LexDigital

Wyciek danych osobowych - jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych

Jakie działania musisz podjąć jako Administrator danych w przypadku wycieku informacji z Twojej firmy? Czy każdy wyciek danych należy zgłosić do Urzędu Ochrony Danych Osobowych? Jakie informacje należy przekazać osobom, których dane wyciekły? Jak zapewnić bezpieczeństwo przetwarzania dla danych powierzonych? Jak możesz zabezpieczyć się przed wyciekiem danych?

Wyciek danych osobowych - jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych

Z tego artykułu dowiesz się:

Jakie działania musisz podjąć jako Administrator danych w przypadku wycieku informacji z Twojej firmy?

Czy każdy wyciek danych należy zgłosić do Urzędu Ochrony Danych Osobowych?

Jakie informacje należy przekazać osobom, których dane wyciekły?

Jak zapewnić bezpieczeństwo przetwarzania dla danych powierzonych?

Jak możesz zabezpieczyć się przed wyciekiem danych?

Administrator danych osobowych

Zgodnie z definicja wskazaną w RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Jako Administrator danych jesteś odpowiedzialny za wdrożenie takiego systemu ochrony danych osobowych, który pozwoli zminimalizować ryzyko ich wycieku, a tym samych będzie chronić osoby, których przetwarzane przez ciebie dane dotyczą. Wykonaj analizę ryzyka przetwarzania danych.

Piszemy o tym tutaj: https://lexdigital.pl/analiza-i-szacowanie-ryzyka-w-rodo.

Jeżeli nie czujesz się na siłach, aby taki system wdrożyć samodzielnie, zleć to profesjonalnej firmie.

Jeżeli doszło już do wycieku danych...

  • dokonaj analizy, czy wyciek danych stanowi incydent czy też naruszenie ochrony danych osobowych

    INCYDENT – zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń, które mogą stworzyć potencjalne zakłócenie realizacji zadań lub mogą zagrozić bezpieczeństwu informacji;

    NARUSZENIE – incydent bezpieczeństwa prowadzący do naruszenia, tj. przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

    Zdarzenie, które doprowadziło do negatywnych konsekwencji dla osoby, której dane dotyczą

  • oceń ryzyko naruszenia praw i wolności osób dotkniętych zdarzeniem. Ocena pozwoli podjąc decyzję, czy zdarzenie należy zgłosić do Urzędu Ochrony Danych Osobowych (UODO) oraz czy istnieje obowiązek powiadomienia o zdarzeniu osób dotkniętych naruszeniem.
  • dokumentuj wszelkie naruszenia oraz podejrzenia naruszeń. Niezależnie od tego czy naruszenia wymagają zgłoszenia do Prezesa UODO lub poinformowania osób, których dane dotyczą Administrator ma obowiązek rejestrować wszelkie naruszenia oraz podejrzenia naruszeń. Dokument powinien zawierać co najmniej informacje o okoliczościach naruszenia, jego skutkach oraz podjętych działaniach zaradczych.
  • jeżeli ocena naruszenia wykaże konieczność zgłoszenia go do Prezesa Urzędu Ochrony Danych Osobowych, jako Administrator masz na to 72 godziny. Urząd Ochrony Danych Osobowych udostępnił specjalny formularz służący zgłaszaniu naruszeń. Zgłoszenie musi zawierać co najmniej: charakter naruszenia, imię i nazwisko oraz dane kontaktowe Inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji w związku z naruszeniem. Chcesz poznać szczegóły dotyczące zgłaszania naruszeń? Sprawdź tutaj: https://lexdigital.pl/zgloszenie-naruszenia-do-puodo

    Warto wiedzieć:

    w przypadku prawdopodobnego braku ryzyka naruszenia praw lub wolności osób fizycznych Administrator nie musi zgłaszać zdarzenia do PUODO.

    Jeżeli sam nie potrafisz ocenić wagi naruszenia i masz wątpliwości, czy wyciek danych osobowych, który wystąpił w Twojej firmie wymaga powiadomienia PUODO możesz skorzystać z usług profesjonalnych podmiotów zajmujących się ochroną danych osobowych.

