Wyciek danych osobowych – jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych
Jakie działania musisz podjąć jako Administrator danych w przypadku wycieku informacji z Twojej firmy? Czy każdy wyciek danych należy zgłosić do Urzędu Ochrony Danych Osobowych? Jakie informacje należy przekazać osobom, których dane wyciekły? Jak zapewnić bezpieczeństwo przetwarzania dla danych powierzonych? Jak możesz zabezpieczyć się przed wyciekiem danych?
Z tego artykułu dowiesz się:
Jakie działania musisz podjąć jako Administrator danych w przypadku wycieku informacji z Twojej firmy?
Czy każdy wyciek danych należy zgłosić do Urzędu Ochrony Danych Osobowych?
Jakie informacje należy przekazać osobom, których dane wyciekły?
Jak zapewnić bezpieczeństwo przetwarzania dla danych powierzonych?
Jak możesz zabezpieczyć się przed wyciekiem danych?
Administrator danych osobowych
Zgodnie z definicja wskazaną w RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Jako Administrator danych jesteś odpowiedzialny za wdrożenie takiego systemu ochrony danych osobowych, który pozwoli zminimalizować ryzyko ich wycieku, a tym samych będzie chronić osoby, których przetwarzane przez ciebie dane dotyczą. Wykonaj analizę ryzyka przetwarzania danych.
Piszemy o tym tutaj: https://lexdigital.pl/analiza-i-szacowanie-ryzyka-w-rodo.
Jeżeli nie czujesz się na siłach, aby taki system wdrożyć samodzielnie, zleć to profesjonalnej firmie.
Jeżeli doszło już do wycieku danych...
- dokonaj analizy, czy wyciek danych stanowi incydent czy też naruszenie ochrony danych osobowych
INCYDENT – zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń, które mogą stworzyć potencjalne zakłócenie realizacji zadań lub mogą zagrozić bezpieczeństwu informacji;
NARUSZENIE – incydent bezpieczeństwa prowadzący do naruszenia, tj. przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Zdarzenie, które doprowadziło do negatywnych konsekwencji dla osoby, której dane dotyczą
- oceń ryzyko naruszenia praw i wolności osób dotkniętych zdarzeniem. Ocena pozwoli podjąc decyzję, czy zdarzenie należy zgłosić do Urzędu Ochrony Danych Osobowych (UODO) oraz czy istnieje obowiązek powiadomienia o zdarzeniu osób dotkniętych naruszeniem.
- dokumentuj wszelkie naruszenia oraz podejrzenia naruszeń. Niezależnie od tego czy naruszenia wymagają zgłoszenia do Prezesa UODO lub poinformowania osób, których dane dotyczą Administrator ma obowiązek rejestrować wszelkie naruszenia oraz podejrzenia naruszeń. Dokument powinien zawierać co najmniej informacje o okoliczościach naruszenia, jego skutkach oraz podjętych działaniach zaradczych.
- jeżeli ocena naruszenia wykaże konieczność zgłoszenia go do Prezesa Urzędu Ochrony Danych Osobowych, jako Administrator masz na to 72 godziny. Urząd Ochrony Danych Osobowych udostępnił specjalny formularz służący zgłaszaniu naruszeń. Zgłoszenie musi zawierać co najmniej: charakter naruszenia, imię i nazwisko oraz dane kontaktowe Inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji w związku z naruszeniem. Chcesz poznać szczegóły dotyczące zgłaszania naruszeń? Sprawdź tutaj: https://lexdigital.pl/zgloszenie-naruszenia-do-puodo
Warto wiedzieć:
w przypadku prawdopodobnego braku ryzyka naruszenia praw lub wolności osób fizycznych Administrator nie musi zgłaszać zdarzenia do PUODO.
Jeżeli sam nie potrafisz ocenić wagi naruszenia i masz wątpliwości, czy wyciek danych osobowych, który wystąpił w Twojej firmie wymaga powiadomienia PUODO możesz skorzystać z usług profesjonalnych podmiotów zajmujących się ochroną danych osobowych.
- jeżeli naruszenie ochrony danych może mieć istostny wpływ na osoby, których dane uległy wyciekowi, a więc jeżli np. istnieje ryzyko kradzieży ich tożsamości, doszło do wycieku danych z dowodu osobistego, ujawniono nr PESEL, ujawniono informacje pochodzące z banku osoby fizycznej (np. informacje dotyczące dokonywanych przez nią płatności, dane dotyczące konta bankowego itd) - masz obowiązek zawiadomienia tych osób o zdarzeniu. Prezes Urzędu Ochrony Danych Osobowych szczegółowo wskazuje jakie informacje powinno zawierać takie zawiadomienie.
I tak: dokument powinien być napisany prostym i przejrzystym językiem, powinien zawierać: opis charakteru naruszenia, imię i nazwisko oraz dane kontaktowe Inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, opis możliwych konsekwencji naruszenia oraz opis środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu.
Współpracuj z Urzędem Ochrony Danych Osobowych
Wyciek danych w wyniku którego doszło np. do kradzieży tożsamości osób, których danych jesteś Administratorem wymaga rzecz jasna zgłoszenia do PUODO. Wiąże się to ze ścisłą współpracą z Urzędem. W tym procesie ważna jest Twoja postawa wobec naruszenia, Twoje ewentualne wcześniejsze przewinienia, czy spowodowanie naruszenia było umyślne, jaka była skala naruszenia oraz na ile adekwatne były środki wprowadzone przed naruszeniem w celu zabezpieczenia danych.
