Prezes Urzędu Ochrony Danych Osobowych nakłada administracyjne kary pieniężne w przypadku naruszeń ochrony danych osobowych niezależne od wielkości, branży czy specyfiki danej organizacji. Jeśli jakiś podmiot przetwarza dane osobowe, to nie ma żadnego znaczenia, czy działa on w zakresie administracji publicznej, jest jednoosobową działalnością, jest wspólnotą czy spółdzielnią mieszkaniową, czy też zalicza się do firm zatrudniających po kilka tysięcy osób. Dlatego, aby uniknąć kar finansowych, każdy Administrator powinien stosować się do obowiązujących przepisów, a jeżeli mimo wszystko dojdzie do naruszenia właściwie z nim postępować.
Przygotowałam krótką infografikę z 6 wybranych przeze mnie kar z ostatniego roku:
Prezes UODO często w swoich decyzjach podkreśla, że celem nałożonej kary administracyjnej jest również jej funkcja prewencyjna dla innych Administratorów danych.
Zatem wyciągnijmy z ww. kar kilka praktycznych wskazówek dla siebie!
- Sukcesywnie przekazujmy informacje o naruszeniu Prezesowi UODO, jeżeli nie dysponujemy w 100% informacjami dotyczącymi danego naruszenia danych osobowych. Ważne, żeby wstępnego zgłoszenia naruszenia ochrony danych osobowych dokonać w ciągu 72 godzin od stwierdzenia naruszenia.
- Korzystajmy ze wsparcia wyznaczonego Inspektora Ochrony Danych przy ocenie charakteru i wagi naruszenia, a tym samym ocenie ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Przy ocenie należy wziąć pod uwagę naruszenia w kontekście wielkości szkody jakie może ono spowodować w odniesieniu do osoby, której dane dotyczą oraz prawdopodobieństwo wystąpienia tego zdarzenia będącego skutkiem naruszenia. Poza tym konieczne jest uwzględnienie, czy ujawnione dane dotyczą szczególnej kategorii danych (tzw. dane wrażliwe, np. informacje o stanie zdrowia), czy dotyczą dzieci, jak duża ilość danych osobowych została ujawniona i ilu osób dotyczy.
- Nie obawiajmy się pism z UODO – odbierajmy je i udzielajmy jak najbardziej wyczerpujących, konkretnych odpowiedzi na zadawane pytania. Wówczas korespondencja z Urzędem może nawet zakończyć się na jednym piśmie.
- Nieodbieranie pism z UODO nie powoduje zawieszenia wszczętego postępowania administracyjnego – wówczas pismo traktowane jest jako doręczone do Administratora danych, a tym samym jako takie, na które Administrator nie odpowiedział we wskazanym terminie. Nawet jeżeli korespondencja dotyczy skargi osoby fizycznej, której dane przetwarzamy lub naruszenia ochrony danych osobowych, to sposób, w jaki współpracujemy z organem nadzorczym będzie miał wpływ na decyzję o nałożeniu kary administracyjnej oraz jej wysokość.
- Zaangażujmy Inspektora ochrony danych w napisanie odpowiedzi na pytania UODO i starajmy się dotrzymać wyznaczonego terminu na przesłanie odpowiedzi – jest to zazwyczaj 7 lub 14 dni. Jeżeli jednak udzielenie odpowiedzi nie będzie możliwe w wyznaczonym terminie, poinformuj Urząd w jakim terminie udzielisz odpowiedzi i uzasadnij, dlaczego przekroczysz termin.
- Zadbajmy o wdrożenie procedur bezpieczeństwa w zakresie przekazywania dokumentów zawierających dane osobowe za pośrednictwem poczty elektronicznej lub na nośnikach danych.
- Zweryfikujmy, czy mamy procedury w zakresie postępowania w przypadku otrzymania jakiejkolwiek informacji o możliwości wystąpienia naruszenia ochrony danych osobowych.
- Zapewnijmy personelowi cykliczne szkolenia z zakresu ochrony danych osobowych, ale też szeroko pojętego bezpieczeństwa informacji, cyberbezpieczeństwa czy też w zakresie procedur wdrożonych w naszej organizacji.
