Jak zarządzać incydentem ochrony danych?
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Prawidłowa reakcja organizacji na potencjalny incydent zależy w dużym stopniu od postępowania osoby, która otrzymała o nim informację , oraz od sprawnego działania inspektora ochrony danych – jako analityka potrafiącego ustalić jego przyczyny, zasięg, możliwe konsekwencje oraz ocenić, czy wymaga on zgłoszenia do Prezesa UODO i poinformowania osób, których dane dotyczą. W tym celu konieczne jest opracowanie procedury, według której będzie się identyfikowało incydenty i określało proces postępowania z nimi. Pracownicy powinni być z taką procedurą dobrze zaznajomieni, aby wiedzieć, jak zachować się w danej sytuacji. Jasno należy wskazać również kanał zgłaszania potencjalnych naruszeń.
Dla zakładu ubezpieczeń ważną kwestią są incydenty zaistniałe po stronie podmiotów, którym powierzono dane osobowe do przetwarzania (np. agenci). To właśnie zakład ubezpieczeń będzie musiał zgłosić ewentualny incydent, pomimo że do zdarzenia doszło w podmiocie zewnętrznym, któremu powierzył on przetwarzanie danych. Istotne jest więc, aby w umowie powierzenia wyznaczyć procesorowi czas na poinformowanie zakładu ubezpieczeń o incydencie oraz wskazać kanał komunikacji. Przy określaniu czasu reakcji ze strony procesora zakład ubezpieczeń musi pamiętać, że on sam ma 72 godziny na przesłanie stosownego zawiadomienia do Prezesa UODO.
Kiedy i jak zgłaszać incydent ochrony danych osobowych?
Po stwierdzeniu naruszenia administrator ma 72 godziny na jego zgłoszenie. Zgodnie z informacją znajdującą się na stronie Prezesa UODO administrator dokonuje zgłoszenia naruszenia drogą elektroniczną. W tym celu ma do dyspozycji platformę Biznes.gov.pl bądź elektroniczną skrzynkę podawczą ePUAP. Podkreślenia wymaga, że jest to forma preferowana przez UODO, lecz nieusankcjonowana przepisami prawa. Oznacza to, że jeżeli chcielibyśmy złożyć zawiadomienie o wystąpieniu naruszenia pisemnie, Prezes UODO nie powinien odmówić przyjęcia takiego zgłoszenia.
Dokonaj oceny czy naruszenie wymaga zgłoszenia - wzór
Stosując się do naszych wskazówek znacząco zwiększasz szansę przejęcia kontroli nad naruszeniem ochrony danych i minimalizacji jego stuków. Dla ułatwienia przedstawiamy listę „things to do”. Więcej
Zadaniem inspektora ochrony danych jest ocena, czy mamy do czynienia z incydentem wymagającym zgłoszenia Prezesowi UODO. Inspektor musi więc oszacować, jakie jest prawdopodobieństwo, że naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. W tej ocenie inspektorowi mogą pomóc m.in. wytyczne Grupy Roboczej art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych (WP250rev.01).
Jak prowadzić dokumentację w zakresie incydentów ochrony danych osobowych?
Zgodnie z przepisami RODO – bez względu na fakt, czy zaistniały incydent wymagał zgłoszenia do Prezesa UODO – organizacja powinna go należycie udokumentować, w tym opisać jego okoliczności, skutki oraz podjęte działania zaradcze. Prowadzenie wskazanej dokumentacji ma na celu m.in. pozwolić Prezesowi UODO zweryfikować, czy dana organizacja należycie zarządza naruszeniami ochrony danych osobowych oraz respektuje prawa osób, których dane dotyczą. Warto, aby taka dokumentacja zawierała informacje, jakie wskazywalibyśmy w zgłoszeniu do UODO (art. 33 ust. 3 RODO), oraz opis wszelkich okoliczności związanych z zaistniałym zdarzeniem.
Incydenty w sektorze ubezpieczeń
Praktyka wskazuje, że naruszenia ochrony danych osobowych w dalszym ciągu następują głównie z powodu błędów pracowników zakładów ubezpieczeń lub współpracujących z nimi agentów. Stąd tak istotne staje się szerzenie wiedzy o konieczności stosowania wymogów RODO ze szczególnym naciskiem na odpowiednie zabezpieczenie przetwarzanych danych osobowych. Konieczna też jest weryfikacja podmiotu, któremu zamierzamy powierzyć dane (np. agentowi), w kontekście zapewnienia przez niego gwarancji wdrożenia wymogów RODO (art. 28 ust. 1 RODO).