Prezes Urzędu Ochrony Danych Osobowych (PUODO) opublikował plan kontroli sektorowych na 2025 rok. Na pierwszy rzut oka – kolejny urzędowy komunikat. Ale jeśli zarządzasz danymi osobowymi, nie przechodź obok niego obojętnie.
Dlaczego? Bo wśród obszarów kontroli znalazł się temat, który może okazać się dla wielu organizacji testem na odpowiedzialność i transparentność. Mowa o dokumentowaniu naruszeń ochrony danych.
Plan kontroli na 2025 rok – pełen obraz
Zanim przejdziemy do szczegółów, spójrzmy na całość. Plan kontroli PUODO obejmuje:
- Organy przetwarzające dane w Wielkoskalowych Systemach Unii Europejskiej – w tym SIS (System Informacyjny Schengen) i VIS (Wizowy System Informacyjny).
- Podmioty przetwarzające dane medyczne – ze szczególnym naciskiem na bezpieczeństwo danych o stanie zdrowia.
- Podmioty przetwarzające dane dzieci – z uwzględnieniem zgodności z przepisami dotyczącymi zgód rodzicielskich przy przetwarzaniu wizerunku najmłodszych.
- Administratorów danych osobowych – w zakresie realizacji obowiązku dokumentowania wszelkich naruszeń ochrony danych, nawet tych, które nie wymagają zgłoszenia do PUODO.
To właśnie ten ostatni punkt zasługuje na szczególną uwagę, bo dotyczy wszystkich administratorów danych osobowych.
Dokumentowanie naruszeń – obowiązek czy szansa?
Prowadzenie rejestru naruszeń ochrony danych to coś więcej niż wymóg prawny wynikający z art. 33 ust. 5 RODO. To narzędzie, które pozwala organizacji wyciągać wnioski z błędów, minimalizować ryzyko powtórzenia się incydentów i budować kulturę ochrony danych. Problem w tym, że wiele organizacji traktuje ten obowiązek powierzchownie.
Czy dokumentujesz wszystkie naruszenia, nawet te pozornie błahe? Czy analizujesz ich przyczyny
i skutki? Czy wprowadzasz działania zapobiegawcze?
Przyjrzyjmy się kilku przykładom popularnych naruszeń i zobaczmy, co można (i należy) z nich wyciągnąć.
1. Zgubienie pendrive’a z danymi osobowymi
- Co się wydarzyło? Pracownik zgubił niezaszyfrowany pendrive z danymi klientów podczas delegacji. Wśród danych osobowych znalazły się numery PESEL.
- Jakie były skutki? Dane mogły trafić w niepowołane ręce, narażając osoby, których dotyczą, na ryzyko naruszenia prywatności. A w skrajnych przypadkach prowadzić nawet do próby „kradzieży tożsamości”.
- Jakie wnioski wyciągnąć?
- Wprowadzenie polityki obowiązkowego szyfrowania nośników danych.
- Szkolenia przypominające pracownikom o zasadach ochrony danych korzystania sprzętu, gdy wynosimy go poza siedzibę organizacji.
- Regularne audyty procedur bezpieczeństwa, w tym stosowania w praktyce szyfrowania.
2. Niewłaściwie zaadresowany e-mail
- Co się wydarzyło? E-mail z danymi osobowymi dotyczącymi zawartej umowy trafił do niewłaściwego odbiorcy.
- Jakie były skutki? Ujawnienie danych osobowych, danych finansowych, a czasem także tajemnicy przedsiębiorstwa osobie nieuprawnionej.
- Jakie wnioski wyciągnąć?
- Wdrożenie mechanizmów weryfikacji odbiorców przed wysyłką.
- Korzystanie z szyfrowania wiadomości e-mail, ze szczególnym uwzględnieniem szyfrowania załączników zawierających dane osobowe.
- Przypominanie pracownikom o dobrych praktykach w komunikacji elektronicznej.
3. Utrata przesyłki przez operatora pocztowego
- Co się wydarzyło? Poczta Polska – operator pocztowy w rozumieniu przepisów ustawy – zagubiła przesyłkę zawierającą dokumenty z danymi osobowymi klientów, takimi jak numery PESEL czy adresy zamieszkania.
- Jakie były skutki? Dane osobowe, za których ochronę odpowiada administrator, mogły trafić w niepowołane ręce. Zgubienie przesyłki stwarza ryzyko naruszenia prywatności, a także potencjalne konsekwencje w postaci oszustw lub „kradzieży tożsamości”.
