W drugiej połowie kwietnia doszło do wycieku danych osobowych ponad 20 000 funkcjonariuszy publicznych: policjantów, celników, pracowników Służby Ochrony państwa, Administracji Skarbowej, Straży Pożarnej, Straży Granicznej, Inspekcji Transportu Drogowego, Straży Ochrony Kolej, Straży Miejskiej i Służby Więziennej. W pliku Excel znajdowały się: imiona, nazwiska, numery telefonów, numery PESEL, adresy e-mail, adresy miejsca pracy. Plik z danymi został niefortunnie udostępniony przez pracownika Rządowego Centrum Bezpieczeństwa… o ironio.
27 kwietnia na swojej stronie internetowej Prezes Urzędu Ochrony Danych Osobowych poinformował, że do Urzędu wpłynęło zgłoszenie naruszenia ochrony danych osobowych w powyższej sprawie. Sprawa jest analizowana przez Urząd, do RCVB zostało skierowane pismo o złożenie wyjaśnień.
Naruszenie ochrony danych – co robić?
Przede wszystkim ocenić skalę tego naruszenia, w przypadku naszego przykładu bez wątpienia należało poinformować o tym fakcie Prezesa Urzędu Ochrony Danych (obowiązek ten wynika z art. 33 ust. 1 RODO).
Kiedy w takim razie powiadomić Prezesa UODO?
Jeżeli w wyniku przeprowadzonej analizy incydentu okaże się, że istnieje prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator obowiązany jest do powiadomienia organu nadzorczego.
Z ryzykiem tym mamy do czynienia, kiedy naruszenie może wywołać szkodę fizyczną, materialną lub niematerialną dla osób fizycznych, których naruszenie dotyczy. Do szkód takich można zaliczyć m.in.: dyskryminację, stratę finansową, kradzież tożsamości, utratę poufności danych chronionych tajemnicą zawodową czy też inne poważne skutki społecznej lub gospodarcze dla konkretnej osoby fizycznej.
Jeżeli naruszenie dotyczy danych osobowych zaliczanych do szczególnych kategorii (tj. dane ujawniające: pochodzenie etniczne lub rasowe, poglądy polityczne, przynależność do związków zawodowych) należy uznać, że występuje wysokie prawdopodobieństwo wystąpienia wspomnianej szkody.
Zgłoszenia naruszenia dokonuje się elektronicznie lub tradycyjną pocztą, wypełniając formularz dostępny na stronie internetowej Urzędu https://uodo.gov.pl/pl/134/233.
Nie można nie wspomnieć o obowiązku poinformowania osób, których naruszenie dotyczy. W przypadku wystąpienia wysokiego ryzyka administrator powinien zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, a treść takiego zawiadomienia zgłosić także do UODO. Zawiadomienie to powinno być dokonane niezwłocznie po wykryciu i ocenie naruszenia.
Jak uniknąć naruszeń?
Każdy podmiot przetwarzający dane osobowe powinien uczulić pracowników na kwestie związane z ochroną danych osobowych, tak by świadomie mogli oni identyfikować potencjalne zagrożenia oraz unikać naruszeń ochrony danych osobowych (np. udostępniając pliki w Internecie). Niezbędne są oczywiście również adekwatne środki techniczne i organizacyjne stosowane w celu minimalizacji ryzyka, jednak z naszego doświadczenia wynika, że najczęściej słabym ogniwem w systemie ochrony danych osobowych jest człowiek i tak było też w tym przypadku.
Prezes Urzędu Ochrony Danych Osobowych wypowiadał się w temacie naruszeń w poniższych komunikatach:
Co zrobić w przypadku kradzieży tożsamości? https://uodo.gov.pl/pl/138/1222
Warto wiedzieć, jak minimalizować ryzyko kradzieży tożsamości https://uodo.gov.pl/pl/138/1267
Nina Kowalik
Kancelaria Wyrzykowscy