Jakie są obowiązki administratora danych w przypadku wycieku danych osobowych w firmie? Czy każdy wyciek danych należy zgłaszać do instytucji państwowych, w tym do Urzędu Ochrony Danych Osobowych? Jaka jest odpowiedzialność administratora w przypadku takiego zdarzenia względem osób, których dane przetwarza i jakich informacji musi im udzielić? Jak zabezpieczyć swoją firmę przed wyciekiem danych?

Odpowiedzialność wobec kontrahenta i instytucji państwowych w przypadku wycieku danych osobowych w firmie

Definicja administratora danych osobowych

„Byłem przekonany, że RODO w ogóle mnie nie dotyczy” – tymi słowami pan Marek rozpoczął konsultację prawną, na którą zdecydował się po pouczeniu przez klienta o obowiązku dodania na stronie www informacji o przetwarzaniu danych osobowych. Od lat prowadzi stacjonarny sklep ogrodniczy i jak wielu przedsiębiorców w czasie pandemii zdecydował się na sprzedaż swoich artykułów online. Nie spodziewał się, że jego mały sklep internetowy i nowa strona wizytówkowa sprawiają, że jest administratorem danych osobowych pomimo zamieszczenia tam formularza kontaktowego, wdrożonych plików cookies i usprawnionej obsługi reklamacji. RODO jasno wskazuje, że administratorem danych osobowych jest „każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Na każdym administratorze danych osobowych spoczywa szereg obowiązków, również w zakresie wycieku danych. Implementacja takiego systemu ochrony danych osobowych, który umożliwi zminimalizowanie ryzyka wycieku, a także ochronę osób, których dane są przez firmę przetwarzane, to w tym kontekście jego najważniejsze obowiązki.

Postępowanie w przypadku wycieku danych osobowych – krok po kroku

Prowadzisz swoją firmę, zatrudniasz pracowników, wdrożenie polityki RODO zleciłeś specjalistom w tej dziedzinie, a i tak doszło do wycieku danych osobowych przetwarzanych w Twoim przedsiębiorstwie? Pamiętajmy, że nie jest to nieprawdopodobny scenariusz – większość naruszeń związana jest z cyberatakami (jak phishing czy oprogramowanie ransomware), ale przyczynami wycieku danych osobowych są też awarie, niesprawne sprzęty i systemy, a także błędy użytkowników. Sprawdź, jakie kroki musisz podjąć, gdy doszło już do wycieku danych.

  1. Analiza i identyfikacja sytuacji: wyciek danych może stanowić naruszenie lub incydent.

Naruszenie – to taki incydent bezpieczeństwa, który prowadzi do niezgodnego z prawem lub przypadkowego zmodyfikowania, zniszczenia, utracenia bądź też nieuprawnionego ujawnienia dostępu przetwarzanych danych osobowych. Prowadzi do negatywnych konsekwencji względem osoby, których wyciek danych dotyczy.

Incydent – to seria niespodziewanych lub niepożądanych zdarzeń bądź pojedyncze zdarzenie, które potencjalnie mogą stanowić zagrożenie dla bezpieczeństwa informacji lub zakłócić realizację zadań.

  1. Ocena ryzyka naruszeń praw i wolności tych osób, które zostały dotknięte zdarzeniem. Umożliwi to podjęcie decyzji o zgłoszeniu zdarzenia do UODO oraz wskaże, czy zaktualizował się obowiązek poinformowania o zdarzeniu osób, których ono dotyczy.
  2. Udokumentowanie wszystkich podejrzeń naruszeń oraz naruszeń – w szczególności okoliczności zdarzenia, skutków, a także działaniach zaradczych, jakie podjęto. Rejestracja ta jest obowiązkiem Administratora danych osobowych.
  3. Zgłoszenie naruszenia do Prezesa UODO w ciągu 72 h – w przypadku, gdy rezultat oceny zdarzenia wykaże taką konieczność. UODO udostępnia specjalny formularz, który zbiera wszystkie niezbędne na początkowym etapie informacje.

