Janusz Popłonkowski
Czym jest naruszenie danych osobowych?
Zgodnie art. 4 pkt 12 RODO naruszenie danych osobowych prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Można wyróżnić trzy rodzaje naruszeń (wedługGrupa Robocza Art. 29):
- naruszenie dotyczące poufności danych – nieuprawnione ujawnienie lub dostęp do danych;
- naruszenie dotyczące integralności danych – zmodyfikowanie danych;
- naruszenie dotyczące dostępności danych – nieuprawniony dostęp lub zniszczenie danych.
Kiedy musisz zgłosić naruszenie?
Administrator ma obowiązek zawiadomić organ nadzorczy oraz osoby, których dane dotyczą, jeśli naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Naruszenie może bowiem spowodować powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych (motyw 85 RODO).
Czym taka szkoda jest w praktyce? Jest to między innymi:
- utrata kontroli nad własnymi danymi osobowymi;
- dyskryminacja;
- kradzież lub sfałszowanie tożsamości;
- strata finansowa;
- naruszenie dobrego imienia.
Wyciek danych w firmie – dlaczego 72 godziny są kluczowe?
Obowiązek administratora zgłoszenia naruszenia danych do organu nadzorczego w ciągu 72 godzin od stwierdzenia zaistnienia incydentu wynika z art. 33 RODO. Administrator musi dokonać zgłoszenia organowi nadzorczemu, chyba że zgodnie z zasadą rozliczalności wykaże, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Termin 72 godzin biegnie od momentu stwierdzenia naruszenia przez administratora, czyli np. od chwili, gdy podmiot przetwarzający przekaże taką informację do administratora albo gdy potwierdzi w wyniku wewnętrznej analizy włamanie do systemu informatycznego.
W razie przekroczenia terminu 72 godzin administrator musi w zgłoszeniu do organu nadzorczego wyjaśnienie przyczyn takiego opóźnienia. Należy jednocześnie wspomnieć, że administrator ma czas na sprawdzenie, czy do naruszenia doszło i może przeznaczyć niezbędny czas na analizę w tym zakresie, a ww. termin liczy się dopiero od momentu „stwierdzenia” naruszenia.
6 kroków, które musi podjąć administrator, kiedy doszło do wycieku danych osobowych
Krok 1 – zidentyfikuj skalę naruszenia danych osobowych – ustal, jakie dany były przedmiotem naruszenia (dane klientów, pracowników, dane wrażliwe), czy doszło do nieuprawnionego dostępu, utraty, zniszczenia czy ujawnienia danych, ilu osób dotyczy incydent i czy dane były zaszyfrowane lub w inny sposób zabezpieczone;
Krok 2 - zabezpiecz system i ogranicz skutki incydentu – podejmij między innymi działania natychmiastowej blokady dostępu, zmiany haseł, odłączenia serwera, współpracy z działem IT, dokumentowania działań;
Krok 3 - oceń ryzyko dla osób, których dane dotyczą – analiza ryzyka, to kluczowy obowiązek administratora, oceń, czy wyciek może prowadzić np. do kradzieży tożsamości, oszustwa, strat finansowych, danych finansowych, zdrowotnych, numeru PESEL;
Krok 4 – dokonaj zgłoszenia do UODO – uwzględnij w zgłoszeniu charakter i okoliczności naruszenia, ilość osób i kategorię oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, dane kontaktowe IOD-a, możliwe konsekwencje i podjęte środki naprawcze;
Krok 5 – poinformuj osoby, których dotyczy naruszenie, o ile jest to wymagane;
Krok 6 – dokonaj analizy przyczyn i wdróż działania naprawcze – dokonaj audytu bezpieczeństwa IT oraz aktualizację procedur i polityki bezpieczeństwa, przeprowadź szkolenia.
