fbpx

Serwis poruszający zagadnienia prawa internetowego

RODO | 30 marca 2020

Co zrobić w sytuacji wycieku danych? Instrukcja RODO

dane osobowe

Jak już wiemy, rozporządzenie RODO nakłada na nas szereg obowiązków w związku z przetwarzaniem danych osobowych. Jednym z nich jest obowiązek zadbania o bezpieczeństwo tych danych. Jednak wyciek danych może się zdarzyć, pomimo zachowania najwyższych standardów bezpieczeństwa. Taka sytuacja miała miejsce, chociażby w przypadku internetowego sklepu morele.net. Dane osobowe 2 200 000 klientów znalazły się w rękach cyberprzestępców, a później prawdopodobnie trafiły na czarny rynek (Decyzja UODO dostępna jest pod adresem: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019, decyzja nie jest prawomocna).

W przedmiotowej sprawie chodziło m.in. o dane zarejestrowanych klientów sklepu internetowego, ale również o dane, które klienci przekazywali w związku z wnioskami ratalnymi za zakupione przedmioty. W bazie były więc takie dane jak numery dowodów osobistych, daty ich ważności czy wysokość miesięcznych zobowiązań w innych instytucjach finansowych, informacja o wysokości zobowiązań alimentacyjnych i innych wynikających z wyroków sądowych. Prezes Urzędu Ochrony Danych Osobowych w wydanej decyzji uznał przede wszystkim, że spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów. Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę karę pieniężną w wysokości 2 830 410 zł.

Powyższa sytuacja pokazuje, jak niebezpieczny może być wyciek danych osobowych i jakie konsekwencje mogą pojawić się z tą przykrą sytuacją.

Wobec tego jeśli przydarzy nam się incydent naruszenia ochrony danych osobowych – a pamiętajmy, że jest nim nie tylko kradzież danych, ale również przykładowo utrata ich kopii – to w obecnym stanie prawnym nie możemy obok takiej sytuacji przejść obojętnie i udawać, że nic się nie stało. Jakie działania należy więc wtedy podjąć?

Krok nr 1 – analiza sytuacji i ocena naruszeń

Pierwszym krokiem powinna być analiza zaistniałej sytuacji i zaplanowanie na jej podstawie dalszego działania. Wyciek danych cyfrowych może nastąpić w różny, często skomplikowany technicznie sposób. Wobec tego właściciele sklepów internetowych, serwisów czy aplikacji mogą nie rozumieć, w jaki dokładnie sposób doszło do wykradnięcia danych osobowych. Jeśli tak jest, warto zlecić audyt jednej z wyspecjalizowanych firm, które się tym zajmują. Analiza jest potrzebna do dokonania oceny całej sytuacji, stopnia zagrożenia i ustalenia koniecznych działań w celu zaradzenia naruszeniu.

Krok nr 2 – dokonanie możliwych działań w celu zmniejszenia zagrożenia

Jak najszybciej powinieneś podjąć najbardziej pilne kroki, jakie możesz podjąć w celu zmniejszenia skutków naruszenia. Przykładowo, przenieś dane w inne miejsce, zmień hasła dostępu itd. Krok ten powinieneś wykonać niezwłocznie w celu zmniejszenia stopnia naruszenia na podstawie analizy sytuacji opisanej w Kroku nr 1.

Krok nr 3 – poinformowanie poszkodowanych

Obowiązek poinformowania poszkodowanych wynika z art. 34 RODO. Jednak nie w każdym przypadku trzeba informować osoby, których dane wyciekły. Obowiązek taki wystąpi w przypadku, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Informacji takiej należy udzielić niezwłocznie, prostym i zrozumiałym językiem. Morele.net poinformowało swoich klientów poprzez wysłanie wiadomości e-mail.

Zawiadomienie takie nie jest konieczne, jeśli dane były zaszyfrowane albo w inny sposób zanonimizowane lub po naruszeniu zastosowano środki eliminujące prawdopodobieństwo wspomnianego wcześniej wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą.

