LexDigital

Wyciek danych osobowych – jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych

Jakie działania musisz podjąć jako Administrator danych w przypadku wycieku informacji z Twojej firmy? Czy każdy wyciek danych należy zgłosić do Urzędu Ochrony Danych Osobowych? Jakie informacje należy przekazać osobom, których dane wyciekły? Jak zapewnić bezpieczeństwo przetwarzania dla danych powierzonych? Jak możesz zabezpieczyć się przed wyciekiem danych?

Wyciek danych osobowych – jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych

Z tego artykułu dowiesz się:

Jakie działania musisz podjąć jako Administrator danych w przypadku wycieku informacji z Twojej firmy?

Czy każdy wyciek danych należy zgłosić do Urzędu Ochrony Danych Osobowych?

Jakie informacje należy przekazać osobom, których dane wyciekły?

Jak zapewnić bezpieczeństwo przetwarzania dla danych powierzonych?

Jak możesz zabezpieczyć się przed wyciekiem danych?

Administrator danych osobowych

Zgodnie z definicja wskazaną w RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Jako Administrator danych jesteś odpowiedzialny za wdrożenie takiego systemu ochrony danych osobowych, który pozwoli zminimalizować ryzyko ich wycieku, a tym samych będzie chronić osoby, których przetwarzane przez ciebie dane dotyczą. Wykonaj analizę ryzyka przetwarzania danych.

Piszemy o tym tutaj: https://lexdigital.pl/analiza-i-szacowanie-ryzyka-w-rodo.

Jeżeli nie czujesz się na siłach, aby taki system wdrożyć samodzielnie, zleć to profesjonalnej firmie.

Jeżeli doszło już do wycieku danych...

  • dokonaj analizy, czy wyciek danych stanowi incydent czy też naruszenie ochrony danych osobowych

    INCYDENT – zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń, które mogą stworzyć potencjalne zakłócenie realizacji zadań lub mogą zagrozić bezpieczeństwu informacji;

    NARUSZENIE – incydent bezpieczeństwa prowadzący do naruszenia, tj. przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

    Zdarzenie, które doprowadziło do negatywnych konsekwencji dla osoby, której dane dotyczą

  • oceń ryzyko naruszenia praw i wolności osób dotkniętych zdarzeniem. Ocena pozwoli podjąc decyzję, czy zdarzenie należy zgłosić do Urzędu Ochrony Danych Osobowych (UODO) oraz czy istnieje obowiązek powiadomienia o zdarzeniu osób dotkniętych naruszeniem.
  • dokumentuj wszelkie naruszenia oraz podejrzenia naruszeń. Niezależnie od tego czy naruszenia wymagają zgłoszenia do Prezesa UODO lub poinformowania osób, których dane dotyczą Administrator ma obowiązek rejestrować wszelkie naruszenia oraz podejrzenia naruszeń. Dokument powinien zawierać co najmniej informacje o okoliczościach naruszenia, jego skutkach oraz podjętych działaniach zaradczych.
  • jeżeli ocena naruszenia wykaże konieczność zgłoszenia go do Prezesa Urzędu Ochrony Danych Osobowych, jako Administrator masz na to 72 godziny. Urząd Ochrony Danych Osobowych udostępnił specjalny formularz służący zgłaszaniu naruszeń. Zgłoszenie musi zawierać co najmniej: charakter naruszenia, imię i nazwisko oraz dane kontaktowe Inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji w związku z naruszeniem. Chcesz poznać szczegóły dotyczące zgłaszania naruszeń? Sprawdź tutaj: https://lexdigital.pl/zgloszenie-naruszenia-do-puodo

    Warto wiedzieć:

    w przypadku prawdopodobnego braku ryzyka naruszenia praw lub wolności osób fizycznych Administrator nie musi zgłaszać zdarzenia do PUODO.

    Jeżeli sam nie potrafisz ocenić wagi naruszenia i masz wątpliwości, czy wyciek danych osobowych, który wystąpił w Twojej firmie wymaga powiadomienia PUODO możesz skorzystać z usług profesjonalnych podmiotów zajmujących się ochroną danych osobowych.

  • jeżeli naruszenie ochrony danych może mieć istostny wpływ na osoby, których dane uległy wyciekowi, a więc jeżli np. istnieje ryzyko kradzieży ich tożsamości, doszło do wycieku danych z dowodu osobistego, ujawniono nr PESEL, ujawniono informacje pochodzące z banku osoby fizycznej (np. informacje dotyczące dokonywanych przez nią płatności, dane dotyczące konta bankowego itd) - masz obowiązek zawiadomienia tych osób o zdarzeniu. Prezes Urzędu Ochrony Danych Osobowych szczegółowo wskazuje jakie informacje powinno zawierać takie zawiadomienie.

    I tak: dokument powinien być napisany prostym i przejrzystym językiem, powinien zawierać: opis charakteru naruszenia, imię i nazwisko oraz dane kontaktowe Inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, opis możliwych konsekwencji naruszenia oraz opis środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu.

    data, cybersecurity, cyberbezpieczeństwo

Współpracuj z Urzędem Ochrony Danych Osobowych

Wyciek danych w wyniku którego doszło np. do kradzieży tożsamości osób, których danych jesteś Administratorem wymaga rzecz jasna zgłoszenia do PUODO. Wiąże się to ze ścisłą współpracą z Urzędem. W tym procesie ważna jest Twoja postawa wobec naruszenia, Twoje ewentualne wcześniejsze przewinienia, czy spowodowanie naruszenia było umyślne, jaka była skala naruszenia oraz na ile adekwatne były środki wprowadzone przed naruszeniem w celu zabezpieczenia danych.