  • jeżeli naruszenie ochrony danych może mieć istostny wpływ na osoby, których dane uległy wyciekowi, a więc jeżli np. istnieje ryzyko kradzieży ich tożsamości, doszło do wycieku danych z dowodu osobistego, ujawniono nr PESEL, ujawniono informacje pochodzące z banku osoby fizycznej (np. informacje dotyczące dokonywanych przez nią płatności, dane dotyczące konta bankowego itd) - masz obowiązek zawiadomienia tych osób o zdarzeniu. Prezes Urzędu Ochrony Danych Osobowych szczegółowo wskazuje jakie informacje powinno zawierać takie zawiadomienie.

    I tak: dokument powinien być napisany prostym i przejrzystym językiem, powinien zawierać: opis charakteru naruszenia, imię i nazwisko oraz dane kontaktowe Inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, opis możliwych konsekwencji naruszenia oraz opis środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu.

plumbing, pipe, wrenches

Współpracuj z Urzędem Ochrony Danych Osobowych

Wyciek danych w wyniku którego doszło np. do kradzieży tożsamości osób, których danych jesteś Administratorem wymaga rzecz jasna zgłoszenia do PUODO. Wiąże się to ze ścisłą współpracą z Urzędem. W tym procesie ważna jest Twoja postawa wobec naruszenia, Twoje ewentualne wcześniejsze przewinienia, czy spowodowanie naruszenia było umyślne, jaka była skala naruszenia oraz na ile adekwatne były środki wprowadzone przed naruszeniem w celu zabezpieczenia danych.

Prezes UODO ma bowiem wobec administratora tzw. uprawnienia naprawcze. Najlżejszym z nich może być otrzymanie upomnienia. Najbardziej uciążliwą sankcją może być natomiast całkowity zakaz przetwarzania danych osobowych, co może wpłynąć na funkcjonowanie organizacji w ogóle.

Prawa osób, których dane wyciekły

Niezależnie od tego, jakie dane wyciekną, każda osoba, której dane osobowe uległy wyciekowi, ma prawo żądać od Ciebie, jako Administratora danych informacji i wyjaśnień związanych z wyciekiem, np. czy znany jest sprawca (umyślyny?, nieumyślny?, kradzież?, czy wyciek danych osobowych spowodowany był błędem człowieka czy też zawinił system? ) zdarzenia, jak doszło do wycieku danych, czy wyciek został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych, jaki dokładnie był zakres danych, które wyciekły, jakie podjąłeś działania naprawcze, co zrobisz, aby nie dopuścić do podobnych sytuacji w przyszłości.

Każda osoba, nawet w przypadku, w którym nie poniosła konkretnej straty materialnej lub niematerialnej w związku z wyciekiem, ma prawo złożyć skargę do PUODO. I chociaż PUODO nie ma kompetencji do wydania decyzji o rekompensacie finansowej dla dla takiej osoby w związku z wyciekiem, może nakazać Tobie wykonanie określonych czynności związanych z przetwarzaniem danych.

Postaw na prewencję

Za większość wycieków w polskich firmach odpowiadają ich pracownicy. Ich działania niekoniecznie są celowe. Bardzo często wynikają z niewiedzy bądź braku ostrożności . Twoją rolą jest zatem nie tylko odpowiednie zabezpieczenie systemów informatycznych, ale także edukowanie swoich pracowników, jak nie dopuścić do wycieku danych. Szkolenia z zakresu ochrony danych osobowych powinny stać się obowiązkowym elementem wdrażania i utrzymywania systemu ochrony danych. Powołanie w struktury organizacji Inspektora ochrony danych (nawet, jeżeli nie ciąży na Tobie taki obowiązek) to również jeden z elementów dający większe gwarancję na to, że administrowane przez Ciebie dane będą bezpieczne.

questions, man, head

Inną kwestią są oczywiście przypadki celowej kradzieży danych przez pracowników. Tutaj temat jest nieco bardziej skomplikowany.

Wachlarz konsekwencji wycieku danych dla Ciebie, jako Administratora danych, może być dość szeroki. O karach finansowych i działaniach UODO pisaliśmy powyżej. Oprócz nich dopuszczenie do wycieku danych może wiązać się z konsekwencjami:

  • finansowymi,
  • wizerunkowymi,
  • prawnymi.

