Incydenty naruszenia ochrony danych osobowych podlegają obowiązkowemu zgłoszeniu do Urzędu Ochrony Danych Osobowych w maksymalnym terminie 72 godzin od wykrycia naruszenia!

Jest nieuniknione, że w pewnym momencie w przedsiębiorstwie dojdzie do tzw. naruszenia ochrony danych osobowych. Jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.

Ochrona danych osobowych – o naruszeniu

Naruszenie ochrony danych osobowych może polegać na:

• ujawnieniu danych osobowych nieuprawnionej osobie (naruszenie poufności danych);

Przykład:

Uzyskanie dostępu do danych osobowych przez osobę nieupoważnioną w wyniku zainfekowania systemu informatycznego przedsiębiorstwa złośliwym oprogramowaniem.

• czasowej bądź trwałej utracie lub zniszczeniu danych osobowych (naruszenie dostępności danych);

Przykład:

Zgubienie lub kradzież nośnika zawierającego bazy danych klientów przy braku kopii zapasowej.

• zmianie treści danych osobowych w sposób nieautoryzowany (naruszenie integralności danych).

Należy pamiętać, że do naruszenia ochrony danych osobowych może dojść w każdym czasie – nie tylko w czasie pracy czy w godzinach pracy biura, ale również poza nimi, jak również w czasie urlopu wypoczynkowego, zwolnienia lekarskiego czy zawieszenia działalności przedsiębiorstwa.

Podobnie, może ono nastąpić w każdym miejscu – na terenie przedsiębiorstwa, jego oddziału czy zakładu produkcyjnego, ale również w siedzibie klienta, podczas pracy zdalnej w domu czy w co-workingu, podczas workation czy delegacji.

Przykłady naruszenia ochrony danych osobowych

Ponadto naruszenie ochrony danych osobowych może przyjąć różnoraką postać, w tym zupełnie niepozorną. Poniżej przykłady:

1. zgubienie, zniszczenie lub kradzież urządzenia służbowego (np. telefonu, laptopa, pendrive’a) czy też dokumentacji służbowej,
2. zainfekowanie służbowego urządzenia (komputera, telefonu itd.) złośliwym oprogramowaniem,
3. atak lub próba ataku hackerskiego,
4. włamanie lub próba włamania do lokali lub pomieszczeń, w których przechowywane są urządzenia służbowe lub dokumentacja służbowa,
5. przypadkowe wysłanie wiadomości e-mail zawierającej w treści lub załącznikach dane osobowe klienta do niewłaściwego odbiorcy, np. niewłaściwego działu firmy lub osoby postronnej,
6. wyrzucenie dokumentów zawierających dane osobowe do publicznego kosza zamiast zniszczenia ich za pomocą niszczarki,
7. phishing.

Często klient napotyka trudności już na pierwszym etapie – tj. przy ocenie, czy dane zdarzenie stanowi incydent ochrony naruszenia danych osobowych i wymaga zgłoszenia do UODO.

W przypadku podejrzenia naruszenia należy:

1. postarać się zapisać wszystkie istotne informacje związane z naruszeniem (np. czas i miejsce naruszenia, jego przebieg, podjęte kroki itd.) oraz udokumentować naruszenie możliwie dokładnie (zrobić notatkę, zdjęcia, film, nagranie, zrzuty ekranu),
2. zabezpieczyć dostęp do miejsca, w którym doszło do naruszenia lub wstrzymać się z pracą na sprzęcie, którego naruszenie dotyczy,
3. jak najszybciej skontaktować się z profesjonalistą w zakresie prawa ochrony danych osobowych.

Powyższe kroki powinny zostać podjęte, nawet jeśli pojawiają się wątpliwości, czy dane zdarzenie jest naruszeniem, bądź brak wiedzy, czy obejmowało ono dane osobowe. Również gdy naruszenie było jednorazowe, krótkotrwałe lub już się zakończyło, czy też jego charakter wydaje się być nieistotny. Nie wolno ignorować tego obowiązku nawet, gdy podobne zdarzenia miały już miejsce w przeszłości lub zgłoszono dane zdarzenie innym organom (np. policji).

Zatajenie przed UODO oraz osobami, których dane zostały naruszone, że w przedsiębiorstwie miał miejsce incydent naruszenia ochrony danych osobowych, może mieć poważne konsekwencje. Kary pieniężne nakładane przez UODO bywają bolesne, ale straty wizerunkowe mogą być nie do naprawienia.

Kancelaria JWMS może wesprzeć firmy na każdym etapie procesu: dokonując profesjonalnej oceny zdarzenia, jak również – w razie potrzeby – przygotowując zgłoszenie do UODO i prowadząc postępowanie przed tym Urzędem.

autor: radca prawny Tomasz Wiese