Zgubienie notatnika przez strażnika miejskiego – czy dochodzi do naruszenia ochrony danych

Każdy incydent w zakresie naruszenia bezpieczeństwa ochrony danych osobowych należy poddać analizie. Wynik ten zaś przyporządkować do jednej z trzech kategorii:

• incydent nie skutkuje ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą - wystarczające jest odnotowanie naruszenia w rejestrze naruszeń,
• incydent skutkuje ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą - należy zastosować mechanizm z art. 33 RODO,
• incydent skutkuje wysokim ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą - należy zastosować mechanizmy z art. 33 i art. 34 RODO.

Zagubienie notatnika przez strażnika miejskiego należy oceniać mając na uwagę:

• zakres danych objętych incydentem - im więcej danych osobowych, tym ryzyko naruszenia może być wyższe. W szczególności gdy dane te objęte są art. 9 lub art. 10 RODO,
• okolicznościami danego incydentu, tj. prawdopodobieństwem dostępu do tychże danych osobowych podmiotów nieuprawnionych.

Reasumując, utracone dane nie są jednostkowe lub są wśród nich dane osobowe, o których mowa w art. 9 lub art. 10 RODO, a okoliczności incydentu wskazują na możliwość dostępu do tych danych podmiotów nieuprawnionych należy wdrożyć mechanizm z art. 33 RODO. Innymi słowy należy zgłosić naruszenie ochrony danych do Prezesa UODO.

Dodatkowo w przypadku, gdy utracono dane osobowe, których ujawnienie może prowadzić do znacznej szkody osoby, której one dotyczą, w tym w zakresie dóbr osobistych lub prawdopodobieństwo objęcia ich w posiadanie przez podmiot nieuprawniony jest duże (np. z uwagi na miejsce zgubienia notatnika). Zasadne może być także zastosowanie mechanizmu z art. 34 RODO, czyli zakomunikowanie naruszenia podmiotom danych, dla których zdarzenie może generować wysokie ryzyko naruszenia praw i wolności.