Błędy w zgłaszaniu naruszeń ochrony danych osobowych

  • Materiał partnera
opublikowano: 11-12-2019, 22:00

Naruszenia ochrony danych osobowych były, są i będą.

Na początku należy wyjaśnić, czym właściwie jest naruszenie. Definicja zawarta w art. 4 RODO jest bardzo szeroka — już na pierwszy rzut oka widać, że naruszenie może dotyczyć każdej sytuacji potencjalnie niebezpiecznej dla przetwarzanych przez nas danych osobowych. Co istotne, naruszenie dotyczy nie tylko administratora danych osobowych (ADO), ale też procesora. Niemniej cała odpowiedzialność za jego wykrycie, przeanalizowanie oraz zgłoszenie do organu nadzorczego spoczywa na tym pierwszym.

Jakie są najczęstsze naruszenia ochrony danych osobowych? Niemal codziennie spotykam się z naruszeniem poufności danych — wręcz plagą są naruszenia polegające na błędnym zaadresowaniu wiadomości mejlowej z załącznikiem zawierającym dane osobowe naszych klientów lub kontrahentów. Czasami taka wiadomość może trafić w niepowołane ręce. Jak się przed tym ustrzec? Przede wszystkim po wielokroć sprawdzać odbiorcę.

Po drugie: zabezpieczać załącznik hasłem, aby zminimalizować ryzyko jego otwarcia i zapoznania się z nim przez osoby niepowołane.

Jeżeli mówimy o całym procesie od naruszenia do zgłoszenia, możemy wyróżnić kilka powszechnych błędów, które popełniają administratorzy.

Po pierwsze — źle oceniamy to, co się stało. Na tym etapie administrator powinien ściśle współpracować ze swoim (o ile go powołał) IOD-ą (inspektor ochrony danych). To IOD-a, korzystając z całokształtu swojej wiedzy i doświadczenia, ocenia, jakie skutki dla podmiotu danych może mieć potencjalne naruszenie ochrony danych. To on, korzystając z zaawansowanych technik analizy incydentów, wskazuje ADO słabe punkty jego zabezpieczeń i rekomenduje ich unowocześnienie — tak, aby spełniały przesłanki wskazane w art. 32 RODO. Aby miało to miejsce, ADO powinien przede wszystkich wsłuchać się w głos swojego IOD-y.

Po drugie: administrator często, z uwagi na kwestie biznesowe, nie zgadza się z rekomendacjami IOD-y. A to podejmuje decyzję, aby nie dokonywać zgłoszenia do PUODO, a to nie zgadza się na zawiadomienie podmiotów o naruszeniu z obawy przed stratami wizerunkowymi. Kolejną bolączką jest czas reakcji. RODO wyraźnie wskazuje, że ADO ma bez zbędnej zwłoki dokonać zgłoszenia do organu nadzorczego, nie później jednak niż w terminie 72 godzin od jego stwierdzenia. Im większa organizacja, tym czas na zapadnięcie decyzji o dokonaniu zgłoszenia jest dłuższy. A czas jest tu najważniejszy.Aby mówić o przeciwdziałaniu negatywnym skutkom naruszenia, trzeba zastosować środki naprawcze bez zbędnej zwłoki.

Następnym błędem, który może pojawić się przy analizie i zgłoszeniu incydentu, jest brak indywidulanego podejścia do zaistniałej sytuacji. Błąd ten może powodować nie tylko zwiększenie ryzyka dla podmiotów danych dotkniętych naruszeniem, ale również ryzyko dla ADO powtórzenia uprzednio dokonanych czynności na wniosek PUODO. Podsumowując: po pierwsze zalecam ADO słuchanie głosu swojego IOD-y i faktyczne stosowanie zaleceń przez niego wydawanych. Po drugie — zwrócenie szczególnej uwagi na czas reakcji, a po trzecie — i wyraźnie kieruję to zalecenie do IOD-ów — indywidulanie analizujmy każdy przypadek naruszenia, bowiem drobna różnica może wypaczyć obraz sytuacji — nasz i ADO.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: MICHAŁ KOMARNICKI, specjalista ds. ochrony danych osobowych, iSecure Sp. z o.o.

Polecane

Inspiracje Pulsu Biznesu