Już wkrótce wejdzie w życie tzw. rozporządzenie ogólne o ochronie danych osobowych. Zgodnie z nim obowiązek informowania o wystąpieniu incydentu zagrażającemu bezpieczeństwu danych będzie spoczywał na wszystkich administratorach danych.
Jak zgodnie z rodo postąpić w przypadku naruszenia bezpieczeństwa danych
Kategoria: Ochrona danych osobowych
Data: 05-09-2016 r.
Naruszenia bezpieczeństwa się zdarzają, a organizacje stają wówczas przed koniecznością oceny sytuacji i podjęcia najlepszych dla nich działań. Czy organizacja powinna w ogóle informować o incydencie? Czy ujawnić informacje na temat luki w systemie zabezpieczeń, czy też zrzucić winę na jakiegoś, bliżej niekreślonego, hakera? Co na ten temat mówi ogólne rozporządzenie?
Stan faktyczny
W firmie Leak sp. z o.o. doszło do incydentu polegającego na tym, że szef działu marketingu wysłał do jednego z klientów e-mail zawierający załącznik z pełną listą klientów spółki. Kientami są m.in. osoby fizyczne, nieprowadzące działalności gospodarczej. Spółka nie jest dostawcą publicznie dostępnych usług telekomunikacyjnych, jednak zdarzenie miało miejsce w drugiej połowie 2018 roku, już po wejściu w życie rozporządzenia ogólnego.
Spółka Leak powinna podjąć niezwłoczne działania. Mogą obejmować:
1. Wcześniejsze przygotowanie procedur zapewniających, że informacja o incydencie dotrze do osób odpowiedzialnych.
2. Zebranie informacji (m.in. jakie dane zostały wysłane, kiedy, do kogo i w jakiej formie) oraz przekazanie ich osobom odpowiedzialnym (np. inspektor ochrony danych, zarząd).
3. Ocena, w tym tego, czy incydent prowadzi do naruszenia praw osób, których dane dotyczą.
4. Podjęcie działań i ewentualne dopełnienie obowiązków notyfikacyjnych.
5. Uwzględnienie naruszenia w dokumentacji oraz działania doskonalące, takie jak dodatkowe szkolenia, wdrożenie systemu zapobiegającego wyciekom danych.
Organ nadzorczy powinien być zawiadomiony niezwłocznie, jednak nie później niż po upływie 72 godzin po stwierdzeniu naruszenia. Jeżeli z jakiegokolwiek powodu nie uda nam się przekazać zgłoszenia w tym terminie, do zgłoszenia należy dołączyć wyjaśnienie przyczyn opóźnienia. Jeżeli administrator nie zawiadomił jeszcze o naruszeniu osób, których ono dotyczy, organ nadzorczy może mu to nakazać.
Leak sp. z o.o. powinna w ciągu 72 godzin zawiadomić organ nadzorczy o wystąpieniu naruszenia. Jest to bardzo krótki czas, tym bardziej że należy w nim przeprowadzić analizę i zidentyfikować możliwe skutki oraz ewentualnie opracować środki w celu zaradzenia naruszeniu danych.
Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Zgodnie z rodo nie musimy zawiadamiać osoby o zaistniałym naruszeniu jeżeli:
1. ADO wdrożył odpowiednie techniczne i organizacyjne środki, które uniemożliwią osobom nieuprawnionym dostęp do danych.
2. ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
3. Wymagałoby to niewspółmiernie dużego wysiłku. W takim jednak wypadku należy opublikować ogłoszenie, zastosować inny, równie skuteczny środek.
Spółka Leak powinna:
1. Odpowiedzieć na pytanie, czy została zapewniona poufność danych, np. poprzez ich zaszyfrowanie. W takim wypadku nie będzie konieczności dopełniania obowiązku notyfikacyjnego.
2. Sprawdzić, czy indywidualne powiadomienie wszystkich klientów nie wymagałoby niewspółmiernie dużego wysiłku i czy w związku z tym zamiast indywidualnych powiadomień, nie zastosować ogłoszenia.
3. Przeprowadzić analizę, czy zdarzenie może powodować wysokie ryzyko naruszenia praw lub wolności osób.
4. Jeżeli powyższa analiza wskaże, że spółka powinna przekazać informacje osobom, których dane zostały przesłane w e-mailu, powinna:
- Zidentyfikować możliwe konsekwencje naruszenia.
- Opisać środki zaradcze.
Zobacz także:
Tagi: firma, ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
