Od Biur

Home office

Prawo i podatki

Jak postępować w przypadku wycieku danych osobowych?

Jak postępować w przypadku wycieku danych osobowych?

Od momentu wejścia w życie rozporządzenia RODO podmioty gromadzące dane osobowe muszą przestrzegać przepisów dotyczących ochrony danych osobowych, a jednym z ich naczelnych obowiązków jest wprowadzenie zabezpieczeń przed wyciekiem danych. Co należy zrobić wtedy, gdy dojdzie do ich ujawnienia?

Czym są dane osobowe?

Pod pojęciem danych osobowych według przepisów RODO znajduje się rodzaj danych, które pozwalają na przeprowadzenie identyfikacji danej osoby fizycznej, na przykład są to:

  • Imię i nazwisko,
  • Adres e-mailowy,
  • Adres zameldowania albo zamieszkania,
  • Zdjęcie,
  • Numer PESEL,
  • Numer dowodu osobistego,
  • Numer paszportu.

Dane tego typu mogą być pozyskiwane na różne sposoby, na przykład podczas zakupów w sklepie internetowym, w trakcie rekrutacji pracowników czy zawierania umów.

Za przetwarzanie danych osobowych zgodnie z przepisami RODO odpowiada administrator danych osobowych, a jednym z jego kluczowych obowiązków jest zabezpieczenie ich przed utratą, czyli inaczej przed ich wyciekiem.

Kiedy mamy do czynienia z wyciekiem danych osobowych?

Wyciek danych osobowych to sytuacja, w której dochodzi do utraty pozyskanych danych osobowych, przy czym może on następować na różne sposoby, na przykład przez wykorzystanie danych osobowych bez wyraźnej zgody, co powoduje naruszenie zasady poufności i ochrony prywatności, albo też przez upublicznienie danych osobowych, które zostały przekazane do danego podmiotu, bez zgody na takie działania.

Istnieje wiele przyczyn wycieku danych osobowych, ale najczęściej odpowiadają za nie pracownicy, którzy naruszają procedury związane z przetwarzaniem tych danych, zarówno z powodu braku ostrożności, jak i swojej niewiedzy w tym zakresie. Poza tym wyciek danych osobowych może być spowodowany celowymi działaniami, na przykład kradzieżą dokonaną przez pracowników, ale zdarza się też, że do wycieku danych prowadzą problemy techniczne, na przykład nieodpowiednie zabezpieczenie używanego systemu informatycznego i bazy danych.

Wyciek danych osobowych – czym może skutkować?

Jeżeli miał miejsce wyciek danych osobowych, może on doprowadzić do poważnych konsekwencji zarówno dla samego podmiotu przetwarzającego dane, jak i dla osób, do których te dane należą.

Główne niebezpieczeństwa wynikające z wycieku danych osobowych to:

  • Otrzymywanie niechcianych ofert przez osoby, których dane wyciekły, na przykład w postaci e-maili, SMS-ów, telefonów,
  • Kradzież tożsamości, co może prowadzić do oszustw finansowych, na przykład zawierania umów pożyczkowych lub innych umów na skradzione dane,
  • Negatywny wpływ na reputację, co może spowodować poważne problemy wizerunkowe,
  • Zmniejszenie wpływów ze sprzedaży ze względu na mniejsze zaufanie klientów,
  • Nałożenie kar za wyciek danych osobowych przewidzianych przepisami RODO, co może powodować poważne obciążenie finansowe.

Jak postępować w przypadku wycieku danych osobowych?

Jeżeli miał miejsce wyciek danych osobowych, konieczne jest jak najszybsze wdrożenie odpowiednich środków zaradczych, aby zapobiec dalszym problemom. O czym należy pamiętać?

Podmiot, który przetwarza dane

Administrator danych osobowych w przypadku zauważenia wycieku danych może podjąć kilka decyzji:

  1. Zgłoszenie naruszenia RODO do UODO, czyli do Urzędu Ochrony Danych Osobowych oraz powiadomienie użytkowników – takie podejście jest prowadzone wtedy, gdy pojawia się wysokie ryzyko naruszenia praw czy wolności osób fizycznych.
  2. Zgłoszenie naruszenia RODO do UODO bez powiadamiania o tym użytkowników – takie podejście stosowane jest w przypadku, gdy pojawia się niskie ryzyko naruszenia praw bądź też wolności osób fizycznych, przy czym UODO może nakazać powiadomienie użytkowników oraz przeprowadzić kontrolę.
  3. Brak powiadomienia UODO oraz użytkowników o wycieku danych osobowych – z kolei takie podejście można wybrać w sytuacji, gdy istnieje niskie prawdopodobieństwo, że doszło do naruszenia praw albo wolności osób fizycznych.

Osoba fizyczna, której dane wyciekły

Gdy doszło do wycieku danych osobowych, w takim przypadku przetwarzający je podmiot najczęściej przekazuje taką informację do osób poszkodowanych, ewentualnie można sprawdzić takie informacje samodzielnie w internecie.

W przypadku wycieku danych zaleca się w pierwszej kolejności jak najszybsze dokonanie zmian haseł używanych w internecie, ponieważ wyciek danych może skutkować próbami włamania na konta.

Osoby fizyczne, których dane wyciekły, mogą też ubiegać się o otrzymanie odszkodowania, które określane jest potocznie jako odszkodowanie RODO. Najlepszym rozwiązaniem będzie w tym przypadku udanie się do sprawdzonej kancelarii prawnej, która będzie mogła kompleksowo zająć się zbadaniem danej sytuacji, przygotowaniem niezbędnych pism i reprezentowaniem swojego klienta.

Więcej informacji na temat uzyskania odszkodowania z tytułu wycieku danych osobowych posiada na stronie Kancelaria Citi.

O autorze