Awaria systemu Microsoft – czy tego typu zakłócenie stanowi naruszenie ochrony danych?

4 miesięcy temu

Globalna awaria systemów operacyjnych Microsoftu zaskoczyła wielu z nas. Szacuje się, iż przez błąd aktualizacji CrowdStrike problemów z dostępem do systemów informatycznych doświadczyło około 8,5 miliona użytkowników. W obliczu tej sytuacji pojawia się pytanie: czy tego typu zdarzenie stanowi naruszenie ochrony danych osobowych?

Co było przyczyną?

Słynny „niebieski ekran śmierci” nie wyświetlał się użytkownikom w wyniku ataku hackerskiego. Awaria była wynikiem błędu aktualizacji systemu CrowdStrike. Po zidentyfikowaniu problemu firma wycofała aktualizację. To jednak nie przywróciło dostępu do systemu u większości użytkowników.

Przerwa w dostępie a RODO

W wyniku awarii wielu przedsiębiorców odnotowało przerwę w dostępie do danych osobowych. Tego typu przerwa powoduje naruszenie dostępności danych osobowych, a więc pod pewnymi warunkami może stanowić naruszenie ochrony danych (w rozumieniu przepisów o ochronie danych osobowych).

Komunikat PUODO

Globalna awaria wywołała spore zamieszanie. Zareagował na nie Prezes Urzędu Ochrony Danych Osobowych, który w oficjalnym komunikacie podkreślił, iż nie każde tego typu zdarzenie powinno podlegać zgłoszeniu do PUODO.

W przypadku utraty dostępu do danych (np. z powodu kilkudniowej awarii) przedsiębiorca powinien najpierw sam ocenić, czy spowodowało to ryzyko naruszenia praw i wolności osób, których dotyczą informacje. Takie naruszenie występuje, jeżeli brak dostępu do danych osobowych mógł mieć wpływ na prawa lub wolności jednostki (np. bezpośrednie zagrożenie dla zdrowia lub życia). o ile ryzyko takiego zdarzenia jest mało prawdopodobne, to nie ma potrzeby zgłaszania go do PUODO.

Jak zabezpieczyć dane osobowe?

Szybki rozwój technologiczny i digitalizacja uzależniają prawidłowe przetwarzanie danych osobowych od działania systemów informatycznych. Awarii nie da się całkowicie uniknąć, ale przedsiębiorcy mogą pracować nad minimalizowaniem ryzyka ich wystąpienia i wypracowaniem mechanizmów, które pozwalają na szybką eliminację problemów technicznych.

Standardem powinno być stosowanie zabezpieczeń gwarantujących możliwość odtworzenia systemów oraz przywrócenia danych osobowych w przypadku ich utraty. Regularne wykonywanie kopii zapasowych (zarówno częściowych, jak i całościowych) oraz możliwość ich późniejszego odtworzenia mogą być kluczem do zapobieżenia trwałej utracie informacji lub skrócenia czasowej niedostępności danych osobowych.

Specjaliści OW zapewniają kompleksowe wsparcie w ocenie naruszeń ochrony danych osobowych i obsłudze takich przypadków. Pomagamy także w doborze oraz wdrożeniu prawidłowych środków organizacyjnych czy technicznych. Zapraszamy do kontaktu!

Idź do oryginalnego materiału