Jak zgodnie z rodo postąpić w przypadku naruszenia bezpieczeństwa danych

Data: 05-09-2016 r.

Naruszenia bezpieczeństwa się zdarzają, a organizacje stają wówczas przed koniecznością oceny sytuacji i podjęcia najlepszych dla nich działań. Czy organizacja powinna w ogóle informować o incydencie? Czy ujawnić informacje na temat luki w systemie zabezpieczeń, czy też zrzucić winę na jakiegoś, bliżej niekreślonego, hakera? Co na ten temat mówi ogólne rozporządzenie?

Już wkrótce wejdzie w życie tzw. rozporządzenie ogólne o ochronie danych osobowych. Zgodnie z nim obowiązek informowania o wystąpieniu incydentu zagrażającemu bezpieczeństwu danych będzie spoczywał na wszystkich administratorach danych.

Stan faktyczny

W firmie Leak sp. z o.o. doszło do incydentu polegającego na tym, że szef działu marketingu wysłał do jednego z klientów e-mail zawierający załącznik z pełną listą klientów spółki. Kientami są m.in. osoby fizyczne, nieprowadzące działalności gospodarczej. Spółka nie jest dostawcą publicznie dostępnych usług telekomunikacyjnych, jednak zdarzenie miało miejsce w drugiej połowie 2018 roku, już po wejściu w życie rozporządzenia ogólnego.

Spółka Leak powinna podjąć niezwłoczne działania. Mogą obejmować:

1. Wcześniejsze przygotowanie procedur zapewniających, że informacja o incydencie dotrze do osób odpowiedzialnych.

2. Zebranie informacji (m.in. jakie dane zostały wysłane, kiedy, do kogo i w jakiej formie) oraz przekazanie ich osobom odpowiedzialnym (np. inspektor ochrony danych, zarząd).

3. Ocena, w tym tego, czy incydent prowadzi do naruszenia praw osób, których dane dotyczą.

4. Podjęcie działań i ewentualne dopełnienie obowiązków notyfikacyjnych.

5. Uwzględnienie naruszenia w dokumentacji oraz działania doskonalące, takie jak dodatkowe szkolenia, wdrożenie systemu zapobiegającego wyciekom danych.

Organ nadzorczy powinien być zawiadomiony niezwłocznie, jednak nie później niż po upływie 72 godzin po stwierdzeniu naruszenia. Jeżeli z jakiegokolwiek powodu nie uda nam się przekazać zgłoszenia w tym terminie, do zgłoszenia należy dołączyć wyjaśnienie przyczyn opóźnienia. Jeżeli administrator nie zawiadomił jeszcze o naruszeniu osób, których ono dotyczy, organ nadzorczy może mu to nakazać.

Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zgodnie z rodo nie musimy zawiadamiać osoby o zaistniałym naruszeniu jeżeli:

2. ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

3. Wymagałoby to niewspółmiernie dużego wysiłku. W takim jednak wypadku należy opublikować ogłoszenie, zastosować inny, równie skuteczny środek.

1. Odpowiedzieć na pytanie, czy została zapewniona poufność danych, np. poprzez ich zaszyfrowanie. W takim wypadku nie będzie konieczności dopełniania obowiązku notyfikacyjnego.

2. Sprawdzić, czy indywidualne powiadomienie wszystkich klientów nie wymagałoby niewspółmiernie dużego wysiłku i czy w związku z tym zamiast indywidualnych powiadomień, nie zastosować ogłoszenia.

4. Jeżeli powyższa analiza wskaże, że spółka powinna przekazać informacje osobom, których dane zostały przesłane w e-mailu, powinna:

  • Zidentyfikować możliwe konsekwencje naruszenia.
  • Opisać środki zaradcze.
Jarosław Żabówka, trener, wykładowca, popularyzator zagadnień ochrony danych osobowych, właściciel firmy www.proInfoSec.pl

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 39452 )
Array ( [docId] => 39452 )

Array ( [docId] => 39452 )