fbpx

Incydent ochrony danych osobowych

Zgodnie z informacjami, jakich udzielił PUODO, Administratorzy danych niekoniecznie przejmują się obowiązkiem powiadamiania o naruszeniu przetwarzania danych. Niewątpliwie incydent z ochrony danych osobowych wiąże się ze wzrostem poziomu stresu u Administratora. Jeszcze bardziej wysłanie zgłoszenia do PUODO. Nie zwalnia go to jednak z obowiązków prawnych. O naruszeniu należy powiadomić tak Urząd, jak i samą osobę, której dane dotyczą. W przeciwieństwie do przepisów postępowanie Administratorów nie jest jednak tak oczywiste. Zdaniem PUODO, tylko część Administratorów wykonuje rzetelnie swoje obowiązki w tym zakresie. Nieliczni opisują incydent, przebieg wydarzeń oraz przyczyny jego wystąpienia. Informują również, jakie mogą być konsekwencje wystąpienia takiego naruszenia.

Pomoc potrzebna od zaraz!

Administrator powinien ograniczyć możliwość wystąpienia naruszenia w przyszłości. Skoro wystąpił incydent, to poznawszy słabość swojego systemu bezpieczeństwa, może zastosować odpowiednie środki naprawcze. Oczywiście, z pomocą Administratorowi przyjdzie Inspektor Ochrony danych. O ile Administrator rozsądnie go powołał. Przyda się również analiza ryzyka. Niewątpliwie, trzeba zapamiętać zasadę – występuje incydent – aktualizujemy analizę ryzyka. Sprawdzamy, jak wzrosło ryzyko, co możemy poprawić. W związku z tym trzeba odpowiedzieć na pytania. Czy tylko ponowne szkolenia personelu wystarczą? Czy należałoby bardziej dostosować środki techniczne dot. bezpieczeństwa danych? Zainwestować w ich modernizację? Im więcej pomysłów tym lepiej.

Co ma wspólnego dywan i incydent…

Z analizy przeprowadzonej przez UODO wynika jednak, iż gro Administratorów nie do końca rozumie cel określony w art. 33 i 34 RODO. Dla wyjaśnienia, zdaniem UODO, Administrator stwierdza owszem, że incydent miał miejsce. Następnie jednak sprawę zamiata pod przysłowiowy dywan. I na tym koniec. Choć tak być nie powinno. Oczywiście, jest to duży błąd. Nikt nie chce, aby jego dane przetwarzane przez podmiot ujrzały światło dzienne. Incydent? – nikt na niego nie czeka. Jednak, gdy już tak się stanie, osobiście byłabym wdzięczna gdybym wiedziała, że Administrator w tej sprawie działa i chce naprawić zaistniałą szkodę. Chciałabym też dokładnie wiedzieć, co stało się z moimi danymi. Co mi grozi w związku z naruszeniem. Ogólnikowe informacje niewiele tutaj pomogą. W przeciwieństwie do moich oczekiwań, Administratorzy konstruują jak najbardziej ogólne powiadomienia o wystąpieniu naruszenia. I właśnie w takiej formie przesyłają do właścicieli danych. Choć tyle że powiadamiają właściciela danych o incydencie. Lepsze to rozwiązanie niż ten dywan 😉 Dobrze byłoby jednak zadbać również o poprawność merytoryczną zawiadomień.

Zawiadomienie – kiedy wysłać?

Art. 34 RODO:

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu

Pamiętajmy, że aby zgłosić naruszenie do PUODO powinniśmy wysłać takie zgłoszenie maksymalnie do 72 godzin od jego wykrycia.

Zawiadomienie – co napisać?

Zakres informacji określono w art. 33 ust. 3 RODO. Zgłoszenie powinno zatem zawierać:

Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:
a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie – jak napisać?

Komunikat kierowany do właściciela danych powinien być skonstruowany tak, aby odbiorca nie miał wątpliwości co do jego treści. Tak, jak zostało wspomniane powyżej, nie może być zbyt ogólny. Informacja o incydencie – z jednej stronie – może zostać wysłana indywidualnie do poszkodowanego. Z drugiej strony może to być informacja na stronie internetowej czy ogłoszenie. Możliwości powiadomienia jest wiele, wszystko zależy od skali naruszenia w placówce. To tyle w teorii a w praktyce? Wszystko zależy od charakteru incydentu, poniesionych szkód itp. Jeśli chcesz wiedzieć jak postępować w obliczu incydentu krok po kroku, skontaktuj się z nami. Chętnie Ci pomożemy. Podzielimy się z Tobą nie tylko naszą wiedzą teoretyczną, ale także praktycznymi rozwiązaniami.

Inspektor Ochrony Danych, któremu nie jest straszny incydent z ochrony danych osobowych