Szantaż pracownika a naruszenie danych osobowych - CompNet

“Albo dostanę podwyżkę, albo wyniesione dane trafią w przestrzeń publiczną i Pan może się już pakować.”

Takie słowa usłyszał szef organizacji, gdzie od niedawna przejęliśmy funkcję Inspektora Ochrony Danych (IOD).

Jako firma wspierająca organizacje od ponad 23 lat w obszarze ochrony danych i cyberbezpieczeństwa widzimy zbyt często sytuacje, w których problemem nie jest technologia, czy cyberzagrożenia zewnętrzne ale człowiek pracujący w danej organizacji.

Jak reagować w podobnym przypadku?

Zgłoś incydent/naruszenie do IODa:
• Pierwszym najważniejszym krokiem jest zgłoszenie każdego przypadku podejrzenia naruszenia danych osobowych (np. skopiowanie, wyniesienie danych) do IOD, ponieważ w przypadku naruszenia Administrator Danych ma do 72 godzin na powiadomienie Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
• Z punktu widzenia ludzkiego, nie jest łatwo przyznać się do tego, że w mojej organizacji, którą zarządzam doszło do naruszenia. Jednak, gdy wyjdzie na jaw naruszenie danych to brak zgłoszenia do Prezesa UODO jest często powodem nałożenia kar finansowych. W chwili pisania tego artykułu Prezes UODO nałożył kary o łącznej wysokości ponad 114 mln zł.
• Ponadto należy zadbać o ochronę danych osobowych, za które Administrator Danych odpowiada, aby pracownicy i kontrahenci nie odczuli konsekwencji wycieku ich danych np. ryzyko zaciągnięcia “chwilówki”.
Ocena, czy doszło do naruszenia danych osobowych:
IOD zbiera fakty, dopytuje i na tej podstawie przekazuje rekomendacje, co należy zrobić np. doradza, czy należy zgłosić naruszenie do PUODO, czy należy powiadomić osoby, których dane dotyczą czy jednak jest to incydent, gdzie nikogo nie trzeba powiadamiać.
Obowiązek zgłoszenia do PUODO i/lub powiadomienie osób:
W powyższym przypadku Klient zgodnie z naszą rekomendacją zgłosił podejrzenie naruszenia zgodnie z dokumentami, które przygotowaliśmy.
Rekomendacje IOD: Działania prawne i zabezpieczające:
• W powyższym przypadku Klient, zgodnie z rekomendacją IODa, pisemnie wezwał Pracownika do zwrotu worków z danymi. Na drugi dzień Pracownik zwrócił worki z dokumentami.
• Klient przeprowadził kolejne szkolenie z Ochrony Danych Osobowych i Cyberbezpieczeństwa, w tym z odpowiedzialności pracowników.
• Całkowicie ograniczono możliwość kopiowania danych na nośniki zewnętrzne.
• Klient przeprowadził również Audyty Informatyczne z zakresu cyberbezpieczeństwa.
• Zakupiono również system ograniczający ryzyko wynoszenia danych.
Działania zapobiegawcze:
Aby w przyszłości ograniczyć ryzyko podobnych sytuacji rekomenduję:
• Prowadzenie regularnych szkoleń (minimum raz na 3 lata).
• Przeprowadzenie regularnych Analiz Ryzyka i Audytów zarówno całościowych (jak badanie krwi), jak i poszczególnych obszarów przetwarzania danych np. Audyt Kadr, Audyt Socjotechniczny, Audyt Bezpieczeństwa Sieci.
• Wdrożenie i aktualizację Polityki Ochrony Danych Osobowych oraz Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
• Wdrożenia rozwiązań technicznych ograniczających kopiowanie danych.

Podsumowanie

Obowiązkiem Administratora Danych jest wdrożenie odpowiednich środków technicznych i organizacyjnych (art. 24 RODO).

W sytuacjach kryzysowych kluczowe są czas reakcji, procedury oraz współpraca z Inspektorem Ochrony Danych.

Odpowiednie przygotowanie organizacji znacząco zmniejsza ryzyko oraz skutki incydentów związanych z bezpieczeństwem danych.

Dlatego warto zadać sobie pytania:

Czy w mojej organizacji stosuje się wystarczające działania zapobiegawcze, takie jak regularne audyty, analizy ryzyka, szkolenia czy aktualizację polityk ochrony danych?
Czy jeżeli mój IOD będzie niedostępny np. urlop, absencja, to czy wiadomo kto ma go zastąpić, aby wywiązać się z obsługi naruszenia w ciągu 72 godz.?

Między innymi dlatego ostatnio organizujemy dla naszych Klientów warsztaty ze zgłaszania incydentów.

Gorąco zachęcam też do cyklu artykułów “Kogo na IODa?”:

• www.comp-net.pl/cykl-blogowy-kto-powinien-pelnic-funkcje-ioda-aby-nie-stracic-kontroli-nad-bezpieczenstwem-danych/

• www.comp-net.pl/kto-powinien-pelnic-funkcje-ioda-aby-nie-stracic-kontroli-nad-bezpieczenstwem-danych/

• www.comp-net.pl/cykl-blogowy-kto-powinien-pelnic-funkcje-ioda-aby-nie-stracic-kontroli-nad-bezpieczenstwem-danych-czesc-3/

• www.comp-net.pl/cykl-blogowy-zly-wybor-iod-kosztuje-realne-kary-uodo-jako-instrukcja-dla-administratorow-danych-czesc-4/

PS

Zawsze powtarzam, żeby postępować tak, by patrząc w lustro, nie wstydzić się osoby, którą się widzi. Niezależnie od tego, gdzie jesteś – przed sobą nie uciekniesz

Szantaż czy kradzież nie są „emocją” ani „formą negocjacji” lecz przekroczeniem granicy, które ma swoje konsekwencje.

Autor:

Sebastian Strzech – od 2002 roku pomagam organizacjom nie tylko spełniać wymogi prawa, ale budować realne bezpieczeństwo danych. W świecie, gdzie cyberzagrożenia nie biorą urlopu, nie ma miejsca na przypadek. Ten cykl to efekt tysięcy godzin audytów, wdrożeń i rozmów z administratorami danych, którzy chcą działać świadomie. Jeśli też jesteś jednym z nich – porozmawiajmy.