Coraz częściej kary administracyjne nakładane przez Prezesa UODO wynikają z zaniedbań w związku ze stwierdzeniem naruszenia ochrony danych osobowych (np. ostatnie kara nałożona na MoneyMan.pl i Śląski Uniwersytet Medyczny). Nowe wytyczne EROD (obecnie w fazie opiniowania) mająpomóc administratorom danych ustaleniu, kiedy należy zgłosić naruszenie do organu nadzorczego oraz poinformować osoby, których dane dotyczą. Zawierają również zbiór wskazówek jak zapobiegać wystąpieniu naruszeń.
Wytyczne skupiają się na najczęstszych naruszeniach, obejmujących ataki ransomware, wykradanie danych z systemów informatycznych, utratę urządzeń lub nośników danych oraz błędy ludzkie.
W jaki sposób reagować na naruszenia ochrony danych osobowych?
- Autorzy wytycznych przypominają, że na potencjalne naruszenie ochrony danych osobowych należy się dobrze wcześniej przygotować. Pomocna może okazać się wewnętrzna instrukcja postępowania zawierająca ścieżkę działania, tak by pracownicy administratora wiedzieli jakie podjąć kroki w celu zminimalizowania skutków naruszenia.
- Administrator po identyfikacji incydentu naruszenia danych powinien od razu przystąpić do analizy, czy skutkuje on ryzykiem naruszenia praw lub wolności osób, a jeśli takie ryzyko stwierdzi – dokonać zgłoszenia do Prezesa UODO. Nie należy zwlekać ze zgłoszeniem naruszenia do czasu ukończenia postępowania poszukującego jego przyczyn lub podjęcia środków ograniczających skutki naruszenia.
- Termin na zgłoszenie to maksymalnie 72 godziny, ale w przypadku naruszeń niosących wysokie ryzyko, zwlekanie ze zgłoszeniem do końca terminu może być uznane za niesatysfakcjonujące działanie.
W jaki sposób chronić się przed naruszeniami ochrony danych osobowych?
- Błędy ludzkie są trudne do wyeliminowania. Pomóc mogą szkolenia dla personelu i jasne wytyczne postępowania z danymi osobowymi – zwłaszcza w zakresie wysyłania korespondencji i dzielenia się danymi w systemach informatycznych. Czasami proste działania np. ustawienie skrzynki mailowej tak, by wysyłała maile z opóźnieniem może poprawić bezpieczeństwo danych.
- Przenośne urządzenia (np. pendrive) nie są dobrym miejscem do przechowywania danych wrażliwych. Jeżeli administrator korzysta z takich urządzeń, może poprawić ich bezpieczeństwo stosując szyfrowanie, hasła dostępu, filtry prywatyzujące lub programy umożliwiające zdalne usunięcie danych oraz jasne wytyczne dla personelu dotyczące używania takich urządzeń w firmie i poza nią.
- Administrator powinien tworzyć kopie zapasowe danych przetwarzanych w systemach informatycznych i odpowiednio je zabezpieczyć. Dobrze przygotowany system tworzenia kopii zapasowych zmniejsza ryzyko utraty dostępności danych.
- System informatyczny warto regularnie testować, by wykryć ewentualne nieprawidłowości.
- Należy zapewnić odpowiedni poziom weryfikacji tożsamości przy rejestracji do systemów IT oraz politykę haseł.
