Problemy z danymi w spółkach IT. Liczy się plan działania

W ostatnich tygodniach w Polsce bardzo głośno było o wyciekach danych m.in. z popularnego, międzynarodowego serwisu społecznościowego, czy też danych funkcjonariuszy policji. Do wycieku danych może dojść zarówno w dużych organizacjach, jak i w tych mniejszych. Zrozumienie w jaki sposób może dojść do wycieku firmowych danych jest więc kluczowe, aby móc w odpowiedni sposób zabezpieczyć dane przed ich utratą.

Atak hakera czy nieostrożność pracowników

Wbrew pozorom, wycieki danych niekoniecznie muszą być dziełem hakerów. Okazuje się, że często za naruszenie firmowego bezpieczeństwa IT odpowiadają sami pracownicy lub współpracownicy. Oczywiście nie oznacza to, że możemy wykluczyć ryzyko działania osoby spoza organizacji. Ataki hakerskie są tak samo realne, jak zagrożenia wynikające z nieostrożności osób wewnątrz firmy.

Wyciek danych może sygnalizować konkretne problemy: wadliwe procedury czy niewystarczające zabezpieczenia. Rolą właścicieli firm jest nie tylko odpowiednie zabezpieczenie systemów IT, ale także właściwa edukacja swoich pracowników, zapobiegająca wyciekom danych. Zarząd powinien podjąć niezbędne kroki, aby dane przetwarzane były w sposób bezpieczny. Niezależnie od przyczyny, gdy do wycieku danych dojdzie, sytuacja nie powinna być zignorowana przez osoby zarządzające firmą. Wręcz przeciwnie – należy działać szybko i skutecznie. Skutkami takiego zdarzenia mogą być bowiem m.in. konsekwencje prawne (np. kara administracyjna), jak i negatywny wpływ na wizerunek i reputację firmy, utrata zaufania ze strony klientów.

Naruszenie ochrony danych osobowych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO„) nie posługuje się pojęciem „wyciek” lecz „naruszenie ochrony danych osobowych”. Zgodnie z treścią art. 4 pkt. 12 RODO, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Definicja naruszenia ochrony danych osobowych jest więc bardzo szeroka.

Naruszeniem ochrony danych osobowych nie będzie każde zdarzenie, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych oraz będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą.

Jeżeli do takiego naruszenia dojdzie w konkretnym dziale, np. w dziale IT, to musi on efektywnie porozumieć się z odpowiednimi osobami według ustalonych wcześniej procedur, np. z inspektorem ochrony danych, czy też prawnikami wyspecjalizowanymi w doradztwie z zakresu ochrony danych osobowych.

Zawiadomienie organu nadzorczego

Jeśli doszło do naruszenia bezpieczeństwa danych osobowych lub zachodzi uzasadnione podejrzenie, że do takiego naruszenia mogło dojść, powinny zostać podjęte działania mające na celu zarządzanie zaistniałą sytuacją oraz minimalizujące ryzyko wystąpienia negatywnych konsekwencji tych naruszeń.

Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych administrator zgłasza fakt naruszenia organowi nadzorczemu tj. Prezesowi Urzędu Ochrony Danych Osobowych („UODO„), niezwłocznie, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia. Czasu jest więc niewiele.

Zgłoszenie nie będzie wymagane, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności osób. Administrator powinien dokonać prawidłowej oceny ryzyka, aby upewnić się, czy zgłoszenia należy dokonać, czy też nie.

Wewnętrzny rejestr

Administrator jest zobowiązany dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania przepisów RODO. Art. 33 ust. 5 RODO wprost nakazuje prowadzenie dokumentacji wszelkich naruszeń ochrony danych. Rejestr powinien zawierać następujące informacje o danym naruszeniu: datę wystąpienia, okoliczności, oszacowane ryzyko naruszenia praw i wolności podmiotu danych oraz podjęte działania naprawcze i zabezpieczające. Do rejestru naruszeń należy wpisywać wszystkie tego typu zdarzenia, które miały miejsce u administratora, na wypadek ewentualnej kontroli. Nie ma znaczenia, czy dane naruszenie zostało zgłoszone do Prezesa UODO.

Zawiadomienie osób

Jeśli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zawiadamia bez zbędnej zwłoki te osoby o naruszeniu. Zawiadomienie powinno zostać napisane jasnym i prostym językiem, powinno opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) RODO. Treść komunikatu należy dostosować do kategorii jego adresatów. Po złożeniu zawiadomienia do Prezesa UODO może on w przyszłości chcieć zweryfikować, w jaki sposób dana osoba została powiadomiona o wystąpieniu naruszenia.

Podobnie jak w przypadku obowiązku notyfikacyjnego względem organu nadzorczego, ustawodawca przewidział sytuacje, w których pomimo naruszenia ochrony danych osobowych wykonanie obowiązku zawiadomienia podmiotu danych nie jest konieczne, m.in. wtedy, gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych.

Podsumowanie

Nie wszystkie naruszenia będą wymagały zgłoszenia do Prezesa UODO. Jeśli jednak już będzie to konieczne, zgłoszenie powinno być dokonane, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia przez administratora. Kluczowym elementem zarządzania ryzykiem jest wdrożenie odpowiednich procedur, które pomogą skrócić czas reakcji. Każdy przypadek naruszenia jest badany przez Prezesa UODO w sposób indywidualny. Zgodnie z brzmieniem RODO, kary mają być skuteczne, proporcjonalne i odstraszające (art. 83 ust. 1 RODO). W praktyce od kilku lat można zaobserwować, że na spółki z różnych branż – w tym IT – nakładane są wysokie administracyjne kary finansowe. W zeszłym roku, za niezgłoszenie naruszenia przepisów o ochronie danych osobowych do Prezesa UODO, na jedną z firm została nałożona kara pieniężna w wysokości ponad 85 tys. zł. Kwestię zgłoszenia należy więc dokładnie przeanalizować.


Autor:

Monika Gaczkowska, associate, WOLF THEISS

Last Updated on 27 kwietnia, 2021 by Karolina Ampulska

Udostępnij