- Regularnie badajmy zdolności do ciągłego zapewnienia poufności, integralności, dostępności
i odporności systemów IT poprzez np. audyty bezpieczeństwa sieci polegające na badaniu podatności sieci komputerowej na próby ataków pod kątem luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych oraz konfiguracji. - Zadbajmy o cykliczną inwentaryzację posiadanego oprogramowania, pod kątem jego legalności oraz aktualności, polegającą na analizie stanu zainstalowanego w organizacji oprogramowania (wykonanie skanowania posiadanych stacji roboczych w sieci i poza siecią), uporządkowaniu i/lub uzupełnieniu licencji oraz wdrożeniu procedur usprawniających zarządzanie oprogramowaniem.
- Oceniajmy oraz regularnie testujmy wdrożone środki techniczne i organizacyjne w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia poprzez np. analizę ryzyka bezpieczeństwa informacji, audyty ochrony danych osobowych czy audyty cyberbezpieczeństwa. Stosowanie zabezpieczeń musi mieć charakter ciągłego procesu, a nie jednorazowego wdrożenia. Pozwala to identyfikować nowe podatności, zagrożenia, słabości bądź luki w zabezpieczeniach, które być może nie były znane w momencie uruchamiania danych rozwiązań, na bieżąco na nie reagować, a tym samym unikać wystąpienia incydentów bądź naruszeń ochrony danych osobowych
Czy tematyka naruszeń ochrony danych osobowych została wyczerpana w tym krótkim artykule? Zdaję sobie sprawę, że nie, a jak pokazuje moje doświadczenie jako Inspektora ochrony danych, naruszenia ochrony danych występują w każdej organizacji.
Czy powinniśmy się cieszyć, że nasz rejestr naruszeń nie ma żadnych wpisów?
To zależy. Okazuje się bowiem, że „pusty” rejestr naruszeń może wskazywać na:
- brak świadomości personelu, co jest naruszeniem ochrony danych i jakie zdarzenia należy zgłaszać do Administratora danych oraz IOD;
- brak lub niedziałające procedury w zakresie postępowania z naruszeniami ochrony danych osobowych;
- nieskuteczność systemu wykrywania naruszeń ochrony danych i reagowania na nie.
Nieocenioną pomocą i wsparciem dla Administratora danych w tym zakresie jest Inspektor ochrony danych, który powinien mieć odpowiednią wiedzę i doświadczenie w zarządzaniu naruszeniami ochrony danych.
Co CompNet może zrobić dla Ciebie?
- możemy przejąć zadania Inspektora Ochrony Danych w celu realizacji wymagań wynikających z Ogólnego rozporządzenia o ochronie danych;
- możemy opracować niezbędną dokumentację, w tym procedurę w zakresie postepowania
z naruszeniami ochrony danych osobowych; - możemy przeprowadzić audyt ochrony danych osobowych w trakcie, którego sprawdzamy
i oceniamy kluczowe obszary, w których organizacja powinna dostosować swoje procedury do wymogów prawa; - możemy przeprowadzić audyt bezpieczeństwa sieci w celu zidentyfikowania, a następnie wyeliminowania podatności na zagrożenia w systemach informatycznych;
- wdrażamy narzędzia i procesy zapewniające pełną kontrolę nad oprogramowaniem, dając jednocześnie pewność, że jest ono wykorzystywane w sposób z zgodny z prawem i optymalny dla klienta;
- nasi trenerzy są do Twojej dyspozycji – szkolimy z zakresu ochrony danych osobowych, ochrony informacji oraz cyberbezpieczeństwa, a także na życzenie przeprowadzamy szkolenia sektorowe np. kadry, uDODO, a ostatnio w naszej ofercie pojawiły się 2 nowości!
- Kurs „Prawidłowe zarządzanie danymi osobowymi we wspólnotach mieszkaniowych i spółdzielniach: aspekty praktyczne” – jeżeli nie zdążyłeś zapisać się na kurs, nic nie szkodzi 🙂 – możesz kupić nagranie z kursu, otrzymasz nie tylko potężną dawkę wiedzy, ale też pełen pakiet dokumentów.
- Kurs online „Bezpieczeństwo danych osobowych w pracy Kuratora sądowego – jak ustrzec się naruszeń?”, który jest dopiero przed nami! Zapraszamy Prezesów Sądów, Kierowników ZKSS oraz Kuratorów zawodowych w środę 26 czerwca na kurs, który jest stworzony po to, żeby zawczasu zadbać o bezpieczeństwo danych w Państwa jednostkach!
Zapytaj o szczegóły naszego doradcę handlowego lub odwiedź nasz stronę!
Autor: Monika Kowalik, Dyrektor Projektu, CompNet Sp. z o.o.