Od pięciu lat oprócz wielu innych przepisów operatorów telekomunikacyjnych obowiązuje również RODO. To rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Jak reagować w przypadku incydentu RODO, czyli wycieku danych z firmy?
W ciągu pięciu lat od wprowadzenia RODO świadomość obowiązkowego zapewnienia ochrony danych rośnie. Widać to we wdrażanych odpowiednich środkach organizacyjnych i technicznych, które mają zapewnić bezpieczeństwo gromadzonych danych. Jednak niezależnie od tego zdarzają się sytuacje, w których dane wyciekają. Częstym incydentem RODO jest wysłanie danych na niewłaściwy adres lub do niewłaściwej osoby.
Co robić w przypadku stwierdzenia naruszenia RODO?
Przede wszystkim należy działać szybko. Można oczywiście uznać, że dana sytuacja skutkuje jedynie niskim ryzykiem naruszenia praw lub wolności danej osoby i nie ma potrzeby jej zgłaszać. Jednak nie ma gwarancji, że tak samo zinterpretuje ją UODO. W przypadku stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, których dotyczy wyciek danych, należy natychmiast zawiadomić te osoby.
Samo zgłoszenie do UODO to za mało
Zgłoszenie wycieku danej osobie i UODO to nie wszystko. Warto dokładnie przeanalizować zdarzenie, by poznać szczegóły naruszenia bezpieczeństwa danych. Na tej podstawie należy wdrożyć środki pozwalające wyeliminować oraz zminimalizować zagrożenie podobnych zdarzeniem.
– Niedawno u jednego z naszych klientów doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu danych osobowych abonenta (w tym imienia, nazwiska i numeru PESEL) na skutek przesłania przygotowanej dla niego umowy o świadczenie usług telekomunikacyjnych na nieprawidłowy adres e-mail. Abonent został powiadomiony o wystąpieniu incydentu, a naruszenie zostało zgłoszone do UODO wraz z przedstawieniem działań podjętych przez klienta w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia – opowiada Ewelina Grabiec z itB Legal.
Podjęte przez operatora telekomunikacyjnego działania nie zakończyły sprawy. UODO analizuje zgłoszenia naruszenia danych i prawidłowość zawiadomienia osoby, której sytuacja dotyczy. Oczekuje także, że podmiot, z którego do wycieku doszło, przeprowadzi analizę incydentu, wdroży działania minimalizujące skutki tego zdarzenia oraz korygujące, które pozwolą uniknąć podobnych zdarzeń.
Forma zgłoszenia
Należy pamiętać, że zgłoszenia dokonujemy elektronicznie podpisując je podpisem kwalifikowanym lub podpisem zaufanym. Dokonuje tego osoba reprezentująca administratora. Wszystkie powyższe dane muszą być przygotowane przed zgłoszeniem. W przypadku, kiedy nie informujemy właściciela danych musimy mieć do tego zgodny z prawem powód. W zgłoszeniu UODO wymaga podania treści informacji, która została rozesłana do poszkodowanych właścicieli danych osobowych.
Brak informacji lub nie zgłoszenie naruszenia w przypadkach wymaganych przepisami prawa grozi najwyższym wymiarem kary ze strony UODO.
Dlatego w przypadku incydentu RODO trzeba podejść do sprawy kompleksowo i nie uznawać, że samo zgłoszenie wycieku pokrzywdzonej osobie i UODO wystarczy. Incydent trzeba zbadać i poprawić swoje bezpieczeństwo, które najwyraźniej tego wymaga.
Konsekwencje
Działania z zakresu ochrony danych osobowych zmniejszają ryzyko kar ze strony UODO, powództwa cywilnego właścicieli danych osobowych (klientów, petentów) oraz kodeksu karnego (prokuratura).
W celu pogłębienia wiedzy zapraszamy na szkolenia Projektu MdS z zakresu danych osobowych w sklepie MiŚOT.
Źródło: okablowani.pl
Czytaj także:
