Naruszenie ochrony danych

Naruszenie ochrony danych osobowych (data breach) w rozumieniu RODO

Także zwany: data breach, wyciek danych, incydent RODO

Naruszenie ochrony danych to zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych (art. 4 ust. 12 RODO). Wymaga zgłoszenia do UODO w 72 godziny od stwierdzenia (art. 33). Przy wysokim ryzyku - powiadomienia osób (art. 34).

Naruszenie obejmuje nie tylko wyciek, ale każde zdarzenie zagrażające poufności, integralności lub dostępności danych. Ransomware szyfrujący dane = naruszenie dostępności. Pracownik wysyłający bazę klientów na prywatny mail = naruszenie poufności.

Procedura zgłoszenia

0-72h: zgłoszenie do UODO przez ePUAP (formularz uodo.gov.pl/pl/138/2342) lub biznes.gov.pl. Jeśli nie macie wszystkich danych - zgłoście wstępnie i uzupełnijcie później.
Wysokie ryzyko → 0-30 dni: bezpośrednie powiadomienie osób (art. 34 RODO). Wyjątek: jeśli dane były szyfrowane skutecznie at-rest, możecie pominąć (art. 34 ust. 3).
Podmiot NIS2: dodatkowo zgłoszenie do CSIRT NASK w trójetapowej procedurze 24h/72h/30 dni (art. 23 NIS2). Pełna procedura w pillarze.