arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
14.05.2021

Jak postępować w razie wycieku danych osobowych

Adam Warawko

Właściwa postawa w razie wycieku danych osobowych może pomóc przedsiębiorcy uniknąć kryzysu wizerunkowego, a także ewentualnych kar i odszkodowań. Kluczowa może się okazać właściwa współpraca z organem nadzorczym oraz osobami poszkodowanymi.

Dane osobowe, zarówno w formie cyfrowej jak i analogowej, mogą wyciekać z firmy na wiele sposobów. Szczególnie niebezpieczna może być nieostrożność pracowników, na przykład pozostawienie, zgubienie lub wyrzucenie do śmietnika poufnych dokumentów, czy pozostawienie bez opieki sprzętu komputerowego z odblokowanym ekranem. Przyczyną wycieku danych mogą być też działania przestępcze, np. atak hakerski. Dodatkowe zagrożenia pojawiają się, gdy pracownicy firmy pracują zdalnie, używając prywatnego sprzętu, urządzeń mobilnych lub słabo zabezpieczonych domowych bądź publicznych sieci bezprzewodowych. 

Warto zdawać sobie sprawę jednak, że nie każdy incydent bezpieczeństwa informacji jest naruszeniem ochrony danych, nie każde naruszenie ochrony danych wiąże się z koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz nie każde naruszenie zgłoszone do urzędu, łączy się z obowiązkiem zawiadomienia osób fizycznych, których dane dotyczą.

Administrator, aby ocenić, czy dane naruszenie, w omawianym wpisie – wyciek danych osobowych, wiąże się z koniecznością dokonania zgłoszenia do urzędu, musi oszacować, jak bardzo prawdopodobne jest to, że w wyniku danego naruszenia powstaje ryzyko dalszych negatywnych konsekwencji dla wolności lub praw osób, których dane wyciekły. Do tego celu niezbędne jest przeprowadzenie i udokumentowanie analizy ryzyka zaistniałego naruszenia.

Jeżeli z analizy wyjdzie, że ryzyko naruszenia praw i wolności jest niewielkie – może tak być na przykład wtedy, gdy wyciekły dane silnie zaszyfrowane – obowiązek zgłoszenia nie powstaje. Co innego, jeżeli analiza wykaże, że naruszenie powoduje ryzyko dla praw i wolności osób, bo wówczas obowiązkiem przedsiębiorcy jest przesłanie właściwej informacji do Urzędu Ochrony Danych Osobowych. Jeżeli wspomniane ryzyko wyjdzie wysokie, koniecznym będzie również powiadomienie osób, których dane dotyczą.

Zasady dotyczące postępowania zgłoszeniowego w przypadku stwierdzenia naruszenia ochrony danych są określone w artykułach 33 i 34 RODO. Odpowiednie zawiadomienie powinno być przesłane do UODO w ciągu 72 godzin od stwierdzenia naruszenia, musi ono: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; zawierać imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. W przypadku gdy zgłoszenie następuje później niż przewidziane przepisami RODO 72 godziny, należy do niego dołączyć wyjaśnienia opisujące przyczyny opóźnienia.

Podobne informacje powinny otrzymać wszystkie osoby, których prawa mogły zostać naruszone w wyniku wycieku, jeżeli, jak już było wcześniej wspomniane, analiza ryzyka wycieku wykaże, że istnieje wysokie ryzyko naruszenia ich praw lub wolności. Informacja skierowana do osób fizycznych powinna być sporządzona zrozumiałym językiem oraz podobnie jak w przypadku zawiadomienia skierowanego do organu nadzorczego, musi zawierać dane kontaktowe Inspektora Ochrony Danych, opisywać możliwe konsekwencje wycieku, a także informować o środkach podjętych w celu minimalizacji skutków zdarzenia.

W każdym przypadku stwierdzenia naruszenia przepisów RODO, które wymaga dokonania zgłoszenia, bardzo istotna jest właściwa współpraca z organem nadzorczym, tym bardziej że wysokość grożącej przedsiębiorstwu kary pieniężnej jest uzależniona między innymi od tego, w jaki sposób organ nadzoru dowiedział się o naruszeniu. Pozostałe czynniki wpływające na wysokość kary to m.in. czas trwania naruszenia, umyślność, ocena działań podjętych dla zminimalizowania szkody czy ewentualne wcześniejsze naruszenia.

Przed wyciekiem danych często można się zabezpieczyć stosując np. standardowe metody ochrony systemów informacyjnych, kontrolę dostępu do pomieszczeń, właściwą politykę haseł, systematyczne szkolenia pracowników w zakresie socjotechnicznych metod ataków hakerskich oraz chociażby poprzez stosowanie szyfrowania dysków i szyfrowanych połączeń.

Na koniec warto podkreślić, że administrator po stwierdzeniu naruszenia, powodującego ryzyko dla praw i wolności, powinien szybko podjąć wszelkie możliwe działania, służące minimalizacji potencjalnych szkód dla osób fizycznych, ponieważ skuteczna i szybka reakcja podparta konkretnymi czynnościami, które zminimalizują szkody wynikające z wycieku, będzie poważną okolicznością łagodzącą, jaką organ nadzorczy z pewnością weźmie pod uwagę.