Prezes UODO ma bowiem wobec administratora tzw. uprawnienia naprawcze. Najlżejszym z nich może być otrzymanie upomnienia. Najbardziej uciążliwą sankcją może być natomiast całkowity zakaz przetwarzania danych osobowych, co może wpłynąć na funkcjonowanie organizacji w ogóle.
Sprawdź nasz artykuł: Udostępnianie danych osobowych bez zgody
Prawa osób, których dane wyciekły
Niezależnie od tego, jakie dane wyciekną, każda osoba, której dane osobowe uległy wyciekowi, ma prawo żądać od Ciebie, jako Administratora danych informacji i wyjaśnień związanych z wyciekiem, np. czy znany jest sprawca (umyślyny?, nieumyślny?, kradzież?, czy wyciek danych osobowych spowodowany był błędem człowieka czy też zawinił system? ) zdarzenia, jak doszło do wycieku danych, czy wyciek został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych, jaki dokładnie był zakres danych, które wyciekły, jakie podjąłeś działania naprawcze, co zrobisz, aby nie dopuścić do podobnych sytuacji w przyszłości.
Każda osoba, nawet w przypadku, w którym nie poniosła konkretnej straty materialnej lub niematerialnej w związku z wyciekiem, ma prawo złożyć skargę do PUODO. I chociaż PUODO nie ma kompetencji do wydania decyzji o rekompensacie finansowej dla dla takiej osoby w związku z wyciekiem, może nakazać Tobie wykonanie określonych czynności związanych z przetwarzaniem danych.
Postaw na prewencję
Za większość wycieków w polskich firmach odpowiadają ich pracownicy. Ich działania niekoniecznie są celowe. Bardzo często wynikają z niewiedzy bądź braku ostrożności . Twoją rolą jest zatem nie tylko odpowiednie zabezpieczenie systemów informatycznych, ale także edukowanie swoich pracowników, jak nie dopuścić do wycieku danych. Szkolenia z zakresu ochrony danych osobowych powinny stać się obowiązkowym elementem wdrażania i utrzymywania systemu ochrony danych. Powołanie w struktury organizacji Inspektora ochrony danych (nawet, jeżeli nie ciąży na Tobie taki obowiązek) to również jeden z elementów dający większe gwarancję na to, że administrowane przez Ciebie dane będą bezpieczne.
Inną kwestią są oczywiście przypadki celowej kradzieży danych przez pracowników. Tutaj temat jest nieco bardziej skomplikowany.
Wachlarz konsekwencji wycieku danych dla Ciebie, jako Administratora danych, może być dość szeroki. O karach finansowych i działaniach UODO pisaliśmy powyżej. Oprócz nich dopuszczenie do wycieku danych może wiązać się z konsekwencjami:
- finansowymi,
- wizerunkowymi,
- prawnymi.
Kradzież bądź przypadkowy wyciek danych może spowodować osłabienie reputacji firmy oraz utratę zaufania ze strony klientów. Konsekwencją tego będą mogą być straty finansowe.
Warto zadbać o właściwe, adekwatne do wyników analizy ryzyka, zabezpieczenia, które uchronią Administratora przed konsekwencjami naruszeń. Z treści art. 24 ust 1 RODO wynika, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:
- stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
- zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
- zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
- zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
- zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
- zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania – art. 27- 43,
- stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.
Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.
O tym, jak zabezpieczyć dane osobowe (w tym przed ich wyciekiem) pisaliśmy tutaj: https://lexdigital.pl/wyciek-danych-osobowych-z-firmy-jak-sie-zabezpieczyc
Zapewnienie bezpieczeństwa w przypadku powierzania danych do przetwarzania
Pamiętaj - za bezpieczeństwo danych powierzanych do przetwarzania również odpowiada Administrator danych. Dlatego dobieraj podmioty przetwarzające skrupulatnie, korzystaj ze swoich praw i przeprowadzaj u nich audyty.
Powierzaj przetwarzanie danych innym podmiotom, z zastrzeżeniem, że podmioty te:
- wdrożyły odpowiednie środki techniczne i organizacyjne służące ochronie danych oraz spełniają one wymogi ogólnego rozporządzenia o ochronie danych (art. 28 RODO);
- dysponują wiedzą fachową, są wiarygodne i dysponują adekwatnymi zasobami służącymi bezpieczeństwu przetwarzania (motyw 81 preambuły do RODO);
- są uprawnione do przetwarzania danych wyłącznie w zakresie celów i sposobów przetwarzania określonych przez Administratora w umowie (podstawą prawną powierzenia danych osobowych jest przede wszystkim umowa powierzenia przetwarzania)
Wyciek danych - dylematy
Temat samego wycieku danych to jedno. W obliczu takiego zdarzenia wielu Administratorów staje przed dylematem: ZGŁOSIĆ CZY NIE ZGŁASZAĆ zdarzenia do Urzędu.
Z jednej strony zgłoszenie naruszenia może "sprowokować" Urząd do podjęcia szczegółowej analizy nie tylko samego naruszenia, które było przedmiotem zgłoszenia, ale też zbadania innych aspektów ochrony danych osobowych u Administratora.
Z drugiej jednak strony niezgłoszenie naruszenia w przypadku, w którym na Administratorze ciąży taki obowiązek może być dużo bardziej dotkliwe. Znane są już w Polsce przypadki nakładania kar na podmioty, które, mimo obowiązku, nie dokonały zgłoszenia naruszenia w wymaganym terminie.
Pamiętaj - nie masz pewności - konsultuj - zwróć się do profesjonalisty
Sprawdź także:
Czy umowa bez numeru dowodu jest ważna?