Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).
Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:
naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Jednocześnie jak wskazuje Grupa Robocza Art. 29 można wyróżnić trzy typy naruszenia ochrony danych osobowych:
naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;
Przykład: „Przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej.”
naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;
Przykład I: „Zgubienie lub kradzież nośnika zawierającego kopię bazy danych klientów administratora.”
Przykład II: „Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane ze zbioru. Administrator próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu.”
naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.
Przykład: „Pracownik dla żartu zmienia nazwiska klientów poprzez dopisanie litery „s” na końcu każdego z nich.”