Co jakiś czas słychać o wyciekach danych osobowych, o przypadkowym ich udostępnieniu czy nawet kradzieży, zarówno w kraju, jak i na całym świecie. Przypadki te obejmują rozmaite sytuacje, takie jak:
- kradzież lub zagubienie laptopa, tabletu, smartfona, firmowych dokumentów,
- włamanie do systemu komputerowego, w tym także tego dostępnego przez Internet,
- udostępnienie danych w Internecie z powodu błędu w konfiguracji,
- kradzież danych przez pracownika,
- wyciek lub usunięcie danych przez wirusa komputerowego,
- udostępnienie danych w wyniku omyłki (np. przesłanie mailem do innej osoby, niż się zamierzało).
Lista takich przykładowych zdarzeń mogłaby być bardzo długa. Każdy taki przypadek zwykło się określać mianem incydentu.
- Skutki incydentu dotyczącego danych osobowych mogą być m.in. następujące:
- naruszenie przepisów prawa (ochrona danych osobowych, inne regulacje),
- negatywny wpływ na reputację firmy,
- narażenie prywatności osób,
- zakłócenie czynności biznesowych,
- straty finansowe,
- odpowiedzialność prawna lub administracyjna,
- odpowiedzialność cywilna (pozwy od osób poszkodowanych lub pokrzywdzonych).
Czasami incydent może przerodzić się w poważny kryzys stanowiący zagrożenie dla organizacji. W przypadku poważnych sytuacji każda chwila ma decydujące znaczenie, a szczególnie ważna jest odpowiednia komunikacja z otoczeniem firmy. Dlatego warto dobrze przygotować się na wypadek wystąpienia incydentów, by w takiej sytuacji reagować sprawnie, jak najmniej ryzykując.
Wymagania prawne
Leszek Kępa
Od kilku lat przedsiębiorcy telekomunikacyjni w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych mieli obowiązek powiadamiać o takim zdarzeniu Generalnego Inspektora Ochrony Danych Osobowych (GIODO), a w niektórych sytuacjach – abonenta lub użytkownika końcowego (art. 174a ustawy Prawo telekomunikacyjne). Powiadomienie ma nastąpić niezwłocznie, jednak nie później niż w ciągu 3 dni.
Nowe przepisy unijne wprowadzają podobny obowiązek wobec każdego, kto przetwarza dane osobowe – art. 33 ust. 1:
W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Przez naruszenie ochrony danych osobowych rozumie się w RODO naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Administrator ma zgłaszać naruszenia organowi nadzorczemu. Jeśli dane osobowe zostały powierzone innemu podmiotowi do przetwarzania, to w przypadku naruszenia bezpieczeństwa ten podmiot informuje o naruszeniu administratora (zleceniodawcę). Robi to „bez zbędnej zwłoki” – art. 33 ust. 2:
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza
je administratorowi.
Zgłaszanie incydentów
Leszek Kępa
Kto z nas nie zna numeru alarmowego 112? W przypadku incydentów ochrony dany...
Dalsza część jest dostępna dla użytkowników z wykupionym planem