Obowiazki firm po wycieku danych

Przedsiębiorcom nie zawsze udaje się zapewnić bezpieczeństwo informacji i ustrzec firmę przed wyciekiem danych. Powinni oni mieć świadomość, że prawo narzuca na nich obowiązki dotyczące reagowania na tego typu incydenty. Nie mogą zapominać również o tym, że taki wyciek wpływa na ich wizerunek. Co zatem powinni zrobić przedsiębiorcy, aby uniknąć negatywnych konsekwencji i jego nadszarpnięcia? - W przypadku wycieku danych firma przede wszystkim powinna maksymalnie chronić klientów i przeprowadzić komunikację w taki sposób, aby wiedzieli oni, co się wydarzyło, czego mogą się spodziewać i jak mogą się zabezpieczyć. Sposób przeprowadzenia takiej komunikacji może wzmocnić lub osłabić wizerunek firmy. Problem wycieku danych jest sytuacją kryzysową, którą firmy powinny przewidzieć. Wiąże się to z koniecznością przygotowania odpowiednich procedur działania. Unikanie odpowiedzialności lub przerzucanie jej na inne przedsiębiorstwa może obniżyć zaufanie do firmy i wywołać poważny kryzys wizerunkowy. Tego trzeba unikać - mówi Danuta Rolinger-Bednarska, właścicielka agencji Rolinger PR. RODO, czyli Ogólne rozporządzenie o ochronie danych, wskazuje tryb postępowania w sytuacji, w której doszło do wycieku danych. Jakie kroki powinien podjąć przedsiębiorca? - W sytuacji, gdy dojdzie do naruszenia ochrony danych, a więc nieprawidłowości dotyczących bezpieczeństwa i prowadzących do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do wspomnianych informacji, administrator danych musi przeanalizować takie zdarzenie pod kątem ewentualnego zgłoszenia organowi nadzorczemu i zawiadomienia osób, których ono dotyczy – wyjaśnia Mirosław Wróblewski, Prezes Urzędu Ochrony Danych Osobowych (UODO). Co to oznacza w praktyce? Przedsiębiorca musi sprawdzić, czy wyciek obejmuje dane osobowe, które mają znaczenie w kontekście RODO. Równocześnie musi podjąć czynności, które zminimalizują skutki incydentu. Przykładowo powinien zmienić hasła lub zamknąć dostęp do systemów. Jeśli doszło do zdarzenia, które może skutkować większym niż małe prawdopodobieństwem szkodliwego wpływu na osoby, których dotyczą dane, firma musi zgłosić naruszenie organowi ds. ochrony danych. - Chodzi tu na przykład o sytuacje, w których incydent może prowadzić do kradzieży tożsamości, straty finansowej czy też ujawnienia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których te informacje dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych administrator poinformował o sytuacji również podmioty, których dotyczą te dane – informuje Prezes UODO. Taka sytuacja może mieć miejsce np. wtedy, gdy dochodzi do wycieku PESEL. Jak powiadomić o incydencie właścicieli danych osobowych? - Informacja powinna być jasna, zrozumiała i zawierać szczegóły dotyczące wycieku. Konieczne jest wskazanie im możliwych konsekwencji oraz podjętych środków zaradczych. Niemniej ważne będzie również wdrożenie dodatkowych środków ochronnych. Poza tym każdy incydent naruszenia danych powinien być w firmie dokładnie udokumentowany, nawet jeśli nie wymaga zgłoszenia do organu nadzoru. Wskazane jest również posiadanie pełnej dokumentacji dotyczącej incydentu, działań podjętych w celu jego zaradzenia oraz oceny ryzyka – wymienia Rafał Prabucki, adiunkt na wydziale prawa i administracji Uniwersytetu Śląskiego. Kwestie dotyczące zgłoszenia naruszeń ochrony danych osobowych regulują przepisy. Ile czasu ma administrator na powiadomienie Prezesa UODO o incydencie? - Zgodnie z RODO ma on ma obowiązek zgłosić naruszenie do organu ochrony danych osobowych w ciągu 72 godzin od jego stwierdzenia. Należy to zrobić poprzez wypełnienie dostępnego na stronach UODO formularza i wysłanie go elektronicznie na skrzynkę mejlową urzędu. Dokument można przesłać również tradycyjną pocztą – informuje Ewa Kurowska-Tober, partner w kancelarii DLA Piper. Kolejnym obowiązkiem przedsiębiorcy jest wdrożenie środków naprawczych, które zapobiegną podobnym incydentom w przyszłości. - Nieprzestrzeganie zasad określonych w RODO wiąże się z ryzykiem poniesienia konsekwencji. Kary finansowe to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych obywateli. W przypadku stwierdzenia naruszenia przepisów może być bowiem m.in. wydane ostrzeżenie, upomnienie lub nakaz dostosowania określonych działań do obowiązujących przepisów – podkreśla Mirosław Wróblewski. Najbardziej dotkliwe dla przedsiębiorców wydają się być kary finansowe. Mogą one sięgać nawet 4 proc. ich rocznego przychodu w roku poprzedzającym naruszenie. Prezes UODO ukarał do tej pory wielu przedsiębiorców m.in. za niezawiadomienie organu o naruszeniu lub zawiadomienie go po upływie właściwego terminu.