Naruszenie ochrony danych osobowych to pojedyncze zdarzenie lub seria zdarzeń, związanych z bezpieczeństwem danych, które zagrażają ich poufności, dostępności lub integralności. Nie tylko ujawnienie danych osobowych jest incydentem, może być to także modyfikacja danych osobowych oraz brak dostępności danych osobowych. Dodać trzeba, że incydent dotyczy nie tylko danych osobowych, ale szeroko rozumianych zasobów systemu informatycznego, takich jak: osoby, usługi, oprogramowanie, dane, sprzęt i inne elementy mające wpływ na bezpieczeństwo przetwarzanych danych.

Za naruszenie (incydent) ochrony danych osobowych uznaje się przypadki:

1. Naruszenia zabezpieczenia systemu teleinformatycznego, 
2. Naruszenia zawartości zbioru danych w systemie informatycznym i poza nim (dokumenty w wersji papierowej)
3. Nieautoryzowanego dostęp do danych, 
4. Nieautoryzowanych modyfikacji lub zniszczenia danych, 
5. Udostępnienia danych nieupoważnionym podmiotom, 
6. Nielegalnego ujawnienie danych, 
7. Pozyskiwania danych z nielegalnych źródeł.

Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych

Użytkownik jest zobowiązany powiadomić inspektora ochrony danych lub specjalistę ds. bezpieczeństwa informacji i systemów teleinformatycznych, jeśli stwierdzi, że doszło do naruszenia ochrony danych osobowych lub będzie miał podejrzenie, że mogło dojść do takiego zdarzenia.

Typowe sytuacje, o których użytkownik powinien powiadomić inspektora ochrony danych:

1) ślady na drzwiach, oknach i szafach wskazują na próbę włamania,

2) zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki,

3) fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie,

4) otwarte drzwi do pomieszczeń, szaf, w których przechowywane są dane osobowe,

5) ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,

6) wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia inspektora ochrony danych,

7) udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej,

8) telefoniczne próby wyłudzenia danych osobowych,

9) kradzież komputerów lub CD, twardych dysków, pendrive’a z danymi osobowymi,

10) e-maile zachęcające do ujawnienia identyfikatora i/lub hasła,

11) pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów,

12) przechowywanie haseł do systemów w pobliżu komputera.

Formularz zgłoszenia naruszenia ochrony danych osobowych:

Pola oznaczone znakiem * są wymagane

Imię i nazwisko * - 

E-mail * - 

Nazwa jednostki organizacyjnej* - 

Data wystąpienia naruszenia * - 

Data wykrycia naruszenia * -

(moment potwierdzenia, że wystąpiło naruszenie)

Data zakończenia naruszenia * - 

(moment zabezpieczenia danych osobowych)

Liczba osób fizycznych, których dotyczy naruszenie * - 

Łączna liczba plików z danymi osób fizycznych * - 

Kategorie danych osobowych objętych naruszeniem * - 

(np. imiona, nazwiska, data urodzenia, nr PESEL, wizerunek, e-mail, nr telefonu itp.)

Kategorie podmiotów danych osobowych objętych naruszeniem * -

(np. pracownicy, studenci, absolwenci, kontrahenci itp.)

Opis naruszenia * - 

Miejsce naruszenia * - 

(wskazanie jednostki organizacyjnej i systemu informatycznego)

Wskazanie przyczyny albo potencjalnej przyczyny wystąpienia naruszenia * - 

Środki bezpieczeństwa stosowane przed wystąpieniem zdarzenia * - 

Opis działań podjętych * -  

W celu zakończenia zdarzenia i uniknięcia jego dalszych negatywnych skutków:

Planowane lub podjęte działania * - 

W celu uniknięcia ponownego wystąpienia podobnego zdarzenia:

Możliwe negatywne konsekwencje wystąpienia naruszenia * -