Kradzież służbowego laptopa, smartfona lub innego nośnika danych może wiązać się się nie tylko ze stratą materialną i utratą cennych informacji, ale także naruszeniem bezpieczeństwa danych osobowych. Za naruszenie takie administratorowi teoretycznie grozi odpowiedzialność. Czy dotyczy ona również przypadku kradzieży nośnika, na którym znajdują się dane osobowe? Jakie rozwiązania wdrożyć na wypadek kradzieży? Jak natomiast postąpić, gdy do tej kradzieży dojdzie? Odpowiedzi na te pytania znajdziesz w temacie numeru.
W artykule przeczytasz m.in. o:
Każdy administrator danych osobowych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu skutecznej ochrony danych osobowych. Jest to tym bardziej istotne w przypadku przetwarzania danych w urządzeniach przenośnych z uwagi na wyższe ryzyko naruszenia ochrony danych. Wobec tego poziom zabezpieczenia powinien być adekwatny do wysokiego ryzyka naruszenia danych mieszczących się w tych urządzeniach.
Jakie środki bezpieczeństwa przetwarzanych stosować w przypadku danych osobowych przechowywanych na laptopach, smartfonach i innych urządzeniach przenośnych?
1) środki fizyczne:
2) środki techniczne (informatyczne):
3) środki prawne: opracowanie i wdrożenie procedur i innych wewnętrznych aktów prawnych regulujących kwestie bezpieczeństwa przetwarzanych danych,
4) środki organizacyjne: szkolenie i uświadamianie pracowników, zwłaszcza tych, którzy korzystają ze wskazanych urządzeń w celu przetwarzania za ich pomocą danych osobowych – w szczególności poprzez przekazywanie ich konkretnych instrukcji i procedur.
Nawet pomimo wprowadzenia odpowiednich zabezpieczeń może dojść do nieszczęśliwego zdarzenia jakim jest kradzież służbowego sprzętu. Jak zatem postąpić, gdy dojdzie już do kradzieży? Oczywiście w pierwszej kolejności kradzież służbowego laptopa, smartfona lub innego urządzenia należy zgłosić na policję, przekazując organom ścigania wszelkie dane dotyczące sprzętu pozwalające na jego zidentyfikowanie i odnalezienie. Warto też powiadomić o kradzieży producenta sprzętu, może to bowiem utrudnić lub uniemożliwić ewentualne serwisowanie skradzionego urządzenia.
To jednak nie wszystko. Należy mieć na względzie, że utrata danych osobowych stanowi naruszenie bezpieczeństwa tych danych i może teoretycznie grozić odpowiedzialnością za uchybienie przepisom RODO. Istnieje bowiem ryzyko, że wskutek kradzieży może dojść do ujawnienia danych osobowych osobom nieupoważnionym.
Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa danych poprzez przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W świetle Wytycznych Grupy Roboczej Art. 29 z dnia 3 października 2017 r. (WP 250) naruszenia ochrony danych dzieli się na trzy kategorie:
Naruszenie danych osobowych wskutek kradzieży urządzenia przenośnego może przybrać każdą z ww. form, najczęściej będzie to jednak naruszenie poufności i dostępności danych.
Dla podmiotów danych naruszenie to oznacza natomiast utratę kontroli nad własnymi danymi osobowymi, ograniczenie uprawnień, ryzyka sfałszowania tożsamości, straty finansowe, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia czy naruszenie poufności danych chronionych tajemnicą zawodową.
W związku z wystąpieniem tzw. incydentu, w zależności od określonego poziomu ryzyka naruszenia (niski, średni, wysoki) administrator podjąć musi zatem podjąć kroki prawne przewidziane w RODO zarówno w stosunku do organu nadzorczego, jak i osób, których dane dotyczą.
I tak, w przypadku ustalenia, że w związku z kradzieżą występuje niskie ryzyko naruszenia praw i wolności osób fizycznych administrator nie musi zgłaszać naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych ani też informować o naruszeniu podmiotów danych. Z kolei w przypadku uznania, że kradzież skutkuje powstaniem średniego ryzyka naruszenia dokonanie zgłoszenia incydentu Prezesowi UODO jest obligatoryjne. Nadal jednak nie ma konieczności informowania i incydencie osób, których dane dotyczą. Natomiast w przypadku kradzieży generującej wysokie ryzyko naruszenia praw i wolności podmiotów danych administrator danych musi nie tylko powiadomić Prezesa UODO, ale też poinformować podmioty danych o naruszeniu. Wyjątkowo nie ma konieczności zawiadomienia, jeżeli:
Niezależnie od ustalonego poziomu ryzyka administrator musi także podjąć działania zaradcze w celu ograniczenia ryzyka wystąpienia podobnych naruszeń w przyszłości.
Administrator ustalając z jakim naruszeniem i o jakim ciężarze ma do czynienia powinien ustalić prawdopodobieństwo wystąpienia tych negatywnych skutków oraz szkód dla osób, których dane dotyczą. Jeśli administrator stwierdził wystąpienie naruszenia ochrony danych (co w przypadku kradzieży zazwyczaj będzie miało miejsce, gdy uzyskał wiedzę o kradzieży sprzętu i jej okolicznościach) powinien ocenić prawdopodobne ryzyko, na jakie narażone są osoby fizyczne, aby ustalić, czy w danym przypadku zobowiązany jest zgłosić naruszenie organowi nadzorczemu, a także aby określić działanie lub działania, które należy podjąć, aby zaradzić naruszeniu.
W świetle Wytycznych nie ma obowiązku zgłoszenia naruszenia w postaci utraty nośnika danych, jeżeli zagwarantowano, by dane te były zasadniczo nieczytelne dla osób nieupoważnionych (np. wskutek zaszyfrowania) i jeżeli istnieje przy tym kopia bezpieczeństwa przetwarzanych danych. Istnieje bowiem wówczas niskie ryzyko naruszenia poufności i dostępności danych.
Należy więc na względzie, że zgłoszenie naruszenia danych Prezesowi UODO powinno nastąpić niezwłocznie, lecz nie później niż w terminie 72 godzin od momentu stwierdzenia naruszenia. Nim jednak dokonamy zgłoszenia, powinniśmy przeprowadzić czynności wyjaśniające zmierzające do ustalenia, czy w danym przypadku faktycznie doszło do naruszenia. W tym celu należy przede wszystkim odebrać wyjaśnienia od pracownika, który używał ukradzionego urządzenia.
Jeśli administrator nie dokona zawiadomienia o naruszeniu ochrony danych organu nadzorczego czy podmiotu danych w przypadku, gdy ciążył na nim taki obowiązek, wówczas grozi mu odpowiedzialność finansowa. Organ nadzorczy może wówczas wdrożyć środki naprawcze, w szczególności zastosować administracyjną karę pieniężną.
Więcej o zgłoszeniu incydentu do Prezesa UODO przeczytasz tutaj>>
Zastanawiasz się, czy powinieneś zgłosić incydent do Prezesa UODO? Skorzystaj z dedykowanego pytania do eksperta.
Nie możemy też zapomnieć o konieczności dokumentowania naruszeń ochrony danych osobowych. Kradzież laptopa lub innego urządzenia przenośnego należy więc wpisać do prowadzonego przez administratora rejestru naruszeń. Ująć w rejestrze należy nie tylko samo zdarzenie, ale też jego skutki i podjęte działania zaradcze – tak, aby rejestr był możliwy do weryfikacji przez Prezesa UODO.
Skorzystaj ze wzorów dokumentów:
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