- Jakie wnioski wyciągnąć?
- Za dane widoczne na kopercie odpowiada Poczta Polska. Ale już za dane zawarte w przesyłce odpowiada Organizacja, ponieważ administruje tym, co było w kopercie. Dlatego to Organizacja jako administrator danych zawartych w przesyłce, ma obowiązek oceny naruszenia oraz zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO.
- Pracownicy powinni być przeszkoleni, aby wiedzieli, że w przypadku zagubienia przesyłki nie wystarczy złożyć reklamacji do operatora pocztowego – konieczne jest również przeprowadzenie analizy wagi naruszenia i ewentualne jego zgłoszenie.
- Warto wdrożyć procedurę obejmującą standardy wysyłki dokumentów z danymi osobowymi oraz działania na wypadek utraty przesyłki, w tym mechanizmy szybkiego reagowania na takie incydenty.
- Regularnie przypominać pracownikom o odpowiedzialności administratora danych za zawartość przesyłki, niezależnie od odpowiedzialności operatora za jej dostarczenie.
4. Atak ransomware i zaszyfrowanie danych
- Co się wydarzyło? Cyberprzestępcy wykradli, a następnie zaszyfrowali dane organizacji i zażądali okupu. Grożą także, że będą regularnie publikować dane, jeśli ich żądania nie zostaną spełnione.
- Jakie były skutki? Utrata dostępu do danych, ryzyko ich wycieku i narażanie prywatności osób, przestój w działalności, narażenie reputacji organizacji.
- Jakie wnioski wyciągnąć?
- Wdrożenie tworzenia regularnych kopii zapasowych i testowanie ich odtwarzania.
- Zastosowanie dwuskładnikowego uwierzytelniania.
- Edukacja pracowników w zakresie rozpoznawania phishingu i innych zagrożeń, które są najczęstszym źródłem zainfekowania urządzeń oprogramowaniem typu ransomware.
Dokumentowanie naruszeń - dlaczego to takie ważne?
Dokumentowanie naruszeń to:
- W pierwszej kolejności lepsza kontrola nad ryzykiem. To działanie pozwala zidentyfikować luki w zabezpieczeniach i wprowadzić odpowiednie środki zaradcze.
- Podstawa do poprawy procedur. Analiza incydentów to doskonały punkt wyjścia do usprawnienia wewnętrznych procesów.
- Budowanie zaufania. Świadoma organizacja dba o transparentność i odpowiedzialność wzmacniając zaufanie klientów i partnerów.
- Minimalizacja ryzyka kar. Kompleksowa dokumentacja to dowód, że organizacja poważnie podchodzi do ochrony danych i stanowi istotny dowód podczas postępowań prowadzonych przez PUODO.
Rachunek sumienia - czy jesteś gotowy na kontrolę?
Zadaj sobie te pytania:
- Czy dokumentujesz wszystkie naruszenia, nawet te drobne?
- Czy analizujesz ich wpływ na ochronę danych i wdrażasz środki zapobiegawcze?
- Czy Twój rejestr naruszeń jest kompletny i aktualny?
Pamiętaj, że prowadzenie rejestru naruszeń to nie tylko obowiązek, ale i szansa. Szansa na lepsze zarządzanie ryzykiem, usprawnienie procesów i budowanie kultury ochrony danych w Twojej organizacji.
Pewnie początki będą trudne, może kosztować to Was sporo pracy, ale przewaga zyskana na dłuższą metę na pewno zrekompensuje chwilowe niedogodności.
Potrzebujesz wsparcia?
W procesie zgłaszania i doradztwa w przypadku naruszeń kluczową rolę odgrywa Inspektor Ochrony Danych. Nasi specjaliści pełnią tę funkcję w ponad 300 podmiotach, zdobywając bogate doświadczenie w różnych branżach i sytuacjach.
Jeśli chcesz mieć pewność, że Twoja organizacja jest przygotowana na każdą ewentualność, skontaktuj się z nami – chętnie pomożemy, gdy zajdzie taka potrzeba.
Źródło:
1. Plan kontroli sektorowych UODO na 2025 rok – https://uodo.gov.pl/pl/138/3513.
Autor: Kamil Lewicki | Starszy Kierownik Projektu w CompNet Sp. z o.o.