Jak uniknąć drakońskich kar

Fotolia

Jesienią ubiegłego roku Uber przyznał się do wycieku danych osobowych 57 mln klientów. Fakt ten utrzymywany był w tajemnicy przez rok. Technologiczny gigant potwierdził, że zapłacił hakerom okup w wysokości 100 tys. dol. za usunięcie wykradzionych danych.

materiał powstał we współpracy z firmą Sage

Gdyby podobna sytuacja zdarzyła się w Unii Europejskiej po 25 maja tego roku, Uber jako administrator danych osobowych, mógłby spodziewać się kary finansowej w wysokości nawet 20 mln euro lub 4 proc. światowego obrotu. W nowej rzeczywistości RODO – unijnego rozporządzenia o ochronie danych osobowych – na zaraportowanie zidentyfikowanego „incydentu bezpieczeństwa” firmy będą mieć tylko 72 godziny.

Nowe obowiązki

RODO nakłada na administratorów danych osobowych (ADO) nowe obowiązki związane z szybką identyfikacją i przeciwdziałaniem naruszeniom bezpieczeństwa danych.

Ta nowa, choć nie wyjątkowa, dla polskiego porządku prawnego regulacja (istnieje już u nas podobne rozwiązanie w art. 174a prawa telekomunikacyjnego: obowiązek zawiadamiania o incydencie zarówno organu nadzorczego, jak i abonenta lub użytkownika końcowego, który ciąży na operatorach telekomunikacyjnych) wiąże się z koniecznością powiadomienia organu nadzorczego, jak i osoby, której dane dotyczą.

W katalogu incydentów znajdują się według dyrektywy „naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Trzy doby na zgłoszenie

W przypadku naruszenia administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, dokonując tzw. notyfikacji naruszeń (ang. data breach notification).

Dlaczego obowiązek notyfikacji ogranicza się wyłącznie do przypadków związanych z incydentem bezpieczeństwa? Ponieważ to właśnie brak odpowiedniej i szybkiej reakcji na naruszenie ochrony danych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, takich jak utrata kontroli nad własnymi danymi, ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa itp.

W samej notyfikacji na pewno powinny znaleźć się:

– opis naruszenia wraz z charakterystyką kategorii i przybliżonej liczby osób, których dane dotyczą,

– imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (IOD),

– analiza – opis możliwych konsekwencji naruszenia,

– opis środków wykorzystanych lub planowanych przez administratora, które pozwolą zminimalizować lub usunąć skutki raportowanego naruszenia.

Rejestr incydentów

Obowiązek notyfikacji jest dość rozbudowany. Dlatego najlepszą metodą przygotowania wydaje się być wdrożenie w organizacji rejestru incydentów związanych z bezpieczeństwem danych.

Warto też zadbać o pełną dokumentację postępowania zmierzającego do usunięcia skutków uchybień, w szczególności w zakresie elementów obligatoryjnych dla notyfikacji.

Mogą Ci się również spodobać

Polski startup dostał unijne pieniądze na blockchain

Billon Digital Services, spółka z grupy kapitałowej Billon, otrzymała prawie 2 mln euro dofinansowania ...

Wirtualny asystent odpowie na pytania związane z koronawirusem

Ministerstwo Zdrowia we współpracy z IBM Polska uruchomiło wirtualnego asystenta, który dostępny jest w ...

Do USA przez Hiszpanię. Polski startup chce zdemokratyzować kredyt

W tegorocznej edycji konkursu dla startupów ABSL Summit wygrali aż w trzech kategoriach, zdobywając ...

Ten pracodawca wie, kiedy uprawiasz seks

Amerykański koncern Activision Blizzard płaci pracownikom za używanie i dostęp do danych z aplikacji ...

Sztuczna inteligencja zrobi z tobą film porno

Technologia pozwalająca na tworzenie filmów deepfake to kolejny powód, by przestać ślepo wierzyć w ...

Konrad Spoczyński: Jak przetrwać i nie dać o sobie zapomnieć

Błędem, który w tej trudnej sytuacji łatwo popełnić, jest ograniczenie kosztów na wszystkich frontach ...