Odpowiedzialność wobec kontrahenta i instytucji państwowych w przypadku wycieku danych osobowych w firmie

Jakie są obowiązki administratora danych w przypadku wycieku danych osobowych w firmie? Czy każdy wyciek danych należy zgłaszać do instytucji państwowych, w tym do Urzędu Ochrony Danych Osobowych? Jaka jest odpowiedzialność administratora w przypadku takiego zdarzenia względem osób, których dane przetwarza i jakich informacji musi im udzielić? Jak zabezpieczyć swoją firmę przed wyciekiem danych?

html-css-collage-concept-with-person.jpg

Definicja administratora danych osobowych

„Byłem przekonany, że RODO w ogóle mnie nie dotyczy” – tymi słowami pan Marek rozpoczął konsultację prawną, na którą zdecydował się po pouczeniu przez klienta o obowiązku dodania na stronie www informacji o przetwarzaniu danych osobowych. Od lat prowadzi stacjonarny sklep ogrodniczy i jak wielu przedsiębiorców w czasie pandemii zdecydował się na sprzedaż swoich artykułów online. Nie spodziewał się, że jego mały sklep internetowy i nowa strona wizytówkowa sprawiają, że jest administratorem danych osobowych pomimo zamieszczenia tam formularza kontaktowego, wdrożonych plików cookies i usprawnionej obsługi reklamacji. RODO jasno wskazuje, że administratorem danych osobowych jest „każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Na każdym administratorze danych osobowych spoczywa szereg obowiązków, również w zakresie wycieku danych. Implementacja takiego systemu ochrony danych osobowych, który umożliwi zminimalizowanie ryzyka wycieku, a także ochronę osób, których dane są przez firmę przetwarzane, to w tym kontekście jego najważniejsze obowiązki.

Postępowanie w przypadku wycieku danych osobowych – krok po kroku

Prowadzisz swoją firmę, zatrudniasz pracowników, wdrożenie polityki RODO zleciłeś specjalistom w tej dziedzinie, a i tak doszło do wycieku danych osobowych przetwarzanych w Twoim przedsiębiorstwie? Pamiętajmy, że nie jest to nieprawdopodobny scenariusz – większość naruszeń związana jest z cyberatakami (jak phishing czy oprogramowanie ransomware), ale przyczynami wycieku danych osobowych są też awarie, niesprawne sprzęty i systemy, a także błędy użytkowników. Sprawdź, jakie kroki musisz podjąć, gdy doszło już do wycieku danych.

  1. Analiza i identyfikacja sytuacji: wyciek danych może stanowić naruszenie lub incydent.

Naruszenie – to taki incydent bezpieczeństwa, który prowadzi do niezgodnego z prawem lub przypadkowego zmodyfikowania, zniszczenia, utracenia bądź też nieuprawnionego ujawnienia dostępu przetwarzanych danych osobowych. Prowadzi do negatywnych konsekwencji względem osoby, których wyciek danych dotyczy.

Incydent – to seria niespodziewanych lub niepożądanych zdarzeń bądź pojedyncze zdarzenie, które potencjalnie mogą stanowić zagrożenie dla bezpieczeństwa informacji lub zakłócić realizację zadań.

  1. Ocena ryzyka naruszeń praw i wolności tych osób, które zostały dotknięte zdarzeniem. Umożliwi to podjęcie decyzji o zgłoszeniu zdarzenia do UODO oraz wskaże, czy zaktualizował się obowiązek poinformowania o zdarzeniu osób, których ono dotyczy.
  2. Udokumentowanie wszystkich podejrzeń naruszeń oraz naruszeń – w szczególności okoliczności zdarzenia, skutków, a także działaniach zaradczych, jakie podjęto. Rejestracja ta jest obowiązkiem Administratora danych osobowych.
  3. Zgłoszenie naruszenia do Prezesa UODO w ciągu 72 h – w przypadku, gdy rezultat oceny zdarzenia wykaże taką konieczność. UODO udostępnia specjalny formularz, który zbiera wszystkie niezbędne na początkowym etapie informacje.

Pamiętaj, że zawsze, gdy ochrona danych zostaje naruszona i może mieć to wpływ na osoby, których dane wyciekły (np. ujawniono ich PESEL, jest ryzyko kradzieży tożsamości tych osób, wyciekły dane ich konta bankowego), jako administrator danych osobowych masz obowiązek zawiadomienia ich o zdarzeniu. Prezes UODO szczegółowo wskazuje, co powinno znaleźć się w treści takiego zawiadomienia:

  • jasny i zrozumiały opis całego naruszenia i jego charakteru;
  • kontakt i dane Inspektora ochrony danych;
  • możliwe konsekwencje naruszenia;
  • wykaz środków, które dotychczas zastosował albo proponuje podjąć Administrator w związku ze zdarzeniem.

Współpraca z UODO

Administrator danych osobowych często nie może zapobiec wyciekowi danych – np. ze względu na niespodziewany charakter tego zdarzenia – ale zdecydowanie może kontrolować swoją reakcję po jego wystąpieniu. Staje wtedy przed dylematem: poinformować UODO o zdarzeniu czy nie zgłaszać go wcale. Oprócz poddania przedmiotu zgłoszenia szczegółowej analizie Urząd może zbadać pozostałe aspekty ochrony danych osobowych po stronie administratora. Nie powinno to jednak być powodem opieszałości lub niezgłoszenia naruszenia wcale – zwłaszcza gdy na Administratorze ciąży taki obowiązek prawny. Kary nakładane w Polsce na podmioty w takich przypadkach bywają naprawdę dotkliwe, o czym przekonał się w ostatnim czasie Santander Bank S.A. O tym naruszeniu danych osobowych Prezes UODO dowiedział się z mediów. Dokumenty bankowe zostały w tej sprawie upublicznione po kradzieży przesyłki firmie kurierskiej i porzuceniu jej w miejscu publicznym, a dane, które się w niej znalazły, to m.in. imiona, nazwiska, informacje o zarobkach, numery PESEL i hasła do banku. Tłumaczeniem administratora danych uzasadniającym brak zgłoszenia było odnalezienie przesyłki w krótkim czasie przez jedną osobę, która została zidentyfikowana. Prezes UODO nałożył na bank karę w wysokości 1 mln 440 tys. zł i w swojej decyzji akcentował, że wysokie ryzyko naruszenia praw i wolności osoby fizycznej powinno być oceniane poprzez pryzmat osoby zagrożonej – nie zaś interesów administratora. To nie jest pierwsza kara nałożona przez PUODO na ten bank z powodu niedopełnienia obowiązku takiego zawiadomienia, co na pewno miało wpływ na wysokości kary.

Wykorzystałeś swój limit bezpłatnych treści

Pozostałe 50% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.

Kilka wariantów prenumeraty Pokaż opcje
Dwutygodniowy dostęp bez zobowiązań Wybieram

Abonament już od 100 zł miesięcznie

Dwutygodniowy dostęp bez zobowiązań

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

WYBIERAM

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.