iSecure logo
Blog

Naruszenie ochrony danych osobowych w firmie – co dalej?

Jeżeli doszło do naruszenia ochrony danych osobowych w Twojej firmie, np. dane Twoich klientów zostały upublicznione lub dostały się w nieuprawnione ręce, zginęły Ci dokumenty zawierające dane osobowe, to jesteś zobowiązany do podjęcia konkretnych działań.

Administrator czy podmiot przetwarzający?

W pierwszej kolejności powinieneś określić, czy w stosunku do danych osobowych, których dotyczy naruszenie, jesteś administratorem czy może przetwarzasz je jako procesor (podmiot przetwarzający). Gdy jesteś administratorem danych, masz obowiązek podjąć pewne czynności, a gdy przetwarzasz te dane w imieniu innego administratora jesteś zobowiązany do pomocy temu administratorowi w wywiązaniu się z tych obowiązków.

Identyfikacja

Zacznij od analizy incydentu, określ zakres oraz rodzaj danych, których potencjalnie dotyczy naruszenie, ilość dotkniętych osób oraz ewentualne skutki naruszenia.

Przygotuj raport o naruszeniu ochrony danych, który obejmuje wszystkie istotne informacje dotyczące naruszenia, takie jak:

  • Data i godzina wykrycia naruszenia.
  • Sposób, w jaki doszło do naruszenia.
  • Rodzaj danych osobowych dotkniętych naruszeniem.
  • Liczba osób, których dane zostały naruszone.
  • Potencjalne skutki naruszenia dla osób dotkniętych.

Analiza

Na podstawie tych danych przeprowadź analizę, czy w przypadku tego naruszenia doszło do naruszenia praw i wolności osób, których dane dotyczą, czyli czy to zdarzenie może w jakiś negatywny sposób mieć wpływ na te osoby. Weź pod uwagę wielkość potencjalnej szkody oraz prawdopodobieństwo jej wystąpienia. Pamiętaj, żeby taką ocenę przeprowadzić wyłącznie z perspektywy osoby, której dane zostały naruszone.

Jeżeli Twoja analiza wykaże, że nie istnieje ryzyko naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem lub jest znikome to wystarczy, że odnotujesz zdarzenie w wewnętrznej ewidencji naruszeń i postarasz się, aby podobna sytuacja nie miała miejsca.

Do analizy warto wykorzystać sprawdzone narzędzie w postaci materiału stworzonego przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Znajdziesz je tutaj: https://www.enisa.europa.eu/publications/dbn-severity

Organ nadzorczy – PUODO

Jeżeli Twoja analiza wykaże, że zaistniałe zdarzenie może prowadzić do szkód materialnych, niematerialnych czy uszczerbku fizycznego osób, których dane dotyczą, np. kradzież tożsamości, dyskryminacja, naruszenie dobrego mienia, stres, nadużycie finansowe, naruszenie poufności danych osobowych chronionych tajemnicą zawodową, to należy uznać, że istnieje wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą i informacja o takim naruszeniu (potencjalne ryzyko nie musi się wcale zmaterializować) powinna zostać zgłoszona do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych, nie później niż 72 godziny od stwierdzenia naruszenia.

Dodatkowo, jeżeli naruszeniu uległy dane:

  • zawierające informacje szczególnie chronione, np. pochodzenie rasowe, poglądy polityczne, wyznanie przynależność do związków zawodowych, dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyrokach skazujących,
  • zawierające czynniki osobowe, np. sytuacja ekonomiczna, zdrowie, zainteresowania, lokalizacja, w celu tworzenia i wykorzystywania profili osobistych,
  • osób wymagających szczególnej opieki, np. dzieci,
  • dotyczące dużej ilości osób, których dane dotyczą,

to odgórnie należy uznać, że naruszenie tych danych powoduje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą.

Dodatkowo warto wziąć pod uwagę, że nasz polski organ nadzorczy jest bardzo przewrażliwiony, gdy informacją, która uległa „wyciekowi” jest PESEL. Można wówczas przyjąć – często wbrew temu co nam wyjdzie z analizy naruszenia metodologią ENISA – że takie naruszenie i tak powinieneś zgłosić.

Osoba, której dane dotyczą

Jeżeli naruszenie danych niesie za sobą wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą informacja o naruszeniu powinna bez zbędnej zwłoki trafić również do tej osoby, tak aby umożliwić tej sobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia co do minimalizacji potencjalnych niekorzystnych skutków.

Poinformowanie powinno być dokonane w sposób przejrzysty i zrozumiały.

Środki naprawcze

Wdróż odpowiednie środki naprawcze, aby zminimalizować ewentualne skutki naruszenia ochrony danych i zapobiec podobnym incydentom w przyszłości. Mogą to być zarówno środki techniczne np. wdrożenie aktualizacji oprogramowania, szyfrowanie, przeprowadzenie testów bezpieczeństwa aplikacji, jak i środki organizacyjne, np. dodatkowe szkolenia dla personelu lub aktualizacja procedur.

Naruszenia ochrony danych nie powinny w ogóle mieć miejsca, jednak niestety przytrafiają się one większości administratorów danych. Jeżeli więc w Twojej organizacji zdarzy się taka sytuacja, nie myśl długo tylko działaj! I pamiętaj, że za ukrycie takiego naruszenia (w tym nie zgłoszenie go do organu nadzorczego) mogą grozić Ci większe konsekwencje, niż te które byłyby spowodowane samym naruszeniem.

Pobierz wpis w wersji pdf

Podobne wpisy:

Robimy newsletter – krok po kroku

Newsletter to bardzo popularna forma budowania i podtrzymywania kontaktów tak z klientami jak i potencjalnymi klientami. Dzięki niemu możemy np. informować o nowościach, promocjach, istotnych dla nas wydarzeniach, itp. Wydaje się, że w dzisiejszych czasach ciężko sobie wyobrazić stworzenie sensownej strategii marketingowej bez sięgnięcia po tak istotne narzędzie jakim niewątpliwie jest newsletter.  W niniejszym wpisie, […]

Przetwarzanie danych służbowych

DPIA w organizacji

Jednym z częstych uchybień, które mają miejsce podczas wdrażania RODO, jest błędna ocena co do braku przesłanek do przeprowadzenia oceny skutków dla ochrony danych (Data Protection Impact Assessment, DPIA). Często może być wynikiem przeświadczenia, że skoro niejedna analiza procesu została zrobiona przed wdrożeniem RODO (np. podczas audytu), to już nic więcej nie trzeba oceniać. Natomiast […]

Obowiązek informacyjny w rekrutacji

Czym jest obowiązek informacyjny? Uważni Czytelnicy bloga iSecure zdają sobie doskonale sprawę, że nie można (co do zasady) zbierać danych osobowych bez dopełnienia obowiązku informacyjnego. Ale zapewne znajdą się i tacy dla których ten wpis będzie ich pierwszym kontaktem z naszym blogiem. Dlatego na wstępie króciutko wyjaśnię czym jest cały ten „obowiązek informacyjny”. Generalna idea […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki