Wyciekły dane z Twojej firmy? Zacznij odliczać 72 godziny

Co zrobić gdy dane osobowe wyciekły lub zostały naruszone? Procedura GIODO RODO

72 godziny – tyle w unijnym rozporządzeniu o ochronie danych osobowych (RODO) będzie miał przedsiębiorca na zgłoszenie, że doszło do naruszenia danych z jego bazy. Nie chodzi jednak tylko o zgłoszenie tego do organu nadzorczego jakim jest Generalny Inspektor Danych Osobowych (GIODO), ale również do wszystkich osób (!), których dane wyciekły.

Może to oznaczać, że – przykładowo – jeśli dysponujemy bazą danych 1000 osób, a z jakiegoś powodu doszło do ich naruszenia, do dyspozycji mamy 3 doby, żeby wszystkim tę informację przekazać. W przypadku niemożliwości poinformowania każdej osoby indywidualnie, konieczne będzie umieszczenie publicznie dostępnej informacji o naruszeniu, która będzie mogła trafić do wszystkich zainteresowanych. Będzie trzeba też poinformować, jakie to ryzyko za sobą niesie oraz wydać zalecenia, jak zminimalizować skutki wycieku.

W rozporządzeniu zaznaczono, że dopuszczalne jest wydłużenie terminu 72 godzin, jeśli wyjaśnione zostaną przyczyny opóźnienia, „a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”. Z kolei w RODO sprecyzowano, że „to, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą”.

Gdy administrator danych nie przekaże informacji o naruszeniu, będą grozić mu surowe kary.

Są wyjątki

W RODO znalazł się także zapis, że administrator danych nie będzie musiał zgłaszać naruszenia, jeśli „jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych”.

 

Autor: Marcin Baranowski, IT Security Expert w firmie Onwelo.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *