Awaria systemu Microsoft – czy tego typu zakłócenie stanowi naruszenie ochrony danych?
Globalna awaria systemów operacyjnych Microsoftu zaskoczyła wielu z nas. Szacuje się, że przez błąd aktualizacji CrowdStrike problemów z dostępem do systemów informatycznych doświadczyło około 8,5 miliona użytkowników. W obliczu tej sytuacji pojawia się pytanie: czy tego typu zdarzenie stanowi naruszenie ochrony danych osobowych?
Co było przyczyną?
Słynny „niebieski ekran śmierci” nie wyświetlał się użytkownikom w wyniku ataku hackerskiego. Awaria była wynikiem błędu aktualizacji systemu CrowdStrike. Po zidentyfikowaniu problemu firma wycofała aktualizację. To jednak nie przywróciło dostępu do systemu u większości użytkowników.
Przerwa w dostępie a RODO
W wyniku awarii wielu przedsiębiorców odnotowało przerwę w dostępie do danych osobowych. Tego typu przerwa powoduje naruszenie dostępności danych osobowych, a więc pod pewnymi warunkami może stanowić naruszenie ochrony danych (w rozumieniu przepisów o ochronie danych osobowych).
Komunikat PUODO
Globalna awaria wywołała spore zamieszanie. Zareagował na nie Prezes Urzędu Ochrony Danych Osobowych, który w oficjalnym komunikacie podkreślił, że nie każde tego typu zdarzenie powinno podlegać zgłoszeniu do PUODO.
W przypadku utraty dostępu do danych (np. z powodu kilkudniowej awarii) przedsiębiorca powinien najpierw sam ocenić, czy spowodowało to ryzyko naruszenia praw i wolności osób, których dotyczą informacje. Takie naruszenie występuje, jeśli brak dostępu do danych osobowych mógł mieć wpływ na prawa lub wolności jednostki (np. bezpośrednie zagrożenie dla zdrowia lub życia). Jeżeli ryzyko takiego zdarzenia jest mało prawdopodobne, to nie ma potrzeby zgłaszania go do PUODO.
Jak zabezpieczyć dane osobowe?
Szybki rozwój technologiczny i digitalizacja uzależniają prawidłowe przetwarzanie danych osobowych od działania systemów informatycznych. Awarii nie da się całkowicie uniknąć, ale przedsiębiorcy mogą pracować nad minimalizowaniem ryzyka ich wystąpienia i wypracowaniem mechanizmów, które pozwalają na szybką eliminację problemów technicznych.
Standardem powinno być stosowanie zabezpieczeń gwarantujących możliwość odtworzenia systemów oraz przywrócenia danych osobowych w przypadku ich utraty. Regularne wykonywanie kopii zapasowych (zarówno częściowych, jak i całościowych) oraz możliwość ich późniejszego odtworzenia mogą być kluczem do zapobieżenia trwałej utracie informacji lub skrócenia czasowej niedostępności danych osobowych.
Specjaliści OW zapewniają kompleksowe wsparcie w ocenie naruszeń ochrony danych osobowych i obsłudze takich przypadków. Pomagamy także w doborze oraz wdrożeniu prawidłowych środków organizacyjnych czy technicznych. Zapraszamy do kontaktu!
