Naruszenie ochrony danych osobowych- poprawny proces obsługi

naruszenie ochrony danych osobowychPowinieneś wiedzieć czym jest naruszenie ochrony danych osobowych…

Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Taką definicję mamy w RODO w artykule 4. Definicja jest dość szeroka i nie pozwala na zbyt dużą interpretację. Naruszenie ochrony danych osobowych może przydarzyć się każdemu. Każdemu, wcale nie koniecznie, może być przez nieuwagę, ale może się przydarzyć. Najłatwiej zrozumieć czym jest naruszenie ochrony danych osobowych opierając się o trzy atrybuty: poufności, dostępności i integralność. Każdy z nich można łatwo opisać w przykładach dzięki czemu można zrozumieć, kiedy może dojść do naruszenia ochrony danych osobowych.

Naruszenie ochrony danych osobowych występuje, gdy dane, za które odpowiada Twoja firma/organizacja, ucierpiały…

Integralność, wydawałoby się, że jakie tu wystąpi naruszenie ochrony danych osobowych, bo co się może stać. A jednak – przykładowo, gdy pracownik dla żartu zmieni nazwiska klientów może dochodzić do pomyłek. Do pomyłek przy dzwonieniu, przy wysyłce korespondencji. Niech tą błędną wysyłką będzie wysłanie bazy danych osobowych klientów do niewłaściwej osoby i przejdziemy w utratę poufności. Dostępność do danych wiąże się np. z koniecznością utrzymania kontaktów. Jeśli mamy bazę klientów na pendrive, który nam zaginie będziemy mieli naruszenie na gruncie dostępności. Łatwo jest dopuścić do przypadkowego naruszenia ochrony danych osobowych i naruszenia wskazanych atrybutów. Zdarzyć się może również działanie osób trzecich. Czy to przypadkowe czy też zaplanowane. Przypadkowym może być utrata kilku dysków zawierających dane osobowe należących do klientów przez dostawcę usług w chmurze. Celowym naruszeniem ochrony danych osobowych będzie włamanie na serwer firmowy i wykasowanie plików z pamięci komputera oraz zniszczenie kopii zapasowych.

Stwierdzenie czy doszło do naruszenia ochrony danych osobowych jest ważne z punktu widzenia dalszych działań…

Wiemy to już chyba wszyscy po wielu publikacjach decyzji Urzędu Ochrony Danych Osobowych, że trzeba zgłaszać naruszenie ochrony danych osobowych. Trzeba zgłaszać, mamy na to 72 godziny. Jednakże, nie zawsze trzeba zgłaszać, nie zawsze trzeba też powiadamiać osoby, które zostały objęte incydentem. To pierwszy element, będący istotnym w zakresie obsługi naruszeń ochrony danych osobowych. Istotny, bo może się okazać, że niekoniecznie musimy się wystawiać UODO. Od czego zacząć? Od analizy czy występuje ryzyko naruszenia praw i wolności osobistych. Jeśli jest mało prawdopodobne, to nie musisz zawiadamiać UODO o naruszeniu.

72 godziny na zgłoszenie naruszenia ochrony danych osobowych to może być mało czasu, dlatego postaw na specjalistów, którzy dobrze je sprawdzą…

Załóżmy, że system informatyczny jakiegoś administratora został zainfekowany złośliwym oprogramowaniem. Po przeprowadzeniu wstępnej analizy stwierdził on, że nastąpiła tymczasowa utrata dostępu do danych jednak z uwagi na fakt, że posiadamy elektroniczny system zabezpieczeń chroniący przed wyciekiem danych, ryzyko naruszenia praw i wolności osób fizycznych oceniamy na małe. Takiego naruszenia nie zgłaszamy do Prezesa UODO. Wydawałoby się, że to już koniec. Jednakże, po paru godzinach okazuje się, że w wyniku ww. włamania do systemu, haker po obejściu zabezpieczeń, uzyskał dostęp do danych osobowych. W związku z czym ryzyko naruszenia praw i wolności osób fizycznych staje się wysokie i wymaga już zgłoszenia do UODO. Jeśli nie mamy dobrego specjalisty, to może się nam skończyć na etapie, że ryzyko jest małe, więc jest ok. Dopiero doświadczony specjalista ds. obsługi naruszeń ochrony danych osobowych, będzie wiedział, że trzeba dalej sprawdzać.

