Administrator musi wejść w buty klienta

18-04-2018, 22:00

Na zgłoszenie naruszenia ochrony posiadanych danych osobowych będą tylko 72 godziny. Ale są też wyjątki od tej zasady

Gdy z zasobów firmy wyciekną przetwarzane przez nią dane osobowe, alarmowa procedura powinna być uruchomiona natychmiast. Administrator nie będzie miał wtedy czasu na jej planowanie — zwracali uwagę prelegenci konferencji „Efektywne wdrożenie RODO/GDPR”, zorganizowanej przez „Puls Biznesu”.

KARA ZA SPÓŹNIENIE:
Zobacz więcej

KARA ZA SPÓŹNIENIE:

Nic nie zwalnia administratora danych osobowych z obowiązku zawiadomienia organu nadzoru o zdarzeniu, które może naruszać czyjeś prawa i wolności. Nawet gdy nie ustali on wszelkich okoliczności w czasie wymaganym na zgłoszenie incydentu. Anna Kobylańska, adwokat i wspólnik kancelarii prawnej Kobylańska & Lewoszewski, radzi, żeby nie czekać z powiadomieniem, aż sytuacja w pełni się wyjaśni, bo to może oznaczać wysoką karę. Fot. Marek Wiśniewski

Unijne rozporządzenie (RODO), które ma być stosowane od 25 maja tego roku, czyli za nieco ponad miesiąc, wymaga, aby w przypadku naruszenia ochrony danych osobowych ich administrator zawiadomił organu nadzoru. W Polsce będzie nim wówczas Prezes Urzędu Ochrony Danych Osobowych (PUODO), następca prawny Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zgłoszenia trzeba będzie dokonać bez zbędnej zwłoki, nie później niż w ciągu 72 godzin po stwierdzeniu takiego zdarzenia. Jego charakter może też oznaczać konieczność zawiadomienia osób, których to dotyczy. Przedsiębiorca, aby stwierdzić, że musi to zrobić, powinien ocenić skutki powstałej sytuacji.

— Przede wszystkim musi upewnić się, czy faktycznie doszło do naruszenia ochrony danych, bo od tego momentu zaczyna biec termin 72 godzin — podkreśliła adwokat Anna Kobylańska, wspólnik kancelarii prawnej Kobylańska & Lewoszewski.

Jak wyjaśniała, naruszeniem jest zniszczenie danych, ich utrata, modyfikacja oraz nieuprawniony do nich dostęp. Według Anny Kobylańskiej na groźne w skutkach sytuacje mogą być narażeni administratorzy, którzy korzystają z usług przetwarzania danych przez podmioty zewnętrzne. Jej zdaniem, należy ostrożnie podchodzić do narzuconych z góry umów na świadczenie takich usług.

— Firma musi mieć na to wpływ i kontrolę nad tym. W razie uchybień odium odpowiedzialności spadnie na administratora — przestrzegała Anna Kobylańska.

Ocena skutków

Zaznaczyła przy tym, że nie każdy przypadek złamania zabezpieczeń będzie naruszeniem ochrony danych osobowych.

— Trzeba przeanalizować, co np. wyciek informacji albo czyjś nieuprawniony dostęp do nich oznacza dla osób, których one dotyczą — a nie dla firmy, z której dane wypłyną. RODO nie odnosi się do problemu utraty określonej bazy z punktu widzenia interesów przedsiębiorcy. Trzeba wejść w buty ewentualnego poszkodowanego klienta — mówiła adwokat.

Administrator ma obowiązek ocenić, co w określonej sytuacji grozi danej osobie — może to być strata finansowa albo utrata tożsamości, bo np. ktoś może posłużyć się jej danymi. Jeżeli nie widać takiego zagrożenia, czyli nie ma prawdopodobieństwa naruszenia jej praw i wolności, administrator powinien odnotować zdarzenie w rejestrze incydentów. W przeciwnym razie musi je zgłosić organowi, a gdy stwierdzi wysokie ryzyko ograniczenia tych praw, musi też powiadomić zainteresowanego o tym, co się stało, jakie to niesie skutki i co zrobiono, by im zaradzić.

Według przedstawicielki kancelarii Kobylańska & Lewoszewski, warto też podpowiedzieć, w jaki sposób dana osoba może zminimalizować ryzyko, co zresztą zalecają organy nadzoru. Jedna z firm, gdy wyciekły loginy i hasła do jej internetowego konta, podpowiedziała, aby osoby, które stosują takie same „klucze” na innych portalach, rozważyły ich zmianę.

