Dzisiaj jest: 22.11.2024, imieniny: Cecylii, Jonatana, Marka

Co robić w razie naruszenia ochrony danych osobowych - krótki poradnik dla MSP

Dodano: 17.11.2023 Czytane: 46 Autor:

Kiedy wdrażam lub audytuję systemy ochrony danych osobowych, często słyszę „u nas nigdy nic się nie stało”. Zwykle odpowiadam, że po pierwsze, możecie nie wiedzieć, czy coś się u was lub podmiotów przetwarzających dane nie stało. Po drugie, pytanie nie brzmi czy dojdzie do naruszenia ochrony danych osobowych, ale kiedy.

Co robić w razie naruszenia ochrony danych osobowych - krótki poradnik dla MSP

Zgodnie z Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej RODO) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
 

Naruszenie ochrony danych osobowych
 

Abyśmy mogli mówić o naruszeniu ochrony danych osobowych w przedsiębiorstwie:

  1. Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez Państwa lub Państwa podmiot przetwarzający (np. biuro księgowo-rachunkowe, z którego usług Państwo korzystacie itp.).
  2. Skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.
  3. Naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Można wyróżnić trzy typy naruszeń:

  1. Naruszenie poufności – czyli ujawnienie danych osobowych nieuprawnionej osobie, np. przypadkowe wysłanie e-maila z dokumentami do nieodpowiedniej osoby, uzyskanie przez hakera dostępu do danych, zgubienie dokumentów itp.
  2. Naruszenie dostępności – czyli utracie lub zniszczeniu danych osobowych, np. w przypadku kiedy haker zaszyfruje komputer z danymi osobowymi (lub je wykasuje) lub w komputerze popsuje się dysk twardy.
  3. Naruszenie integralności – czyli zmiana treści danych w sposób nieautoryzowany.

Administrator danych osobowych
 

Zgodnie z RODO, administrator danych (w praktyce można założyć, że każdy przedsiębiorca jest administratorem danych) powinien:

  1. Mieć i stosować procedurę reagowania na naruszenia ochrony danych osobowych.
  2. Prowadzić rejestr naruszeń.
  3. Zgłaszać naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
  4. Powiadomić osobę, której dane dotyczą, o naruszeniu.
  5. Podejmować działania mające na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

Załóżmy, że wasze biuro rachunkowe zgłasza wam, że było celem ataku hakerskiego i najprawdopodobniej hakerzy „ukradli” też wasze dane.

Zapisujecie datę i godzinę uzyskania informacji o naruszenia. Od tego momentu macie 72 godziny, by poinformować PUODO. Razem ze swoim podmiotem przetwarzającym (biurem rachunkowym) sporządzacie raport z incydentu, w którym zapisujecie:

  1. Co się stało? Kiedy? Gdzie?
  2. Na czym polegało naruszenie?
  3. Przyczyny naruszenia?
  4. Charakter naruszenia (poufność, integralność, dostępność)?
  5. Kto jest odpowiedzialny za naruszenie?
  6. Ilu osób dotyczy naruszeni.
  7. Kategorie danych osobowych.
  8. Czy doszło do naruszenia praw i wolności podmiotów ?

Raport pomoże wam przeprowadzić analizę ryzyk i wypełnić formularz do PUODO.

Można najpierw roboczo wypełnić zgłoszenie do PUODO, a potem zrobić raport co czasami ułatwia prace i pozwala zachować 72-godzinny termin. Następnie przeprowadzacie analizę ryzyk oraz czy są spełnione przesłanki do zgłoszenia PUODO (wysokie lub średnie ryzyko naruszenia praw i wolności). Ponadto robicie analizę czy informować osoby, których dotyczy naruszenie.

Przy obecnej praktyce PUODO (kary za brak zgłoszenia) w razie wątpliwości radzę zgłaszać naruszenie do PUODO i informować osoby. Zgłoszenie zawsze robi administrator.

Pamiętajcie, by zaproponować i bezzwłocznie wdrożyć środki zaradcze na przyszłość, które zmniejszają ryzyko naruszenia prawa dla osób, których dane przetwarzacie.
 

Zgłoszenie naruszenia
 

Zgłoszenie do PUODO dokonujecie przy pomocy formularza (dostępny jest na stronie uodo.gov.pl):

  1. Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl.
  2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP.
  3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego, dostępnego na platformie biznes.gov.pl.
  4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres UODO (listem poleconym za potwierdzeniem nadania).

Równocześnie proponuję:

  1. Zawiadomić organy ścigania (jeżeli naruszenie jest efektem czynu zabronionego i opisanego w przepisach karnych).
  2. Przy atakach hakerskich, zgłosić zdarzenie również do CERT Polska https://incydent.cert.pl/.

Jeśli masz pytania, zapraszam do kontaktu.

Autor: Kancelaria Radcy Prawnego Paweł Ludwiczak – www.ludwiczak-radcaprawny.pl

Polecane
Zapisz się do newslettera:
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingu usług i produktów partnerów właściciela serwisów.

Ta strona używa plików cookies. Korzystając z tej strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Jeżeli nie wyrażasz zgody - zmień ustawienia swojej przeglądarki. Dowiedz się więcej z naszej polityki prywatności.

Zamknij