. W tej sytuacji nie doszło do naruszenia ochrony danych osobowych, mimo że administrator naruszył przepisy RODO.
Podsumowując, RODO nie przewiduje obowiązku zapobiegania wszelkim możliwym naruszeniom ochrony danych osobowych. Można zatem dochować wymaganych prawnie standardów, a i tak mieć do czynienia z naruszeniem ochrony danych. Jeżeli takie zdarzenie wystąpiło pomimo prawidłowego realizowania obowiązków przez administratora, nie musi się on obawiać zastosowania wobec niego sankcji administracyjnych.