3 miesięcy temu
Globalna awaria systemów operacyjnych Microsoftu zaskoczyła wielu z nas. Szacuje się, iż przez błąd aktualizacji CrowdStrike problemów z dostępem do systemów informatycznych doświadczyło około 8,5 miliona użytkowników. W obliczu tej sytuacji pojawia się pytanie: czy tego typu zdarzenie stanowi naruszenie ochrony danych osobowych?
Co było przyczyną?
Słynny „niebieski ekran śmierci” nie wyświetlał się użytkownikom w wyniku ataku hackerskiego. Awaria była wynikiem błędu aktualizacji systemu CrowdStrike. Po zidentyfikowaniu problemu firma wycofała aktualizację. To jednak nie przywróciło dostępu do systemu u większości użytkowników.
Przerwa w dostępie a RODO
W wyniku awarii wielu przedsiębiorców odnotowało przerwę w dostępie do danych osobowych. Tego typu przerwa powoduje naruszenie dostępności danych osobowych, a więc pod pewnymi warunkami może stanowić naruszenie ochrony danych (w rozumieniu przepisów o ochronie danych osobowych).
Komunikat PUODO
Globalna awaria wywołała spore zamieszanie. Zareagował na nie Prezes Urzędu Ochrony Danych Osobowych, który w oficjalnym komunikacie podkreślił, iż nie każde tego typu zdarzenie powinno podlegać zgłoszeniu do PUODO.
W przypadku utraty dostępu do danych (np. z powodu kilkudniowej awarii) przedsiębiorca powinien najpierw sam ocenić, czy spowodowało to ryzyko naruszenia praw i wolności osób, których dotyczą informacje. Takie naruszenie występuje, jeżeli brak dostępu do danych osobowych mógł mieć wpływ na prawa lub wolności jednostki (np. bezpośrednie zagrożenie dla zdrowia lub życia). o ile ryzyko takiego zdarzenia jest mało prawdopodobne, to nie ma potrzeby zgłaszania go do PUODO.
Jak zabezpieczyć dane osobowe?
Szybki rozwój technologiczny i digitalizacja uzależniają prawidłowe przetwarzanie danych osobowych od działania systemów informatycznych. Awarii nie da się całkowicie uniknąć, ale przedsiębiorcy mogą pracować nad minimalizowaniem ryzyka ich wystąpienia i wypracowaniem mechanizmów, które pozwalają na szybką eliminację problemów technicznych.
Standardem powinno być stosowanie zabezpieczeń gwarantujących możliwość odtworzenia systemów oraz przywrócenia danych osobowych w przypadku ich utraty. Regularne wykonywanie kopii zapasowych (zarówno częściowych, jak i całościowych) oraz możliwość ich późniejszego odtworzenia mogą być kluczem do zapobieżenia trwałej utracie informacji lub skrócenia czasowej niedostępności danych osobowych.
Specjaliści OW zapewniają kompleksowe wsparcie w ocenie naruszeń ochrony danych osobowych i obsłudze takich przypadków. Pomagamy także w doborze oraz wdrożeniu prawidłowych środków organizacyjnych czy technicznych. Zapraszamy do kontaktu!