Prezes UODO ma bowiem wobec administratora tzw. uprawnienia naprawcze. Najlżejszym z nich może być otrzymanie upomnienia. Najbardziej uciążliwą sankcją może być natomiast całkowity zakaz przetwarzania danych osobowych, co może wpłynąć na funkcjonowanie organizacji w ogóle.

Sprawdź nasz artykuł: Udostępnianie danych osobowych bez zgody

Prawa osób, których dane wyciekły

Niezależnie od tego, jakie dane wyciekną, każda osoba, której dane osobowe uległy wyciekowi, ma prawo żądać od Ciebie, jako Administratora danych informacji i wyjaśnień związanych z wyciekiem, np. czy znany jest sprawca (umyślyny?, nieumyślny?, kradzież?, czy wyciek danych osobowych spowodowany był błędem człowieka czy też zawinił system? ) zdarzenia, jak doszło do wycieku danych, czy wyciek został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych, jaki dokładnie był zakres danych, które wyciekły, jakie podjąłeś działania naprawcze, co zrobisz, aby nie dopuścić do podobnych sytuacji w przyszłości.

Każda osoba, nawet w przypadku, w którym nie poniosła konkretnej straty materialnej lub niematerialnej w związku z wyciekiem, ma prawo złożyć skargę do PUODO. I chociaż PUODO nie ma kompetencji do wydania decyzji o rekompensacie finansowej dla dla takiej osoby w związku z wyciekiem, może nakazać Tobie wykonanie określonych czynności związanych z przetwarzaniem danych.

Postaw na prewencję

Za większość wycieków w polskich firmach odpowiadają ich pracownicy. Ich działania niekoniecznie są celowe. Bardzo często wynikają z niewiedzy bądź braku ostrożności . Twoją rolą jest zatem nie tylko odpowiednie zabezpieczenie systemów informatycznych, ale także edukowanie swoich pracowników, jak nie dopuścić do wycieku danych. Szkolenia z zakresu ochrony danych osobowych powinny stać się obowiązkowym elementem wdrażania i utrzymywania systemu ochrony danych. Powołanie w struktury organizacji Inspektora ochrony danych (nawet, jeżeli nie ciąży na Tobie taki obowiązek) to również jeden z elementów dający większe gwarancję na to, że administrowane przez Ciebie dane będą bezpieczne.

ochrona danych osobowych, bezpieczeństwo danych RODO

Inną kwestią są oczywiście przypadki celowej kradzieży danych przez pracowników. Tutaj temat jest nieco bardziej skomplikowany.

Wachlarz konsekwencji wycieku danych dla Ciebie, jako Administratora danych, może być dość szeroki. O karach finansowych i działaniach UODO pisaliśmy powyżej. Oprócz nich dopuszczenie do wycieku danych może wiązać się z konsekwencjami:

  • finansowymi,
  • wizerunkowymi,
  • prawnymi.

Kradzież bądź przypadkowy wyciek danych może spowodować osłabienie reputacji firmy oraz utratę zaufania ze strony klientów. Konsekwencją tego będą mogą być straty finansowe.

Warto zadbać o właściwe, adekwatne do wyników analizy ryzyka, zabezpieczenia, które uchronią Administratora przed konsekwencjami naruszeń. Z treści art. 24 ust 1 RODO wynika, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

  • stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  • zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
  • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
  • zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  • zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
  • zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania – art. 27- 43,
  • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.

O tym, jak zabezpieczyć dane osobowe (w tym przed ich wyciekiem) pisaliśmy tutaj: https://lexdigital.pl/wyciek-danych-osobowych-z-firmy-jak-sie-zabezpieczyc

administrator danych osobowych, personal data, data

Zapewnienie bezpieczeństwa w przypadku powierzania danych do przetwarzania

Pamiętaj - za bezpieczeństwo danych powierzanych do przetwarzania również odpowiada Administrator danych. Dlatego dobieraj podmioty przetwarzające skrupulatnie, korzystaj ze swoich praw i przeprowadzaj u nich audyty.

Powierzaj przetwarzanie danych innym podmiotom, z zastrzeżeniem, że podmioty te:

  • wdrożyły odpowiednie środki techniczne i organizacyjne służące ochronie danych oraz spełniają one wymogi ogólnego rozporządzenia o ochronie danych (art. 28 RODO);
  • dysponują wiedzą fachową, są wiarygodne i dysponują adekwatnymi zasobami służącymi bezpieczeństwu przetwarzania (motyw 81 preambuły do RODO);
  • są uprawnione do przetwarzania danych wyłącznie w zakresie celów i sposobów przetwarzania określonych przez Administratora w umowie (podstawą prawną powierzenia danych osobowych jest przede wszystkim umowa powierzenia przetwarzania)

Wyciek danych - dylematy

Temat samego wycieku danych to jedno. W obliczu takiego zdarzenia wielu Administratorów staje przed dylematem: ZGŁOSIĆ CZY NIE ZGŁASZAĆ zdarzenia do Urzędu.

Z jednej strony zgłoszenie naruszenia może "sprowokować" Urząd do podjęcia szczegółowej analizy nie tylko samego naruszenia, które było przedmiotem zgłoszenia, ale też zbadania innych aspektów ochrony danych osobowych u Administratora.

Z drugiej jednak strony niezgłoszenie naruszenia w przypadku, w którym na Administratorze ciąży taki obowiązek może być dużo bardziej dotkliwe. Znane są już w Polsce przypadki nakładania kar na podmioty, które, mimo obowiązku, nie dokonały zgłoszenia naruszenia w wymaganym terminie.

Pamiętaj - nie masz pewności - konsultuj - zwróć się do profesjonalisty

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk