Jak uniknąć drakońskich kar

Jesienią ubiegłego roku Uber przyznał się do wycieku danych osobowych 57 mln klientów. Fakt ten utrzymywany był w tajemnicy przez rok. Technologiczny gigant potwierdził, że zapłacił hakerom okup w wysokości 100 tys. dol. za usunięcie wykradzionych danych.

Publikacja: 05.03.2018 21:00

Jak uniknąć drakońskich kar

Foto: Fotolia

materiał powstał we współpracy z firmą Sage

Gdyby podobna sytuacja zdarzyła się w Unii Europejskiej po 25 maja tego roku, Uber jako administrator danych osobowych, mógłby spodziewać się kary finansowej w wysokości nawet 20 mln euro lub 4 proc. światowego obrotu. W nowej rzeczywistości RODO – unijnego rozporządzenia o ochronie danych osobowych – na zaraportowanie zidentyfikowanego „incydentu bezpieczeństwa” firmy będą mieć tylko 72 godziny.

Nowe obowiązki

RODO nakłada na administratorów danych osobowych (ADO) nowe obowiązki związane z szybką identyfikacją i przeciwdziałaniem naruszeniom bezpieczeństwa danych.

Ta nowa, choć nie wyjątkowa, dla polskiego porządku prawnego regulacja (istnieje już u nas podobne rozwiązanie w art. 174a prawa telekomunikacyjnego: obowiązek zawiadamiania o incydencie zarówno organu nadzorczego, jak i abonenta lub użytkownika końcowego, który ciąży na operatorach telekomunikacyjnych) wiąże się z koniecznością powiadomienia organu nadzorczego, jak i osoby, której dane dotyczą.

W katalogu incydentów znajdują się według dyrektywy „naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Trzy doby na zgłoszenie

W przypadku naruszenia administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, dokonując tzw. notyfikacji naruszeń (ang. data breach notification).

Dlaczego obowiązek notyfikacji ogranicza się wyłącznie do przypadków związanych z incydentem bezpieczeństwa? Ponieważ to właśnie brak odpowiedniej i szybkiej reakcji na naruszenie ochrony danych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, takich jak utrata kontroli nad własnymi danymi, ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa itp.

W samej notyfikacji na pewno powinny znaleźć się:

– opis naruszenia wraz z charakterystyką kategorii i przybliżonej liczby osób, których dane dotyczą,

– imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (IOD),

– analiza – opis możliwych konsekwencji naruszenia,

– opis środków wykorzystanych lub planowanych przez administratora, które pozwolą zminimalizować lub usunąć skutki raportowanego naruszenia.

Rejestr incydentów

Obowiązek notyfikacji jest dość rozbudowany. Dlatego najlepszą metodą przygotowania wydaje się być wdrożenie w organizacji rejestru incydentów związanych z bezpieczeństwem danych.

Warto też zadbać o pełną dokumentację postępowania zmierzającego do usunięcia skutków uchybień, w szczególności w zakresie elementów obligatoryjnych dla notyfikacji.

materiał powstał we współpracy z firmą Sage

Gdyby podobna sytuacja zdarzyła się w Unii Europejskiej po 25 maja tego roku, Uber jako administrator danych osobowych, mógłby spodziewać się kary finansowej w wysokości nawet 20 mln euro lub 4 proc. światowego obrotu. W nowej rzeczywistości RODO – unijnego rozporządzenia o ochronie danych osobowych – na zaraportowanie zidentyfikowanego „incydentu bezpieczeństwa” firmy będą mieć tylko 72 godziny.

Pozostało 85% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Globalne Interesy
Rewolucja w firmie, która stworzyła ChatGPT. Polak objął kluczową funkcję
Globalne Interesy
ChatGPT mocno przyspiesza. Tymczasem konkurencja w AI ma poważne problemy
Globalne Interesy
Koniec tanich zakupów w Temu czy Shein? Polska szykuje uderzenie w chińskie serwisy
Globalne Interesy
Wielki sojusz w sztucznej inteligencji. Boty ChatGPT masowo wejdą do smartfonów
Globalne Interesy
Ameryka wstaje z kolan. Koniec z kłopotliwym uzależnieniem od Rosji w kosmosie