Na początku warto wyjaśnić czym są dane osobowe i czego warto „pilnować” zarówno prywatnie jak i prowadząc firmę administrującą danymi swoich klientów. Zgodnie z art. 4, pkt 1 RODO:
„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”
Zanim przepisy RODO zostały wprowadzone w życie, informacje o wycieku danych często były ujawniane z dużym opóźnieniem.
RODO bardzo to zmienia. Prawo unijne i przepisy krajowe nakładają na firmy obowiązek poinformowania organu nadzorczego oraz klientów o takim zdarzeniu. Od wykrycia wycieku powinno to nastąpić w ciągu 72 godzin. W przeciwnym razie, należy liczyć się z ogromnymi karami, które mogą sięgać nawet 4% rocznego obrotu światowego lub 20 mln euro. Pierwsze kary zostały już nałożone.
Zgodnie z art.34. par.1: Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
RODO identyfikuje niebezpieczeństwa w katalogu incydentów, pod wspólną definicją
„naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).
Co powinno zawierać zawiadomienie (forma notyfikacji urzędowej):
- Opis charakteru naruszenia ochrony danych osobowych,
- Kategorie i przybliżoną liczbę osób których dane dotyczą,
- Kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
- Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
- Opis możliwych konsekwencji naruszenia ochrony danych osobowych,
- Opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Wszystkie kroki zmierzające do wyjaśnienia okoliczności zaistnienia naruszenia oraz podejmowane w celu przeciwdziałania jego skutkom (np. analiza ryzyka, czy certyfikowane niszczenie dokumentów) , muszą być przez firmy formalnie udokumentowane. Bardzo często to my sami jesteśmy odpowiedzialni za wyciek naszych danych. Otwieramy linki, które już na pierwszy rzut oka są podejrzane. Pamiętajmy o cyberbezpieczeństwie.
Warto sprawdzić nasze konta mailowe, pod kątem wycieków, które już miały miejsce używając strony: https://haveibeenpwned.com/
Wpisując swój adres mailowy dowiemy się czy nasze dane mogły dostać się w niewłaściwe ręce. Dostaniemy również kilka dobrych rad na przyszłość.
A przede wszystkim warto zapobiegać. Dbać o niestosowanie identycznych haseł w wielu portalach, korzystać z menadżerów haseł, unikać zapisywania haseł w formie niezaszyfrowanej, zabezpieczać dostęp do urządzeń, na których dostęp do naszych danych może być ułatwiony.
Jeśli administrujesz danymi swoich klientów zadbaj o zabezpieczanie baz danych oraz pomieszczeń, w których są przechowywane w formie analogowej. Wprowadź odpowiednie procedury dostępu do danych, przeszkol pracowników w ramach dostępu do danych.
I najważniejsze: zadbaj o bezpieczne i zgodne z prawem zniszczenie dokumentów.
W jaki sposób to robimy możesz zobaczyć tutaj: https://spoldzielniaalbert.pl/jak-to-robimy/
