Zgłaszanie naruszeń danych osobowych NARUSZENIE DANYCH OSOBOWYCH POWINNO BYĆ NIEZWŁOCZNIE ZGŁOSZONE DROGĄ MAILOWĄ DO INSPEKTORA OCHRONY DANYCH iod@gbprzeciszow.pl Zgłoszenia może dokonać zarówno osoba zatrudniona w bibliotece, jak również osoba korzystająca z jej działalności, gdy zidentyfikuje naruszenie ochrony danych osobowych. Zgłoszenie powinno zawierać: a) datę wystąpienia naruszenia zasad ochrony danych osobowych, b) imię i nazwisko zgłaszającego naruszenie, c) opis dokładny zaistniałego naruszenia ochrony danych osobowych (w raz z miejscem, w którym do tego naruszenia doszło lub innymi informacjami mogącymi pomóc w dalszej analizie zdarzenia). W przypadku zgłoszenia ze strony pracownika biblioteki należy wskazać (jeśli to jest możliwe od razu) również przyczyny zaistniałego incydentu, skutków oraz podjętych działań wobec zaistniałej sytuacji naruszenia. Czym jest naruszenie ochrony danych osobowych? Na podstawie art. 4 ust. 12 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) naruszenie oznacza: „Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”
Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:
- naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
- skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
- naruszenie jest skutkiem złamania zasad bezpieczeństwa danych. Czyli w skrócie jest to pojedyncze zdarzenie lub seria zdarzeń mająca wpływ na bezpieczeństwo danych osobowych, które może być zagrożone poprzez – przykłady naruszeń: – ujawnienie danych osobowych osobie do tego nieuprawnionej np. poprzez przypadkowe wysłanie danych osobowych uczestnika zajęć, konkursu do niewłaściwego rodzica/opiekuna prawnego lub umożliwienie wglądu w dane innego uczestnika zajęć w dzienniku zajęć lub do karty zgłoszenia do konkursu lub do innej listy z pełnymi danymi osób zapisanych. – publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe (np. imię i nazwisko, wizerunek osoby); – nieprawidłowe zaadresowanie korespondencji e-mail; – wysyłanie nieszyfrowaną pocztą elektroniczną danych osobowych; – wrzucenie do kosza wydruku z danymi osobowymi; – udostępnienie innej osobie hasła do konta pracownika; – zagubienie nośnika danych (pen-drive) np. zawierającego kopię danych kontaktowych rodziców; Naruszenie ochrony danych osobowych dotyczy również szeroko rozumianych zasobów systemów informatycznych i innych elementów które mają wpływ na bezpieczeństwo przetwarzanych danych osobowych, jak również każda dezintegracja danych osobowych oraz brak dostępności danych osobowych.