Krok nr 4 – poinformowanie UODO

Poinformowanie Urzędu Ochrony Danych Osobowych o tym, że doszło do naruszenia, jest obowiązkowym krokiem w przypadku stwierdzenia naruszenia danych, wynika on z treści art. 33 RODO. Należy tego dokonać w ciągu 72 godzin od momentu stwierdzenia naruszenia. W przypadku opóźnienia należy do zgłoszenia dołączyć wyjaśnienie o jego przyczynie. Zgłoszenia dokonujemy na jeden z czterech sposobów:

  1. Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku.
  2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą
  3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl
  4. Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.

(źródło: https://uodo.gov.pl/pl/134/233)

Zgłoszenie takie powinno zawierać opis naruszenia, przybliżoną liczbę poszkodowanych, dane kontaktowe do nas lub inspektora ochrony danych, możliwe konsekwencje incydentu i zastosowane lub proponowane środki w celu zaradzenia naruszeniu. Jeśli informacji tych nie da się przekazać od razu w całości, należy je przekazywać sukcesywnie, bez zbędnej zwłoki.

Również w przypadku informowania UODO istnieje pewne wyłączenie tego obowiązku. Zachodzi ono w momencie, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jednak nie zawsze będziemy mieć co do tego pewność, dlatego zawsze warto jednak uznać, że zagrożenie istnieje i zgłosić incydent do UODO.

Krok 5 – podjęcie działań w celu dalszego zabezpieczenia bazy danych

Po wprowadzeniu najbardziej pilnych działań z kroku drugiego oraz spełnieniu obowiązków informacyjnych, należy kontynuować zabezpieczanie baz danych. Na tym etapie prawdopodobnie będziemy dysponować już przynajmniej częściowym opisem przyczyn i przebiegu incydentu. Powinniśmy tę informację wykorzystać do dalszej minimalizacji jego skutków. Zmiana zabezpieczeń, wprowadzenie szyfrowania i tym podobne działania zależeć będą od konkretnej sytuacji.

Krok 6 – utrzymanie współpracy z UODO w celu wyjaśnienia sytuacji

Poinformowanie UODO to dopiero początek drogi związanej ze współpracą z tym urzędem. W celu wyjaśnienia całej sytuacji zobligowani będziemy do udzielania wszystkich potrzebnych informacji i odpowiedzi na ewentualne pytania. Poziom naszej transparentności względem urzędu oraz stopień współpracy mają bardzo duży wpływ na wysokość ewentualnej kary nałożonej przez UODO, nie warto zatem nic ukrywać.

Krok 7 – zabezpieczenie danych przed powtórzeniem sytuacji

Po całym incydencie należy wprowadzić środki techniczne i organizacyjne w celu niedopuszczenia do tego aby sytuacja się powtórzyła. Należy wprowadzić zmiany, które uniemożliwią wystąpienie podobnego incydentu w przyszłości. Po szczegółowej analizie sytuacji powinniśmy już znać dokładne przyczyny zaistniałej sytuacji oraz luki w systemie zabezpieczeń, które zostały wykorzystane przez cyberprzestępców do wykradnięcia bazy danych.

Podsumowanie

Incydenty naruszenia danych osobowych niestety się zdarzają i będą się zdarzać coraz częściej wraz z rozwojem technologii, która przynosi kolejne zagrożenia. Każdy administrator powinien znać swoje obowiązki związane z taką sytuacją i najlepiej opracować zawczasu własny schemat działania. Należy zabezpieczyć dane przed wyciekiem, ale jeśli taka sytuacja się zdarzy, trzeba wcześniej opracować schemat działania, bo niestety czas działa wtedy na niekorzyść przedsiębiorcy internetowego.

Polecane artykuły

Dla marketingu

Zastrzeżenie LOGO firmy

Własność intelektualna, w tym nazwa, logo lub inny element identyfikacji wizualnej jest wartością przedsiębiorstwa, której nie da się przecenić w dzisiejszych czasach. Na pozytywny odbiór logo, nazwy lub nawet koloru, który kojarzy się ze sprzedawanym produktem lub świadczoną usługą, pracuje się całymi latami. Firmy podejmują działania PR i marketingowe w celu wywołania u klientów pozytywnych […]

Wszelkie prawa zastrzeżone przez Prawo Internetu 2020