Czym właściwie jest naruszenie ochrony danych osobowych? Co zrobić w przypadku spowodowania lub wykrycia naruszenia bezpieczeństwa danych? Dlaczego przestrzeganie przepisów RODO (Rozporządzenia o Ochronie Danych Osobowych) jest istotne dla firm? Na te i inne pytania postaramy się odpowiedzieć w niniejszym artykule.

Naruszenie ochrony danych – czym jest?

Naruszenie ochrony danych osobowych to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). Wyróżniamy trzy rodzaje naruszeń:

• Poufności – ujawnienie danych osobowych nieuprawnionej osobie.
• Dostępności – trwała utrata lub zniszczenie danych osobowych.
• Integralności – nieautoryzowana zmiana treści danych osobowych.

Jak unikać naruszeń ochrony danych osobowych?

Obowiązkiem administratora jest wdrożenie wszelkich środków technicznych i organizacyjnych. Umożliwiają one przetwarzanie danych osobowych zgodnie z RODO i pomogą uniknąć konsekwencji naruszeń ochrony danych.

Pomyłkom, być może nie zapobiegniemy, ale możemy zapobiec występowaniu naruszeń ochrony danych utrwalając pewne nawyki:

• POPRAWNIE SZYFRUJ ZAŁĄCZNIKI ZAWIERAJĄCE DANE OSOBOWE. Poprawnie, tzn. hasło do zaszyfrowanego załącznika prześlij do odbiorcy innym kanałem komunikacyjnym niż e-mail (np. za pomocą SMS)

• Nie umieszczaj danych osobowych w tytule maila.

• Jeśli możesz, nie zamieszczaj danych osobowych w treści maila (zwłaszcza danych wrażliwych), ale zawrzyj je w załączniku, który następnie zaszyfrujesz.

Utrwalając te nawyki, przesłanie maila na błędny adres e-mail już nie jest takie niebezpieczne – dzięki szyfrowaniu i zachowywaniu ostrożności, odbiorca nie będzie miał w ogóle dostępu do załącznika zawartego w wiadomości. Więcej o szyfrowaniu załączników w wiadomości mailowej przeczytasz tutaj: www.e-kursyrodo.pl/szyfrowanie-zalacznikow-w-mailu/

• Pamiętaj o funkcji „ukryj do wiadomości” – UDW – nieużycie funkcji „ukryj do wiadomości” (UDW). W przypadku wysłania wiadomości do wielu odbiorców na raz, to jeden z częstych incydentów. Umożliwia on wyciek adresów mailowych co w przypadku wysyłania wiadomości do osób fizycznych, na prywatne adresy e-mail może być naruszeniem ochrony danych osobowych. Dojdzie wtedy wycieku prywatnych adresów mailowych, które często zawierają imię i nazwisko adresata.

Przykład:

Pod koniec przeprowadzanego Spisu Powszechnego w 2021 roku doszło do ujawnienia ponad 500 adresów mailowych przez pracownicę Głównego Urzędu Statystycznego również w wyniku błędu – właśnie przez nieużycie funkcji „ukryj do wiadomości”. Pracownica skontaktowała się z osobami, (które uprzednio straciły dostęp do aplikacji do samospisu), w sprawie przywróconej możliwości skorzystania z aplikacji – jednak robiąc to, wysłała wiadomość jednocześnie do ponad 500 adresów mailowych, które były widoczne dla każdego adresata. Chcąc naprawić sytuację, pracownica użyła funkcji “Odwołaj wiadomość” i adresaci ponownie otrzymali wiadomość z podglądem adresów email wszystkich innych osób. Podobna wpadka dotyczyła wiadomości wysłanej do rachmistrzów. Więcej informacji znajdziesz tutaj: » Wpadka GUS-u. Ujawniono e-maile kilkuset Polaków ze Spisu Powszechnego — Niebezpiecznik.pl –

Powyższy przykład dotyczy ujawnienia adresów e-mail, czego końcem mogło być “co najwyżej” zasypanie skrzynki pocztowej spamem.

Co robić w przypadku spowodowania lub wykrycia naruszenia bezpieczeństwa danych?

Co zatem zrobić, gdy już doszło do naruszenia ochrony danych i konsekwencje mogą być też poważniejsze? Nie próbuj naprawiać sytuacji na własną rękę – nigdy nie wiesz, czy nieuprawniony odbiorca danych okaże się uczciwy. Poza tym może zgłosić sprawę do UODO, co w konsekwencji przyniesie więcej szkody Twojej firmie. Więc, gdy w wyniku błędu prześlesz dane osobowe osobie innej niż dotyczyły, natychmiast poinformuj o tym fakcie swojego przełożonego i Inspektora Ochrony Danych (IOD). Nie ukrywaj żadnych informacji, które mogą być pomocne w rozwiązaniu zaistniałej sytuacji. Gdy dochodzi do naruszenia ochrony danych, istotny jest czas. Czas ograniczony do 72h od stwierdzenia naruszenia, gdy administratorem danych, których sprawa dotyczy, jest Twój pracodawca lub krótszy czas – określony umową, np. 24h – gdy administratorem danych jest inny podmiot, np. Importer lub bank.

Jeśli ciekawią Cię konkretne zagadnienia związane z RODO, masz pytania bądź sugestie skontaktuj się z nami !

Zespół ekspertów firmy Standarder Sp. z o.o.

Zapoznaj się z naszą ofertą:

Szkolenia w formie stacjonarnej – https://standarder.pl/oferta-ochrona-danych/
Kursy RODO online – https://www.e-kursyrodo.pl/oferta-dla-firm/
Konsultacje RODO – https://www.e-kursyrodo.pl/konsultacje-rodo/