Zdaniem Anny Kobylańskiej, nie jest wykluczone, że przedsiębiorca nie uzyska pełnej wiedzy o naruszeniu w czasie, w którym powinien złożyć raport w tej sprawie PUODO. Grupa robocza Art. 29, czyli autor unijnej reformy ochrony danych osobowych, ma na to radę w swoich wytycznych. Przewiduje możliwość zgłoszenia etapami — zawiadomienia o zdarzeniu w nieprzekraczalnym terminie z adnotacją o braku wszystkich niezbędnych informacji i zapowiedzią ich późniejszego przedstawienia.

— Przykład? Firma gubi nośniki z danymi, o czym informuje organ, a po kilku dniach przesyła uzupełniającą informację, że część urządzeń się odnalazła. Do naruszenia może też dojść u przetwarzającego dane, czyli procesora. Jeśli administrator nie jest w stanie w ciągu 72 godzin ustalić, jakie środki bezpieczeństwa zastosował usługodawca, powinien napisać organowi, że trwa ich ustalanie i że o wyniku poinformuje później — radziła adwokat.

Niemała odpowiedzialność

Przypomniała, że niedochowanie wspomnianych obowiązków niesie konsekwencje finansowe. Kara maksymalna może sięgnąć 10 mln EUR lub 2 proc. światowego obrotu przedsiębiorcy. Na jej wymiar wpłynie też ocena zachowania firmy po naruszeniu.

— Nie da się dobrze spełnić wymagań RODO bez wcześniejszego przygotowania do takiej sytuacji. Ten, kto zostawi sobie myślenie o reakcji na wyciek danych do chwili, w której on nastąpi, prawdopodobnie nie będzie miał szans, żeby zdążyć na czas z wypełnieniem obowiązków. Już teraz trzeba opracować procedurę postępowania, przygotować wzory pisma do organu nadzoru, powiadomienia osób i wpisu do rejestru incydentów. Należy też odpowiednio ułożyć współpracę z procesorami. Część firm korzysta z usług niejednego takiego podmiotu. Powinny mieć świadomość, że czas na zgłoszenie naruszenia zaczyna biec również wtedy, gdy zdarzy się ono u przetwarzającego dane — zwróciła uwagę Anna Kobylańska.

Przestrzegała, aby administratorzy nie godzili się np. na proponowany przez procesorów zapis w umowach, aby kontrolowaćich z siedmiodniowym wyprzedzeniem.

— Przepisy nie dają im takiej furtki. Konsekwencje niezgłoszenia naruszenia spadają na administratora. Z umowy z procesorem musi jasno wynikać, że raportowanie takich zdarzeń jest jednym z podstawowych obowiązków i podmiot przetwarzający dane musi o nich natychmiast informować zleceniodawcę — zastrzegła Anna Kobylańska.

Również Maciej Jurczyk, inżynier ds. bezpieczeństwa informacji w ODO 24, zachęcał do zweryfikowania umów z procesorami.

— Praktyka pokazuje, że usługi IT są nierzadko wykonywane przez podmioty zewnętrzne na zlecenie, bez umowy dotyczącej powierzenia danych. To prosty przykład nieuprawnionego dostępu — mówił przedstawiciel ODO 24.

Jak podkreślał, do wyrw w zabezpieczeniach danych osobowych przyczynia się przede wszystkim lekceważenie zasad.

— Zdarzało się, że w trakcie testowania skuteczności rozwiązań stosowanych w firmach połowa ich pracowników udostępniała hasła do systemów informatycznych. Mimo że według zakładowych procedur nikomu nie można ich podawać. Często też obcej osobie udaje się z wejściówką dla gościa wędrować po wielu pomieszczeniach. Ale znam też taką firmę, w której gdy pracownik odchodzi od biurka na chwilę, nie blokując komputera, robi to natychmiast jego sąsiad — opowiadał Maciej Jurczyk.

Jego zdaniem, niezależnie od tworzenia różnego rodzaju zabezpieczeń ważna jest zmiana mentalności i budowanie świadomości skutków naruszeń.

 

Zgłoszenie naruszenia PUODO

W zawiadomieniu organu nadzoru o zdarzeniu, które narusza ochronę danych osobowych, administrator będzie musiał:

- wyjaśnić charakter naruszenia, w tym w miarę możliwości wskazać kategorię i przybliżoną liczbę osób, których dane dotyczą, oraz kategorię i przybliżoną liczbę wpisów danych, których dotyczy naruszenie,

- podać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

- przedstawić możliwe konsekwencje naruszenia,

- opisać środki zastosowane lub proponowane dla zaradzenia naruszeniu ochrony danych osobowych.

Weź udział w konferencji "RODO po 25 maja 2018 r.", 6-7 czerwca 2018 r., Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Administrator musi wejść w buty klienta