Na administratorze przetwarzającym dane osobowe – niezależnie od sposobu i celu ich przetwarzania – spoczywa szereg obowiązków. Zasady określone w rozporządzeniu o ochronie danych osobowych (RODO) mają za zadanie poprawić stopień bezpieczeństwa wrażliwych danych klientów oraz pracowników przedsiębiorstwa.
Zdarza się jednak, że mimo dołożonych wszelkich starań w proces ochrony danych osobowych w przedsiębiorstwie dochodzi do naruszenia ochrony danych. Jak wówczas powinien postąpić administrator danych? Jakie obowiązki na nim spoczywają? Jak uchronić się przed naruszeniem ochrony danych?
Po pierwsze – co nazywamy naruszeniem danych osobowych?
Za incydent w zakresie danych osobowych uznaje się każdą sytuację, która spowodowała uszczerbek na poufności, dostępności lub integralności przetwarzanych danych osobowych. O naruszeniu ochrony danych osobowych mówimy wówczas, gdy zaistniała sytuacja, w której dane zostały bezprawnie ujawnione, udostępnione lub w przypadku, gdy osoby niepożądane uzyskały do nich dostęp.
Naruszenie ochrony danych to także jakiekolwiek niepożądane działanie w zakresie systemów teleinformatycznych, na przykład uzyskanie nieautoryzowanego dostępu do danych, nielegalne ich ujawnienie, pozyskanie danych z nielegalnego źródła, udostępnienie danych niepożądanym osobom lub dokonywanie nieautoryzowanych modyfikacji lub niszczenia danych.
Jak postępować w przypadku zaistnienia naruszenia ochrony danych osobowych w przedsiębiorstwie?
W przypadku, gdy mamy do czynienia z naruszeniem ochrony danych osobowych w przedsiębiorstwie, administrator danych ma 72 godziny na to, by dokładnie ustalić w jakich okolicznościach doszło do naruszenia. Na podstawie tej analizy administrator podejmuje decyzję, czy sytuacja kwalifikuje się do tych, które objęte są obowiązkiem zgłoszenia do Prezesa UODO a także poinformowania właściciela danych.
Samo wystąpienie incydentu związanego z nieodpowiednią ochroną danych osobowych świadczy o fakcie, że obowiązki wynikające z rozporządzenia RODO zostały niedopełnione, zatem na tym etapie warto jest przeanalizować istniejące już procedury i w razie potrzeby wdrożyć nowe. Procedury odnoszące się do polityki bezpieczeństwa – szczególnie te związane z przetwarzaniem danych osobowych – powinny być ogólnodostępne i znane wszystkim pracownikom – to właśnie od tego w głównej mierze zależy bezpieczeństwo naszych pracowników i klientów.
W sytuacji, w której doszło do naruszenia ochrony danych osobowych należy poinformować powołanego inspektora ochrony danych (IOD), lub inną osobę w firmie, której zadaniem jest dopełnienie wszystkich kwestii związanych z ochroną danych. IOD lub inna osoba upoważniona powinna podjąć wszelkie kroki dążące do wyjaśnienia sprawy – warto wiedzieć dokładnie dlaczego doszło do naruszenia i jak temu zapobiec w przyszłości. Ważna wskazówka – warto każdorazowo po wystąpieniu incydentu powtórzyć szkolenia z RODO dla wszystkich pracowników tak, by każdy miał świadomość nie tylko tego, do czego zobowiązuje rozporządzenie, ale też tego, jakie konsekwencje wynikają z nieprzestrzegania tych przepisów.
Ocena ryzyka
Rozporządzenie o ochronie danych osobowych zaleca podejście oparte na ocenie ryzyka. Chodzi o to, że jeżeli ryzyko wystąpienia incydentu jest duże – tym większa odpowiedzialność i liczba obowiązków oraz kontroli spoczywa na administratorze danych. Właśnie na podstawie oceny ryzyka wybiera się dalszy krok postępowania przy wystąpieniu naruszenia. Jeżeli ryzyko zostanie ocenione na obecne – wówczas należy zawiadomić o tym PUODO, natomiast w przypadku ocenienia ryzyka jako wysokie – należy poinformować nie tylko PUODO, ale także właściciela danych osobowych, którego incydent dotyczy. Warto skorzystać tutaj z artykułu 29. Grupy Roboczej, który mówi o przykładowych incydentach bezpieczeństwa i pomaga ocenić ryzyko oraz dobrać kolejne kroki w postępowaniu.
Dokumentacja
Zgodnie z zasadą rozliczalności – administrator ma obowiązek wykazać, że działania podjęte w przedsiębiorstwie są zgodne z rozporządzeniem o ochronie danych osobowych. Wobec tego należy dokumentować wszelkie incydenty związane z ochroną danych osobowych – przede wszystkim naruszenia łącznie z opisem ich okoliczności. Możemy być pewni, że podczas kontroli zostaniemy zapytani o rejestr incydentów, więc warto go prowadzić.
