Jak zgodnie z rodo postąpić w przypadku naruszenia bezpieczeństwa danych

Data: 05-09-2016 r.

Naruszenia bezpieczeństwa się zdarzają, a organizacje stają wówczas przed koniecznością oceny sytuacji i podjęcia najlepszych dla nich działań. Czy organizacja powinna w ogóle informować o incydencie? Czy ujawnić informacje na temat luki w systemie zabezpieczeń, czy też zrzucić winę na jakiegoś, bliżej niekreślonego, hakera? Co na ten temat mówi ogólne rozporządzenie?

Już wkrótce wejdzie w życie tzw. rozporządzenie ogólne o ochronie danych osobowych. Zgodnie z nim obowiązek informowania o wystąpieniu incydentu zagrażającemu bezpieczeństwu danych będzie spoczywał na wszystkich administratorach danych.

Stan faktyczny

W firmie Leak sp. z o.o. doszło do incydentu polegającego na tym, że szef działu marketingu wysłał do jednego z klientów e-mail zawierający załącznik z pełną listą klientów spółki. Kientami są m.in. osoby fizyczne, nieprowadzące działalności gospodarczej. Spółka nie jest dostawcą publicznie dostępnych usług telekomunikacyjnych, jednak zdarzenie miało miejsce w drugiej połowie 2018 roku, już po wejściu w życie rozporządzenia ogólnego.

Spółka Leak powinna podjąć niezwłoczne działania. Mogą obejmować:

1. Wcześniejsze przygotowanie procedur zapewniających, że informacja o incydencie dotrze do osób odpowiedzialnych.

2. Zebranie informacji (m.in. jakie dane zostały wysłane, kiedy, do kogo i w jakiej formie) oraz przekazanie ich osobom odpowiedzialnym (np. inspektor ochrony danych, zarząd).

3. Ocena, w tym tego, czy incydent prowadzi do naruszenia praw osób, których dane dotyczą.

4. Podjęcie działań i ewentualne dopełnienie obowiązków notyfikacyjnych.

5. Uwzględnienie naruszenia w dokumentacji oraz działania doskonalące, takie jak dodatkowe szkolenia, wdrożenie systemu zapobiegającego wyciekom danych.

Organ nadzorczy powinien być zawiadomiony niezwłocznie, jednak nie później niż po upływie 72 godzin po stwierdzeniu naruszenia. Jeżeli z jakiegokolwiek powodu nie uda nam się przekazać zgłoszenia w tym terminie, do zgłoszenia należy dołączyć wyjaśnienie przyczyn opóźnienia. Jeżeli administrator nie zawiadomił jeszcze o naruszeniu osób, których ono dotyczy, organ nadzorczy może mu to nakazać.

Leak sp. z o.o. powinna w ciągu 72 godzin zawiadomić organ nadzorczy o wystąpieniu naruszenia. Jest to bardzo krótki czas, tym bardziej że należy w nim przeprowadzić analizę i zidentyfikować możliwe skutki oraz ewentualnie opracować środki w celu zaradzenia naruszeniu danych.

Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zgodnie z rodo nie musimy zawiadamiać osoby o zaistniałym naruszeniu jeżeli:

1. ADO wdrożył odpowiednie techniczne i organizacyjne środki, które uniemożliwią osobom nieuprawnionym dostęp do danych.

2. ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

3. Wymagałoby to niewspółmiernie dużego wysiłku. W takim jednak wypadku należy opublikować ogłoszenie, zastosować inny, równie skuteczny środek.

Spółka Leak powinna:

1. Odpowiedzieć na pytanie, czy została zapewniona poufność danych, np. poprzez ich zaszyfrowanie. W takim wypadku nie będzie konieczności dopełniania obowiązku notyfikacyjnego.

2. Sprawdzić, czy indywidualne powiadomienie wszystkich klientów nie wymagałoby niewspółmiernie dużego wysiłku i czy w związku z tym zamiast indywidualnych powiadomień, nie zastosować ogłoszenia.

3. Przeprowadzić analizę, czy zdarzenie może powodować wysokie ryzyko naruszenia praw lub wolności osób.

4. Jeżeli powyższa analiza wskaże, że spółka powinna przekazać informacje osobom, których dane zostały przesłane w e-mailu, powinna:

  • Zidentyfikować możliwe konsekwencje naruszenia.
  • Opisać środki zaradcze.
Jarosław Żabówka, trener, wykładowca, popularyzator zagadnień ochrony danych osobowych, właściciel firmy www.proInfoSec.pl

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
Array ( [docId] => 39452 )
Array ( [docId] => 39452 )

Array ( [docId] => 39452 )