Wyciek danych to problem, który może dotknąć zarówno wielkie międzynarodowe podmioty, jak i małych czy średnich przedsiębiorców. Tak naprawdę wystarczy jedna luka w szyfrowaniu, nieświadomy pracownik klikający w nieznany link lub skuteczny atak hakerski, aby dane Twoje i Twoich klientów wpadły w niepowołane ręce. Co należy jednak zrobić, jeżeli do ataku doszło? Przeczytaj ten artykuł i dowiedz się, jak legalnie reagować na kryzysową sytuację.
Na czym polega cyfryzacja spółek?
Co to jest wyciek danych?
Wyciek danych to sytuacja, w której dojdzie do nieautoryzowanego ujawnienia jakichkolwiek danych, w tym wrażliwych, poufnych lub osobistych.
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
(art. 4 pkt. 12 RODO)
Z kolei dane osobowe oznaczają wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (imię, nazwisko, pseudonim etc.).
Należy pamiętać, że zgodnie z RODO każde przetwarzanie danych osobowych, jak również ich przekazanie, powinno mieć odpowiednią podstawę prawną.
Kary grożące za wyciek danych
Firmy w związku z wyciekiem danych mogą ponieść konsekwencje zarówno finansowe, jak i wizerunkowe. Zgodnie z art. 83 ust. 5 RODO może zostać nałożona kara finansowa w wysokości maksymalnie 20 000 000 euro, a w przypadku przedsiębiorstwa do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jak widać, maksymalne wartości kar są dotkliwe. Podczas ustalania kary Urząd Ochrony Danych Osobowych bada sprawę indywidualnie, kierując się między innymi:
– zakresem i czasem trwania naruszeń,
– liczbą osób dotkniętych naruszeniem,
– stopniem współpracy,
– innymi indywidualnie występującymi okolicznościami mogącymi mieć wpływ na złagodzenie bądź zaostrzenie kary.
Pod kątem wizerunkowym, wyciek danych może wpłynąć na postrzeganie przez kontrahentów zarówno obecnych, jak i przyszłych. Jeżeli jednak dojdzie do naruszenia, warto podjąć działania naprawcze tak, aby pokazać innym podmiotom, że podchodzi się do problemu odpowiedzialnie.
Jeśli chodzi o podmiot, nielegalnie przetwarzający dane, to zgodnie z art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za bezprawne przetwarzanie danych grozi grzywna, kara ograniczenia wolności lub nawet kara pozbawienia wolności do dwóch lat.
Czy można rekrutować za pomocą AI? Sprawdź już teraz:
Wyciek danych w firmie – działanie krok po kroku
Jeśli z jakiejkolwiek przyczyny dojdzie do wycieku danych – należy działać niezwłocznie. Ogromnym błędem ze strony przedsiębiorcy byłaby próba udawania, że nic się nie stało.
- Zidentyfikuj problem
Ustal, w miarę możliwości, kiedy doszło do wycieku, w jakim zakresie i jakie dane mogły podlegać naruszeniom. Być może haker wysłał Ci e-mail lub inną wiadomość dotyczącą czynu.
- Zabezpiecz swoje systemy
Z pomocą podmiotów informatycznych zapewnij zabezpieczenie danych przed dalszym wyciekiem.
- Zgłoś wyciek danych do UODO
W ciągu 72 godzin od uzyskania informacji o wycieku danych zgłoś do UODO zajście. Opisz zdarzenie, poinformuj o zakresie dotkniętych podmiotów, przedstaw podjęte środki naprawcze.
Czy zawsze musisz wysyłać zgłoszenie do UODO? Nie. Jeśli po odkryciu naruszenia ochrony danych osobowych stwierdzisz, że ryzyko naruszenia praw i wolności osób fizycznych, czyli na przykład wystąpienie szkody materialnej lub niematerialnej jest małe, to nie musisz powiadamiać o tym Prezesa UODO.
- Wprowadź incydent do rejestru naruszeń
Czym jest rejestr naruszeń? To dokument, w którym administrator odnotowuje wszystkie incydenty związane z bezpieczeństwem danych osobowych. W rejestrze należy zawrzeć między innymi informacje takie jak opis zdarzenia, data i godzina zdarzenia (wykrycia), opis potencjalnych konsekwencji.
- Powiadom osoby, których dane mogły podlegać wyciekom
Jeśli wyciek naruszył osoby fizyczne na wyciek ich danych osobowych, poinformuj je o incydencie i zakresie naruszeń. Istnieją jednak wyjątki – nie musisz spełniać tego wymogu, jeśli dane były chronione na przykład poprzez zaszyfrowanie, co uniemożliwia bezpośredni dostęp lub podjęto działania naprawcze. Z kolei gdy istnieje niewspółmiernie duży wysiłek związany z informowaniem każdej osoby, której dane dotyczą, można informację przekazać w formie publicznego komunikatu.
- Przeanalizuj wewnętrznie sprawę, ustal środki naprawcze na przyszłość
Ucząc się na błędach wprowadź środki, które zminimalizują podobne incydenty w przyszłości.
Podsumowanie
Reasumując, wyciek danych w firmie to realny problem, do którego może dojść w 2025 roku, mając na uwadze stopień cyfryzacji i wykorzystania platform internetowych do przechowywania danych. Przedsiębiorcy muszą być świadomi ryzyka, jednocześnie wiedząc, co należy zrobić w sytuacji wycieku danych. Pamiętaj, aby starać się możliwie najlepiej dbać o bezpieczeństwo swoich systemów zanim dojdzie do wycieku. Weryfikuj polityki bezpieczeństwa, dbaj o dobrą obsługę ze strony podmiotów informatycznych tak, aby szyfrowanie i bezpieczeństwo systemów było zapewniane na bieżąco. Poza tym upewnij się, że spełniasz wymagania stawiane przez obowiązujące prawo. W razie wątpliwości skonsultuj zgodność z prawnikiem.
Dowiedz się, dlaczego warto współpracować z Kancelarią MDL:
Skontaktuj się z nami, korzystając z poniższego formularza kontaktowego. Chętnie odpowiemy na nurtujące Cię pytania oraz wesprzemy w sytuacji wycieku danych.
