Jakie są obowiązki administratora danych w przypadku wycieku danych osobowych w firmie? Czy każdy wyciek danych należy zgłaszać do instytucji państwowych, w tym do Urzędu Ochrony Danych Osobowych? Jaka jest odpowiedzialność administratora w przypadku takiego zdarzenia względem osób, których dane przetwarza i jakich informacji musi im udzielić? Jak zabezpieczyć swoją firmę przed wyciekiem danych?
Definicja administratora danych osobowych
„Byłem przekonany, że RODO w ogóle mnie nie dotyczy” – tymi słowami pan Marek rozpoczął konsultację prawną, na którą zdecydował się po pouczeniu przez klienta o obowiązku dodania na stronie www informacji o przetwarzaniu danych osobowych. Od lat prowadzi stacjonarny sklep ogrodniczy i jak wielu przedsiębiorców w czasie pandemii zdecydował się na sprzedaż swoich artykułów online. Nie spodziewał się, że jego mały sklep internetowy i nowa strona wizytówkowa sprawiają, że jest administratorem danych osobowych pomimo zamieszczenia tam formularza kontaktowego, wdrożonych plików cookies i usprawnionej obsługi reklamacji. RODO jasno wskazuje, że administratorem danych osobowych jest „każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Na każdym administratorze danych osobowych spoczywa szereg obowiązków, również w zakresie wycieku danych. Implementacja takiego systemu ochrony danych osobowych, który umożliwi zminimalizowanie ryzyka wycieku, a także ochronę osób, których dane są przez firmę przetwarzane, to w tym kontekście jego najważniejsze obowiązki.
Postępowanie w przypadku wycieku danych osobowych – krok po kroku
Prowadzisz swoją firmę, zatrudniasz pracowników, wdrożenie polityki RODO zleciłeś specjalistom w tej dziedzinie, a i tak doszło do wycieku danych osobowych przetwarzanych w Twoim przedsiębiorstwie? Pamiętajmy, że nie jest to nieprawdopodobny scenariusz – większość naruszeń związana jest z cyberatakami (jak phishing czy oprogramowanie ransomware), ale przyczynami wycieku danych osobowych są też awarie, niesprawne sprzęty i systemy, a także błędy użytkowników. Sprawdź, jakie kroki musisz podjąć, gdy doszło już do wycieku danych.
- Analiza i identyfikacja sytuacji: wyciek danych może stanowić naruszenie lub incydent.
Naruszenie – to taki incydent bezpieczeństwa, który prowadzi do niezgodnego z prawem lub przypadkowego zmodyfikowania, zniszczenia, utracenia bądź też nieuprawnionego ujawnienia dostępu przetwarzanych danych osobowych. Prowadzi do negatywnych konsekwencji względem osoby, których wyciek danych dotyczy.
Incydent – to seria niespodziewanych lub niepożądanych zdarzeń bądź pojedyncze zdarzenie, które potencjalnie mogą stanowić zagrożenie dla bezpieczeństwa informacji lub zakłócić realizację zadań.
- Ocena ryzyka naruszeń praw i wolności tych osób, które zostały dotknięte zdarzeniem. Umożliwi to podjęcie decyzji o zgłoszeniu zdarzenia do UODO oraz wskaże, czy zaktualizował się obowiązek poinformowania o zdarzeniu osób, których ono dotyczy.
- Udokumentowanie wszystkich podejrzeń naruszeń oraz naruszeń – w szczególności okoliczności zdarzenia, skutków, a także działaniach zaradczych, jakie podjęto. Rejestracja ta jest obowiązkiem Administratora danych osobowych.
- Zgłoszenie naruszenia do Prezesa UODO w ciągu 72 h – w przypadku, gdy rezultat oceny zdarzenia wykaże taką konieczność. UODO udostępnia specjalny formularz, który zbiera wszystkie niezbędne na początkowym etapie informacje.
Pamiętaj, że zawsze, gdy ochrona danych zostaje naruszona i może mieć to wpływ na osoby, których dane wyciekły (np. ujawniono ich PESEL, jest ryzyko kradzieży tożsamości tych osób, wyciekły dane ich konta bankowego), jako administrator danych osobowych masz obowiązek zawiadomienia ich o zdarzeniu. Prezes UODO szczegółowo wskazuje, co powinno znaleźć się w treści takiego zawiadomienia:
- jasny i zrozumiały opis całego naruszenia i jego charakteru;
- kontakt i dane Inspektora ochrony danych;
- możliwe konsekwencje naruszenia;
- wykaz środków, które dotychczas zastosował albo proponuje podjąć Administrator w związku ze zdarzeniem.
Współpraca z UODO
Administrator danych osobowych często nie może zapobiec wyciekowi danych – np. ze względu na niespodziewany charakter tego zdarzenia – ale zdecydowanie może kontrolować swoją reakcję po jego wystąpieniu. Staje wtedy przed dylematem: poinformować UODO o zdarzeniu czy nie zgłaszać go wcale. Oprócz poddania przedmiotu zgłoszenia szczegółowej analizie Urząd może zbadać pozostałe aspekty ochrony danych osobowych po stronie administratora. Nie powinno to jednak być powodem opieszałości lub niezgłoszenia naruszenia wcale – zwłaszcza gdy na Administratorze ciąży taki obowiązek prawny. Kary nakładane w Polsce na podmioty w takich przypadkach bywają naprawdę dotkliwe, o czym przekonał się w ostatnim czasie Santander Bank S.A. O tym naruszeniu danych osobowych Prezes UODO dowiedział się z mediów. Dokumenty bankowe zostały w tej sprawie upublicznione po kradzieży przesyłki firmie kurierskiej i porzuceniu jej w miejscu publicznym, a dane, które się w niej znalazły, to m.in. imiona, nazwiska, informacje o zarobkach, numery PESEL i hasła do banku. Tłumaczeniem administratora danych uzasadniającym brak zgłoszenia było odnalezienie przesyłki w krótkim czasie przez jedną osobę, która została zidentyfikowana. Prezes UODO nałożył na bank karę w wysokości 1 mln 440 tys. zł i w swojej decyzji akcentował, że wysokie ryzyko naruszenia praw i wolności osoby fizycznej powinno być oceniane poprzez pryzmat osoby zagrożonej – nie zaś interesów administratora. To nie jest pierwsza kara nałożona przez PUODO na ten bank z powodu niedopełnienia obowiązku takiego zawiadomienia, co na pewno miało wpływ na wysokości kary.
Pozostałe 50% artykułu dostępne jest dla zalogowanych użytkowników serwisu.
Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.
Zaloguj Zamów prenumeratę Kup dostęp do artykułuŹródło: Controlling i Rachunkowość Zarządcza nr 05/2024
