Słowniczek

Naruszenie ochrony danych osobowych

Naruszenie ochrony danych osobowych (data breach) to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. W kontekście HR typowe naruszenia to: wysłanie e-maila z danymi pracowników do niewłaściwego odbiorcy, kradzież laptopa z niezaszyfrowanymi aktami kadrowymi, atak ransomware na system kadrowy, nieuprawniony dostęp do systemu płacowego, zgubienie dokumentów z danymi pracowników. RODO wymaga zgłoszenia naruszenia do UODO w ciągu 72 godzin od wykrycia (chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla osób). Jeśli naruszenie wiąże się z wysokim ryzykiem — należy też powiadomić osoby, których dane dotyczą. Pracodawca musi prowadzić rejestr wszystkich naruszeń, niezależnie od ich zgłoszenia do UODO.

W ciągu 72 godzin od stwierdzenia naruszenia. Jeśli zgłoszenie jest opóźnione — wymaga wyjaśnienia przyczyn. Zgłoszenie nie jest wymagane, jeśli naruszenie nie skutkuje ryzykiem dla praw i wolności osób (np. zaszyfrowane dane).

Wysłanie pasków płacowych do złego pracownika, CC zamiast BCC w mailu z danymi, zgubienie dokumentów papierowych, atak phishing na systemy kadrowe, nieuprawniony dostęp do akt osobowych, brak szyfrowania danych na urządzeniach mobilnych.

Gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności — np. wyciek danych finansowych, medycznych, nr PESEL. Nie trzeba powiadamiać, gdy dane były zaszyfrowane lub podjęto środki eliminujące ryzyko.

Opis naruszenia, kategorie i liczba osób dotkniętych, kategorie danych, prawdopodobne skutki, podjęte środki zaradcze, data wykrycia i zgłoszenia. Rejestr prowadzi się dla WSZYSTKICH naruszeń — także tych niezgłoszonych do UODO.

Szyfrowanie urządzeń i dysków, szkolenia pracowników HR z bezpieczeństwa, kontrola dostępu (zasada least privilege), dwuskładnikowe uwierzytelnianie, regularne audyty, procedury postępowania z dokumentami, backup danych i plan reagowania na incydenty.

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Obowiązek informacyjny RODO

Ocena skutków dla ochrony danych (DPIA)