Kradzież bądź przypadkowy wyciek danych może spowodować osłabienie reputacji firmy oraz utratę zaufania ze strony klientów. Konsekwencją tego będą mogą być straty finansowe.

Warto zadbać o właściwe, adekwatne do wyników analizy ryzyka, zabezpieczenia, które uchronią Administratora przed konsekwencjami naruszeń. Z treści art. 24 ust 1 RODO wynika, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

  • stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  • zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
  • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
  • zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  • zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
  • zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania – art. 27- 43,
  • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.

O tym, jak zabezpieczyć dane osobowe (w tym przed ich wyciekiem) pisaliśmy tutaj: https://lexdigital.pl/wyciek-danych-osobowych-z-firmy-jak-sie-zabezpieczyc

sejf

Zapewnienie bezpieczeństwa w przypadku powierzania danych do przetwarzania

Pamiętaj - za bezpieczeństwo danych powierzanych do przetwarzania również odpowiada Administrator danych. Dlatego dobieraj podmioty przetwarzające skrupulatnie, korzystaj ze swoich praw i przeprowadzaj u nich audyty.

Powierzaj przetwarzanie danych innym podmiotom, z zastrzeżeniem, że podmioty te:

  • wdrożyły odpowiednie środki techniczne i organizacyjne służące ochronie danych oraz spełniają one wymogi ogólnego rozporządzenia o ochronie danych (art. 28 RODO);
  • dysponują wiedzą fachową, są wiarygodne i dysponują adekwatnymi zasobami służącymi bezpieczeństwu przetwarzania (motyw 81 preambuły do RODO);
  • są uprawnione do przetwarzania danych wyłącznie w zakresie celów i sposobów przetwarzania określonych przez Administratora w umowie (podstawą prawną powierzenia danych osobowych jest przede wszystkim umowa powierzenia przetwarzania)

Wyciek danych - dylematy

Temat samego wycieku danych to jedno. W obliczu takiego zdarzenia wielu Administratorów staje przed dylematem: ZGŁOSIĆ CZY NIE ZGŁASZAĆ zdarzenia do Urzędu.

Z jednej strony zgłoszenie naruszenia może "sprowokować" Urząd do podjęcia szczegółowej analizy nie tylko samego naruszenia, które było przedmiotem zgłoszenia, ale też zbadania innych aspektów ochrony danych osobowych u Administratora.

Z drugiej jednak strony niezgłoszenie naruszenia w przypadku, w którym na Administratorze ciąży taki obowiązek może być dużo bardziej dotkliwe. Znane są już w Polsce przypadki nakładania kar na podmioty, które, mimo obowiązku, nie dokonały zgłoszenia naruszenia w wymaganym terminie.

Pamiętaj - nie masz pewności - konsultuj - zwróć się do profesjonalisty

Polecane

​Kary RODO - skąd tyle szumu wokół kar finansowych?

​Kary RODO - skąd tyle szumu wokół kar finansowych?

25 maja 2022 miną 4 lata odkąd zaczęło obowiązywać ogólne rozporządzenie UE o ochronie danych osobowych (RODO). Lista administracyjnych kar finansowych nałożonych przez europejskie organy nadzorcze w związku z naruszeniami RODO, w Polsce i w całej Unii Europejskiej, jest naprawdę ogromna. Od maja 2018 do kwietnia 2022 roku opublikowano ponad 1100 decyzji wydanych przez organy nadzorcze właściwe danemu państwu (stan na 13 kwietnia 2022).

Udostępnianie danych osobowych bez zgody

Udostępnianie danych osobowych bez zgody

W 2018 roku, kiedy w życie wchodziło RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) – nasze skrzynki mailowe zapełniały się długimi klauzulami.

Wyciek danych osobowych - jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych

Wyciek danych osobowych - jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych

Jakie działania musisz podjąć jako Administrator danych w przypadku wycieku informacji z Twojej firmy? Czy każdy wyciek danych należy zgłosić do Urzędu Ochrony Danych Osobowych? Jakie informacje należy przekazać osobom, których dane wyciekły? Jak zapewnić bezpieczeństwo przetwarzania dla danych powierzonych? Jak możesz zabezpieczyć się przed wyciekiem danych?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP