OVHcloud Help centre

Dzień dobry! Jak możemy Ci pomóc?

Procedura

W przypadku, gdy skutkami incydentu zostały dotknięte dane osobowe, administrator ma obowiązek udokumentować przedmiotowe naruszenie w rejestrze wewnętrznym.

 

Mój serwer dedykowany przez kilka dni był niedostępny, ale nie zawiera danych osobowych. Czy powinienem dokonać zgłoszenia?

Nie, obowiązek zgłoszenia naruszenia ma zastosowanie, gdy naruszenie bezpieczeństwa prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Jeśli nie przetwarzacie Państwo danych osobowych, nie ma obowiązku dokonywania zgłoszenia.

 

Moja infrastruktura otrzymała status „brak możliwości odzyskania”. Nie posiadam kopii zapasowej. Czy konieczne jest zgłoszenie tego faktu do organu nadzorczego?

Powiadomienie organu nadzorczego jest konieczne we wskazanych poniżej przypadkach.

  • dane osobowe zostały definitywnie utracone (brak kopii zapasowej) lub
  • pozostawały one niedostępne przez tak długi czas, że stwarzało to zagrożenie dla osób fizycznych, których te dane dotyczą.

Jeżeli jednak utrata danych lub ich niedostępność nie stanowią zagrożenia dla praw i wolności osób fizycznych (np. dane o mniejszym znaczeniu, takie jak dane techniczne), wówczas zgłoszenie nie jest wymagane.

W przypadku konieczności powiadomienia organu nadzorczego administrator ma obowiązek dokonać zgłoszenia jak najszybciej, jeśli to możliwe, w ciągu 72 godzin od momentu powzięcia informacji o naruszeniu.

Jeśli reprezentujecie Państwo podmiot przetwarzający, tzn. przetwarzacie dane na zlecenie strony trzeciej, np. klienta, macie Państwo obowiązek jak najszybciej powiadomić go o incydencie, aby mógł dokonać niezbędnych zgłoszeń lub, jeśli nie jest on administratorem danych, powiadomić administratora danych.

Jeśli naruszenie może spowodować wysokie ryzyko dla osób fizycznych, osoby te muszą również zostać bezpośrednio poinformowane. Poziom ryzyka ocenia się z uwzględnieniem rodzaju danych i osób, których dotyczy naruszenie (klienci, pacjenci, pracownicy, nieletni, osoby szczególnie narażone) oraz potencjalnych konsekwencji naruszenia dla osób, których dane dotyczą (np. trwała utrata danych dotyczących zdrowia pacjenta będzie prawdopodobnie wiązać się z wysokim ryzykiem).

 

Jestem administratorem danych i moja infrastruktura otrzymała status „brak możliwości odzyskania”. Posiadam kopie zapasowe. Czy powinienem powiadomić organ nadzorczy?

Jeżeli wdrożenie planu Disaster Recovery (DRP) lub planu ciągłości działania (BCP) pozwoliło zachować ciągłość usługi i dane zostały, lub mogą zostać przywrócone z kopii zapasowych bez znaczących konsekwencji dla osób fizycznych, zgłoszenie nie jest konieczne.

 

Korzystam z usług Exchange OVHcloud, a wiadomości e-mail, które były do mnie adresowane lub które wysłałem podczas incydentu, dotarły z opóźnieniem. Czy powinienem powiadomić organ ochrony danych?

Wdrożenie przez OVHcloud planu Disaster Recovery (DRP) i planu ciągłości działania (BCP) umożliwiło przywrócenie danych z kopii zapasowych. Dzięki temu skutki incydentu zostały złagodzone (tymczasowy brak dostępu do wiadomości e-mail). W tym przypadku zgłoszenie nie jest konieczne, chyba że zostanie stwierdzone ryzyko dla osób, których dotyczy incydent.

 

Moje usługi e-mail były niedostępne kilka godzin po incydencie, ale nie poniosłem żadnych strat. Czy powinienem zgłosić fakt niedostępności usług poczty elektronicznej?

Nie, należy zgłaszać tylko przypadki „naruszenia ochrony danych osobowych”. Tymczasowa niedostępność usług poczty elektronicznej nie jest zdefiniowana jako naruszenie w art. 4 ust. 12 RODO.

 

 

Czy ta porada jest pomocna? lub
Wspaniale! Cieszymy się, że mogliśmy pomóc.
Dziękujemy za Twoją pomoc! Nasz zespół wkrótce zapozna się z Twoją opinią
Wskaż, dlaczego nie znalazłeś odpowiedzi. Nie możemy przetworzyć zgłoszeń wysłanych za pomocą tego formularza. Aby przesłać do nas zgłoszenie, użyj przycisku: „Utwórz zgłoszenie”.