Umowa powierzenia przetwarzania danych - kiedy i jak
czytaj więcej
Wyciek danych to zwykle nie kwestia "czy", tylko "kiedy". A gdy już się wydarzy, liczy się czas - RODO daje Twojej firmie tylko 72 godziny na reakcję. W tym poradniku pokazuję krok po kroku, jak wygląda zgłoszenie naruszenia danych osobowych do UODO, kiedy jest obowiązkowe, a kiedy możesz je pominąć, i co grozi za zbyt późną reakcję.
Czym jest naruszenie ochrony danych osobowych
Naruszenie ochrony danych osobowych to każde zdarzenie, które prowadzi do utraty poufności, integralności albo dostępności danych. Mówiąc prościej - ktoś zobaczył, zmienił, usunął lub stracił dostęp do danych, do których nie powinien.
Przykłady prosto z praktyki:
- wysłanie maila z danymi kilkudziesięciu klientów w polu "Do" zamiast "UDW",
- zgubiony lub skradziony laptop bez szyfrowania dysku,
- atak ransomware, który zaszyfrował bazę klientów,
- omyłkowe wysłanie umowy albo faktury do niewłaściwej osoby,
- udostępnienie loginu i hasła do panelu przez pracownika.
Naruszeniem nie jest wyłącznie "wyciek na zewnątrz". Zaszyfrowanie własnej bazy przez ransomware to utrata dostępności do danych - i też jest naruszeniem, które trzeba obsłużyć.
Procedura 72h - co robić krok po kroku
Zegar 72 godzin rusza od momentu, w którym stwierdzisz naruszenie - nie od chwili, gdy faktycznie do niego doszło. Dlatego reaguj od razu, nie odkładaj "na jutro".
- Zabezpiecz i ustal fakty. Co się stało, jakich danych dotyczy, ilu osób i jak do tego doszło. Odetnij dalszy wyciek, jeśli trwa.
- Oceń ryzyko dla osób. Czy naruszenie może im zaszkodzić - kradzież tożsamości, strata finansowa, ujawnienie danych wrażliwych.
- Zapisz naruszenie w rejestrze. Każde naruszenie - nawet to, którego nie zgłaszasz - musi trafić do wewnętrznego rejestru naruszeń.
- Zgłoś do UODO, jeśli jest obowiązek. Zgłoszenie naruszenia danych osobowych składasz przez formularz na stronie UODO, w ciągu 72 godzin.
- Zawiadom osoby, jeśli ryzyko jest wysokie. O tym za chwilę.
Jeśli nie zmieścisz się w terminie, zgłoszenie i tak składasz - dołączając wyjaśnienie przyczyny opóźnienia. Milczenie jest zawsze gorsze niż spóźnienie.
Kiedy trzeba zgłosić do UODO, a kiedy nie
Zgodnie z art. 33 RODO zgłaszasz naruszenie organowi nadzorczemu zawsze, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób. W praktyce:
- Zgłaszasz, gdy dane trafiły do niepowołanych osób albo mogą narazić kogoś na szkodę.
- Możesz nie zgłaszać, gdy dane były skutecznie zaszyfrowane, a klucz pozostał bezpieczny - ryzyko jest wtedy znikome.
Uwaga: decyzję o niezgłaszaniu również trzeba uzasadnić i udokumentować w rejestrze. Jeśli masz wątpliwości, bezpieczniej jest zgłosić.
Zawiadomienie osób, których dane dotyczą
Art. 34 RODO wchodzi w grę, gdy naruszenie może powodować wysokie ryzyko dla osób. Wtedy oprócz UODO musisz zawiadomić także same osoby - prostym językiem, bez odsyłania do przepisów. Napisz, co się stało, jakie to dla nich ryzyko i co mogą zrobić (na przykład zmienić hasło albo uważać na podejrzane wiadomości).
Jakie kary grożą za zaniechanie
Brak zgłoszenia albo zgłoszenie po czasie to naruszenie obowiązków administratora danych. RODO przewiduje za to kary do 10 mln euro lub 2% rocznego obrotu firmy - w zależności od tego, która kwota jest wyższa. UODO w praktyce nakładał kary właśnie za niezgłoszenie naruszeń i brak zawiadomienia osób. I rzecz kluczowa: sam fakt wycieku bywa dla firmy mniej kosztowny niż jego ukrywanie.
Nie zostawaj z tym sam
Naruszenie zwykle zdarza się w najgorszym możliwym momencie - w piątek po godzinach albo w środku sezonu. Wtedy nie ma czasu na czytanie przepisów i szukanie formularza. Dlatego procedurę reagowania i rejestr naruszeń przygotowuję z wyprzedzeniem, w ramach stałej obsługi, żeby Twoja firma dokładnie wiedziała, co zrobić w pierwszych godzinach.
Najprościej jest powierzyć reagowanie na incydenty i kontakt z UODO Inspektorowi Ochrony Danych (IOD) - to on ocenia ryzyko, przygotowuje zgłoszenie i prowadzi sprawę. A jeśli naruszenie właśnie się wydarzyło i potrzebujesz pomocy doraźnej przy jednym zgłoszeniu, też się tym zajmę. Przy okazji zadbam, żeby Twoja dokumentacja RODO zawierała gotową procedurę na wypadek kolejnego incydentu. Napisz do mnie, zanim zegar 72 godzin ruszy na poważnie.

