Wyciek danych osobowych - co robić w pierwszych 72 godzinach

Wyciek danych osobowych może być wynikiem ataku hakerskiego, błędu ludzkiego, zgubienia urządzenia lub nieprawidłowego przekazania dokumentów. Niezależnie od przyczyny, pierwsze działania administratora danych w ciągu 72 godzin od wykrycia zdarzenia mają kluczowe znaczenie - i często decydują o tym, czy UODO nałoży karę czy ograniczy się do ostrzeżenia.

Godzina 0 - co zrobić gdy odkrywasz problem

Pierwsza reakcja powinna być natychmiastowa i skupiona na ograniczeniu szkód - nie na szukaniu winnych ani ukrywaniu zdarzenia.

• Zidentyfikuj i zatrzymaj źródło wycieku, jeśli to możliwe. Zablokuj dostęp, odetnij połączenie, zmień hasła.
• Zabezpiecz dowody. Nie kasuj logów, nie formatuj urządzeń, nie usuwaj maili. Będą potrzebne do analizy i ewentualnego postępowania.
• Powiadom osoby odpowiedzialne w organizacji - kierownictwo, IOD jeśli jest powołany, IT.
• Rozpocznij dokumentowanie wszystkiego. Data i godzina wykrycia, co i przez kogo zostało odkryte, jakie kroki podjęto.

Ocena ryzyka - czy naruszenie wymaga zgłoszenia do UODO

Nie każde naruszenie ochrony danych wymaga zgłoszenia do organu nadzorczego. Art. 33 RODO mówi, że zgłoszenie jest wymagane, gdy naruszenie "może powodować ryzyko naruszenia praw lub wolności osób fizycznych".

Niska ryzykowność - zgłoszenie może nie być konieczne:

• utracono zaszyfrowane urządzenie, do którego dostęp wymaga znanych tylko użytkownikowi hasła
• email z danymi został pomyłkowo wysłany do pracownika tej samej organizacji
• dokument z danymi osobowymi został zniszczony (np. zgubiony i niemożliwy do odtworzenia)

Wysoka ryzykowność - zgłoszenie jest wymagane:

• skradziony laptop z niezaszyfrowanymi danymi klientów
• haker uzyskał dostęp do bazy danych z danymi osobowymi użytkowników
• dokument z numerami PESEL został wysłany do niewłaściwego adresata zewnętrznego
• dane finansowe lub medyczne zostały opublikowane w sieci

Zgłoszenie do UODO - co i jak

Formularz zgłoszenia dostępny jest na platformie UODO. Należy podać: charakter naruszenia, kategorie i liczbę osób i danych objętych naruszeniem, możliwe konsekwencje, podjęte lub planowane środki zaradcze, dane kontaktowe IOD lub osoby kontaktowej.

Jeśli w ciągu 72 godzin nie masz wszystkich danych - zgłoś to co wiadomo, wyraźnie wskazując że informacje są niekompletne i zostaną uzupełnione. To lepsze niż czekanie aż będą wszystkie szczegóły, a termin minął.

Kiedy informować osoby poszkodowane

Obowiązek poinformowania osób, których dane dotyczyły, pojawia się gdy naruszenie "może powodować wysokie ryzyko" dla ich praw i wolności - wyższa poprzeczka niż przy zgłoszeniu do UODO. Komunikat musi być jasny, zrozumiały i zawierać: opis naruszenia, dane kontaktowe IOD lub osoby kontaktowej, możliwe konsekwencje, podjęte i planowane środki.

Wiadomość powinna trafić do osób poszkodowanych bezpośrednio - emailem lub listem. Ogólne komunikaty na stronie internetowej nie są wystarczające, chyba że dotarcie do osób indywidualnych jest niemożliwe lub wymaga nieproporcjonalnych wysiłków.

Co oznacza "współpraca z UODO" i dlaczego to ważne

W kilku decyzjach karowych UODO wprost uwzględnił współpracę administratora jako okoliczność łagodzącą. Współpraca oznacza: odpowiadanie na pisma w terminie, dostarczanie żądanych dokumentów, informowanie o podjętych działaniach, niezatajanie faktów.

Brak współpracy - ignorowanie korespondencji, odmawianie dostępu do informacji, zwlekanie bez uzasadnienia - to jedna z niezależnych podstaw kary. Firma, która zgłosi naruszenie po terminie, ale aktywnie współpracuje z UODO w toku postępowania, ma statystycznie lepszy wynik niż ta, która zgłosi w terminie, ale potem ignoruje organ.

Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.