Naruszenie ochrony danych to zdarzenie, którego skutkiem jest przypadkowe (niezamierzone) lub niezgodne z prawem (nielegalne) zniszczenie, utracenie, zmodyfikowanie, ujawnienie lub dostęp do danych osobowych. Naruszeniem ochrony danych jest np. błędna adresacja korespondencji. Naruszeniem ochrony danych nie jest np. incydent w systemie informatycznym, który nie przetwarza danych osobowych.
Naruszenie jest wtedy, kiedy spełnione są trzy warunki:

  1. Naruszenie dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez administratora danych, którego dotyczy naruszenie.
  2. Skutkiem naruszenia może być zniszczenie, zmodyfikowanie, utracenie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.
  3. Naruszenie jest wynikiem złamania zasad bezpieczeństwa danych osobowych.

Można wyróżnić trzy typy naruszeń ochrony danych osobowych (wg Grupy Roboczej Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01):

  1. Naruszenie dotyczące poufności danych, które polega na tym, że dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych, np. wysyłanie wiadomości e-mail zawierającej dane osobowe do innego odbiorcy niż była ona przeznaczona.
  2. Naruszenie dotyczące integralności danych, które polega na tym, że dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych, np. zmiana przez pracownika nazwiska klientów poprzez dodanie dodatkowej litery.
  3. Naruszenie dotyczące dostępności danych, które polega na tym, że dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych, np. atak hakerski, w wyniku którego administrator danych osobowych traci dostęp do danych w systemie informatycznym.

Administrator danych zobowiązany jest prowadzić rejestr naruszeń ochrony danych, czyli spis wszystkich naruszeń bezpieczeństwa ochrony danych w organizacji.

Nie zawsze każde zdarzenie dotyczące złego przestrzegania przepisów o ochronie danych osobowych będzie naruszeniem. Administrator danych wspólnie z inspektorem danych osobowych (jeśli został powołany) lub wskazanym zespołem wspólnie oceniają, czy incydent, który miał miejsce w organizacji jest już naruszeniem. Przeprowadzona ocena naruszenia pozwoli podjąć decyzję, czy naruszenie należy zgłosić do organu nadzorczego Prezesa Urzędu Ochrony Danych Osobowych (PUODO) lub czy należy zawiadomić podmioty danych, czyli osoby, których dane dotyczą. Jeżeli dojdzie do naruszenia ochrony danych i zagraża to prawom i wolnościom osoby, której dane dotyczą, administrator danych ma tylko 72 godziny od stwierdzenia naruszenia, że by powiadomić o tym swój organ ochrony danych. W zależności od tego, czy naruszenie ochrony danych stanowi wysokie ryzyko dla osób, których dane dotyczą, administrator danych może mieć również obowiązek odpowiedniego poinformowania wszystkich osób, których dane dotyczą.