Poprawny proces obsługi naruszeń ochrony danych osobowych może uchronić Cię przed karą….

Wiemy, że naruszenie ochrony danych osobowych może skończyć się karą nałożoną przez Prezesa UODO. Ten publikuje swoje decyzje i widać, że zdarzają się też kary za niewłaściwe podejście do zagadnienia. Niewłaściwe, bo nie zawsze musimy wszystko zgłosić. Niewłaściwe, bo nawet jak zgłosiliśmy to nie powiadomiliśmy osób itd. Warto więc, przeprowadzając analizę danego naruszenia ochrony danych osobowych skorzystać ze specjalisty. Nie każda organizacja ma IOD-a, nie każda musi. Jednakże, każdej może się przytrafić naruszenie i co wtedy zrobi. Szukanie wsparcia u prawników może też skończyć się źle. Nie każdy prawnik musi umieć rozpoznawać sytuację dotyczącą naruszenia ochrony danych osobowych. Może nie wiedzieć jak daną sytuację zaklasyfikować. Przecież nie zawsze utrata jakiegokolwiek nośnika (np. laptopa, dysku zewnętrznego, pendrive ’a) będzie traktowana jako potencjalne naruszenie ochrony danych osobowych. Może się okazać, że na utraconym sprzęcie nie zapisano żadnych informacji, które byłyby danymi osobowymi. Wysłanie maila na niewłaściwy adres e-mail, choć z reguły kojarzy się z naruszeniem ochrony danych osobowych, nie zawsze nim będzie. Przesłanie wiadomości z samą informacją, że „Twoja reklamacja została rozpatrzona pozytywnie, czeka na Ciebie do odbioru nowy towar. Zapraszamy do sklepu”, nie powoduje ujawnienia danych osobowych i zagrożenia dla praw osoby, która powinna być właściwym adresatem korespondencji.

Jeśli już musiałeś zgłosić to wsparcie w kontaktach z Urzędem Ochrony Danych Osobowych jest równie istotne jak proces obsługi naruszeń ochrony danych osobowych …

Bywa, że naruszenie ochrony danych osobowych trzeba zgłosić do UODO. Jeżeli nawet umieliśmy je ocenić, lub po prostu nie wiedząc czy trzeba, dokonaliśmy zgłoszenia, to czeka nas rozmowa z przedstawicielem UODO. Najczęściej będzie to korespondencyjna forma. Relacja z UODO jest fundamentem wyjaśnienia sprawy, więc warto znać sposób myślenia pracowników UODO. I znowu, warto mieć do dyspozycji specjalistę. To on ma umiejętność opracowania treści odpowiedzi na pytania UODO. Całość sytuacji z naruszeniem ochrony danych osobowych skupia się na tym, że bez członka zespołu znającego się na tym procesie może być trudno. Jeśli nie Masz takiej osoby w swoim zespole, możesz skorzystać z firm zajmujących się ochroną danych osobowych na co dzień. BCO Poland sp. z o. o. poza świadczeniem usług kompleksowych na gruncie RODO posiada też w swoim portfolio dedykowaną usługę Obsługi naruszeń danych osobowych, która może wspomóc w takich sytuacjach. Zachęcam do zapoznania się ze wszystkimi usługami świadczonymi przez tą firmę, bo może i w innych obszarach Znajdziesz coś dla siebie.

 

 

Dodaj komentarz

BCO Integrity - Logo w stopce