Pamiętaj, że zawsze, gdy ochrona danych zostaje naruszona i może mieć to wpływ na osoby, których dane wyciekły (np. ujawniono ich PESEL, jest ryzyko kradzieży tożsamości tych osób, wyciekły dane ich konta bankowego), jako administrator danych osobowych masz obowiązek zawiadomienia ich o zdarzeniu. Prezes UODO szczegółowo wskazuje, co powinno znaleźć się w treści takiego zawiadomienia:

  • jasny i zrozumiały opis całego naruszenia i jego charakteru;
  • kontakt i dane Inspektora ochrony danych;
  • możliwe konsekwencje naruszenia;
  • wykaz środków, które dotychczas zastosował albo proponuje podjąć Administrator w związku ze zdarzeniem.

Współpraca z UODO

Administrator danych osobowych często nie może zapobiec wyciekowi danych – np. ze względu na niespodziewany charakter tego zdarzenia – ale zdecydowanie może kontrolować swoją reakcję po jego wystąpieniu. Staje wtedy przed dylematem: poinformować UODO o zdarzeniu czy nie zgłaszać go wcale. Oprócz poddania przedmiotu zgłoszenia szczegółowej analizie Urząd może zbadać pozostałe aspekty ochrony danych osobowych po stronie administratora. Nie powinno to jednak być powodem opieszałości lub niezgłoszenia naruszenia wcale – zwłaszcza gdy na Administratorze ciąży taki obowiązek prawny. Kary nakładane w Polsce na podmioty w takich przypadkach bywają naprawdę dotkliwe, o czym przekonał się w ostatnim czasie Santander Bank S.A. O tym naruszeniu danych osobowych Prezes UODO dowiedział się z mediów. Dokumenty bankowe zostały w tej sprawie upublicznione po kradzieży przesyłki firmie kurierskiej i porzuceniu jej w miejscu publicznym, a dane, które się w niej znalazły, to m.in. imiona, nazwiska, informacje o zarobkach, numery PESEL i hasła do banku. Tłumaczeniem administratora danych uzasadniającym brak zgłoszenia było odnalezienie przesyłki w krótkim czasie przez jedną osobę, która została zidentyfikowana. Prezes UODO nałożył na bank karę w wysokości 1 mln 440 tys. zł i w swojej decyzji akcentował, że wysokie ryzyko naruszenia praw i wolności osoby fizycznej powinno być oceniane poprzez pryzmat osoby zagrożonej – nie zaś interesów administratora. To nie jest pierwsza kara nałożona przez PUODO na ten bank z powodu niedopełnienia obowiązku takiego zawiadomienia, co na pewno miało wpływ na wysokości kary.

Pozostałe 50% artykułu dostępne jest dla zalogowanych użytkowników serwisu.

Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę Kup dostęp do artykułu

Źródło: Controlling i Rachunkowość Zarządcza nr 05/2024

Zobacz również

Zastrzeżenie numeru PESEL – czy warto?

Zastrzeżenie numeru PESEL – czy warto?

„Ostateczne wezwanie do zapłaty” – to zobaczyła Ania, kiedy otworzyła list z banku, który przed chwilą odebrała od listonosza. Zauważyła, że na liście wcale nie widnieje logo banku, w którym ma swoje konto. List potraktowała jako pomyłkę i wyrzuciła go.

Czytaj więcej

Sprzedaż na odległość towarów w procedurze importu

Sprzedaż na odległość towarów w procedurze importu

Towary mogą podlegać tzw. sprzedaży na odległość w procedurze importu. Tego typu procedura polega na rozliczaniu podatku VAT należnego z tytułu sprzedaży na odległość towarów importowanych w przesyłkach o wartości rzeczywistej nieprzekraczającej wyrażonej w złotych kwoty odpowiadającej równowartości 150 euro – państwu członkowskiemu konsumpcji (tj. państwu zakończenia wysyłki lub transportu towarów do nabywcy), za pośrednictwem państwa członkowskiego identyfikacji (tj. państwa, które podatnik niemający siedziby na terytorium Unii Europejskiej wybiera w celu złożenia zgłoszenia informującego o zamiarze skorzystania z procedury importu albo w którym podatnik/pośrednik posiada siedzibę działalności gospodarczej lub stałe miejsce prowadzenia działalności) (art. 138a pkt 6 w zw. z pkt 2 ustawy o VAT).

Czytaj więcej

Polecamy

Przejdź do

Partnerzy

Reklama

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.