Jak postąpić w przypadku naruszenia danych osobowych?
Co zrobić jeśli w Twojej firmie dojdzie do naruszenia danych osobowych?
Czym jest naruszenie danych osobowych?
Naruszenie ochrony danych osobowych ma miejsce, gdy dane zostały przypadkowo lub niezgodnie z prawem:
- zaginione
- zniszczone
- zmienione
- niezaktualizowane
- udostępnione.
Z doświadczenia wiemy już, że najczęstszym powodem naruszenia RODO/UK GDPR bywa błąd ludzki oraz atak cybernetyczny.
Jednakże nie zawsze wydarzenie, które doprowadziło do naruszenia było zawinione czy też wywołane z premedytacją.
Zwykła nieuwaga przy wysyłaniu emaila, który trafi do niewłaściwej osoby, przypadkowe zniszczenie dokumentów z danymi osobowym, zgubienie pednriva w drodze do domu czy też po prostu niewylogowanie się z komputera podczas nieobecności w biurze może spowodować naruszenie poważne w konsekwencjach zarówno dla firmy jak podmiotu danych osobowych.
Ponieważ w prawie ochrony danych osobowych mamy do czynienia z domniemaniem winy, obciążającym administratora danych w razie naruszenia warto wiedzieć jak postąpić w sytuacji gdy coś poszło nie tak.
Co zrobić w sytuacji stwierdzenia (bądź podejrzenia) naruszenia?
Przede wszystkim powinieneś mieć w swojej dokumentacji firmowej Polisę, która dokładnie określa sposób postępowania w razie naruszenia RODO/UK GDPR (Data Breach Notification Procedure) oraz rejestr naruszeń (Data Breach Records).
Te dokumenty są obowiązkowe dla każdej firmy w UK.
W pierwszym z nich powinieneś znaleźć określoną z góry instrukcję postępowania w sytuacji naruszenia, drugi natomiast służy do rejestrowania wszelkich wątpliwych sytuacji – i życzyć sobie należy, aby na zawsze pozostał pusty.
Zgodnie z prawem oraz ze swoją polisą po pierwsze powiadom swojego Data Protection Officer (DPO) jeśli go wyznaczyłeś, lub osobę, która odpowiada w Twojej organizacji za ochronę danych osobowych.
Osoba ta powinna zbadać podejrzenie naruszenia bądź naruszenie pod kątem jego rozmiaru (ile osób dotyczy, jak wiele danych osobowych zostało naruszonych), rodzaju (jakie dane zostały naruszone: zwykłe? wrażliwe?) oraz prawdopodobnych skutków naruszenia i możliwości naprawczych.
Taką analizę mamy obowiązek udokumentować oraz zapisać w rejestrze naruszeń.
Jeśli uznasz, że naruszenie nie spowoduje zagrożenia dla ludzi, nie musisz go zgłaszać.
Może to mieć na przykład miejsce w przypadku przypadkowego usunięcia danych kontaktowych, ale nie zawierały one haseł ani danych finansowych.
Jeżeli naruszenie jest poważniejsze masz obowiązek w czasie maksymalnie 72 godzin od wykrycia naruszenia zgłosić to do Information Commissioner’s Officer (ICO).
Dodatkowo jeżeli istnieje duże ryzyko dla osób, których dane dotyczą, musisz jak najszybciej poinformować o tym również te osoby, aby miały jak największą szansę na uchronienie się przed negatywnymi skutkami naruszenia.
Na zgłoszenie naruszenia masz 72 godziny od momentu, kiedy się o nim dowiedziałeś!
Skutki naruszenia?
Skutki naruszenia bywają bardzo poważne zarówno dla firm administratora danych jak i dla osób, których dane zostały naruszone.
Po pierwsze firma, w której do naruszenia doszło naraża się na kary finansowe.
Już samo niepowiadomienie o naruszeniu, gdy było to wymagane, może skutkować karą grzywny w wysokości do 8,7 miliona funtów lub 2 % całkowitego obrotu firmy.
Za naruszenie natomiast możesz zostać ukarany osobną karą (w maksymalnej wysokości 17,5 miliona funtów lub 4 % rocznego światowego obrotu firmy), której wysokość zależeć będzie zarówno od rodzaju i skali naruszenia, Twojej współpracy w postępowaniu po jego stwierdzeniu jak i od prawidłowości wdrożenia ochrony danych osobowych w Twojej firmie.
Pamiętaj, że w sytuacji naruszenia musisz być w stanie wykazać, że zrobiłeś wszystko co w Twojej mocy, aby do naruszenia nie doszło.
Kontrolujący będą tu zwracać uwagę na obecność dokumentacji UK GDPR w Twojej firmie, szkolenia z zakresu RODO pracowników, zabezpieczenia cybernetyczne itp.
Oprócz kar finansowych, podmiot danych osobowych, który w naruszeniu ucierpiał ma prawo domagać się od firmy odszkodowania.
Oczywiście również reputacja firmy ucierpi z pewnością w przypadku mocnych i dużych naruszeń.
Jeśli nie posiadasz w swojej dokumentacji firmowej: “Data Breach Notification Procedure” oraz “Data Breach Records”, które są obowiązkowe dla każdej firmy w UK skontaktuj się ze mną.
Komplet ten tworzymy w ramach usługi “POJEDYŃCZA POLISA”
Co w sytuacji kiedy Twój współpracownik spowodował naruszenie?
W przetwarzaniu danych osobowych często mamy do czynienia z wieloma podmiotami, które mają dostęp do tych samych danych.
Na przykład Twoja firma zleca innej firmie usługi marketingowe, księgowe, rekrutacyjne. Mamy wtedy do czynienia z sytuacji, gdzie jest administrator danych (firma główna która o danych osobowych decyduje) oraz podmiot przetwarzający (firma, która pracuje z danymi powierzonymi w zadanym zakresie, np księgowy, fotograf, HR).
Jeśli do naruszenia w takiej sytuacji dojdzie po stronie podmiotu przetwarzającego, administrator będzie ukarany razem ze swoim podwykonawcą proporcjonalnie.
W takiej sytuacji pamiętaj również o tym, że czas 72 godzin będzie rozpoczynał swój bieg od momentu kiedy to podmiot przetwarzający dowiedział się o naruszeniu, a nie od momentu, w którym Cię powiadomił; a także o tym, że pomiędzy administratorem a przetwarzającym powinna wcześniej zawarta być “Umowa powierzenia przetwarzania”. Jeśli takiej umowy, bądź klauzuli o powierzeniu przetwarzania w umowie między firmami nie ma – administrator narazi się na dodatkową odpowiedzialność.
Jeśli jesteś właścicielem firmy w UK, bądź zamierzasz rozpocząć swój biznes na terenie Wielkiej Brytanii pomocne mogą być usługi z innego zakresu, które znajdziesz na naszej stronie:
