Wyciek danych osobowych w firmie to poważny problem. Często okazuje się, że wynika to z drobnego niedopatrzenia czy błędu pracownika. Przekonała się o tym firma, w której jeden z członków zespołu przypadkowo udostępnił dane klientów… na YouTube. Co robić, gdy dojdzie do wycieku danych osobowych w firmie?
Wyciek danych osobowych to poważny problem
RODO nałożyło na przedsiębiorców sporo nowych obowiązków, w tym informowania odpowiednich organów o przypadkach wycieku danych osobowych w firmie. Zagubione lub pozostawione na biurku dokumenty, omyłkowo wysłany mail, a nawet atak hakerski – przyczyn takich przypadków może być sporo. Do najczęstszych należą jednak drobne niedopatrzenia czy błędy pracowników. Czasem rutyna to nasz najgorszy wróg!
Co robić, gdy dojdzie do wycieku danych osobowych w firmie? Gdzie zgłaszać takie przypadki i jak można zniwelować ryzyko popełnienia podobnego błędu w przyszłości? Tego dowiecie się z tego tekstu!
Szukasz pracy w Częstochowie? Sprawdź najlepsze oferty na GoWork.pl!
Wyciek danych – jak mu zapobiec?
Błędy się zdarzają, dlatego nie wszystkie sytuacje da się przewidzieć. Nie oznacza to jednak, że nie warto stosować środków wyjątkowej ostrożności, kiedy mamy do czynienia z wrażliwymi danymi!
Korzystanie z sieci VPN z pewnością pomoże pracownikom firmy, chronić dane znajdujące się na dyskach ich komputerów, podczas pracy zdalnej i zapobiec ewentualnemu wyciekowi danych. W ten sposób możecie też szyfrować dane, które przesyłacie sobie na co dzień! Niejedna grupa hakerska próbuje obecnie „dorobić sobie” na konieczności zmiany systemu pracy na zdalną. Nie dajcie im szansy!
Dobrze zapoznać się również z zasadą czystego biurka. Wbrew pozorom nie chodzi tu o Waszą małą kolekcję kubków po kawie… A raczej blokowanie monitora przy każdym odejściu od komputera, czy staranne dbanie o bezpieczeństwo pozostawianych na stanowisku dokumentów. Nie mogą wpaść one w niepowołane ręce! Bywa, że zwykła niefrasobliwość może doprowadzić do wycieku danych osobowych z firmy.
Wyciek danych osobowych – co robić?
Co zrobić w przypadku wycieku danych osobowych? Pierwszym krokiem będzie wewnętrzne ustalenie, jaka jest skala wycieku i jakie dane mogły trafić w ręce oszustów lub do sieci. Dopiero wtedy możecie ocenić, czy doszło do naruszenia przepisów RODO. Pamiętajcie, że o wycieku danych, jako ich administratorzy, będziecie musieli poinformować także potencjalnie poszkodowanych – np. klientów Waszej firmy.
Komu zgłosić naruszenie RODO?
Wyciek danych RODO
Komu zgłosić naruszenie RODO? Zgodnie z przepisami firma, będąca administratorem danych, które wyciekły, ma maksymalnie 72 godziny zawiadomienie UODO o incydencie. Jeśli zgłoszenie nastąpi później, musi zawierać również wyjaśnienie owej zwłoki! Dlatego sytuację lepiej wyjaśnić jak najszybciej. Może to również mieć wpływ na wysokość kary, jaką na firmę może nałożyć UODO, jeśli oceni, że błąd, do jakiego doszło, był poważnym naruszeniem RODO.
Jeśli więc zorientowaliście się, że na wskutek Waszych działań doszło do wycieku danych, lepiej nie zwlekajcie z zawiadomieniem o tym pracodawcy. To on może bowiem ponieść największe konsekwencje Waszego błędu. Nie oznacza to jednak, że nas ta odpowiedzialność z kolei ominie.
SPRAWDŹ TEŻ: Klauzula CV 2021 – aktualna wersja z RODO!
Naruszenie RODO – konsekwencje dla pracownika
Zgodnie z przepisami Kodeksu pracy pracownicy, którzy z powodu niewykonania lub nierzetelnego wykonania swoich obowiązków doprowadzili do wycieku danych osobowych i naruszenia przepisów RODO, mogą odpowiadać za spowodowane szkody. Mogą zostać nawet zobowiązani do zapłaty odszkodowania ustalonego w kwocie do wysokości wyrządzonej szkody! Nie może ona jednak przekroczyć trzykrotności wynagrodzenia, które otrzymują. W przypadku wyrządzenia szkody umyślnie pracownik będzie zobowiązany do jej naprawienia i zwrotu w pełnej wysokości.
Gdzie zgłosić wyciek danych osobowych? Poinformować trzeba też poszkodowanych
Jak wspominaliśmy, nie tylko UODO będzie trzeba poinformować o wycieku danych osobowych w firmie. Przepisy jasno określają konieczność zawiadomienia potencjalnie poszkodowanych o tym, że ich dane osobowe mogły trafić w niepowołane ręce. Jeśli doszło np. do wycieku tak ważnych danych, jak numery PESEL, sprawa może się skończyć np. zaciągniętą na nieświadome osoby pożyczką „chwilówką”. A kiedy przyjdzie do spłaty, nikomu nie będzie do śmiechu!
Dlatego właścicieli danych, które wyciekły, ich administrator musi (zgodnie z przepisami) poinformować o zdarzeniu jak najszybciej w formie pisemnej. Nie chodzi o zawiłe tłumaczenia przyczyn wycieku danych, a szybką reakcję i ostrzeżenie, że w najbliższych miesiącach warto szczególnie uważać na pewne kwestie.
Naruszenie RODO – kiedy nie musimy informować poszkodowanych?
Kiedy nie musimy z kolei informować o wycieku danych osobowych z firmy? Przepisy RODO dopuszczają taką możliwość tylko wtedy, kiedy zostaną spełnione poniższe warunki:
administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych
administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby
wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób
Wyciek danych na YouTube. Zawinił pracownik
To oczywiste, że nikt z nas celowo nie chciałby doprowadzić do wycieku danych osobowych z firmy. Bywa jednak i tak, że nawet dobrzy pracownicy, sumiennie wykonujący swoje obowiązki, na chwilę zawiodą się na „odruchowym” odhaczaniu kolejnych punktów do załatwienia.
Tak stało się w przypadku pracownika portalu posiedzenia.pl . Serwis należy do spółki GK Pro, która umożliwia m.in. przeprowadzanie obrad rady miasta, głosowań, komunikacji wewnętrznej, magazynowania dokumentów online organom samorządowym. To dosyć odpowiedzialne zadanie, o czym pracownik firmy zdawał się dobrze wiedzieć.
Do samej jego pracy naprawdę trudno byłoby się przyczepić – mężczyzna na nagraniu na YouTube, które zostało już usunięte w sieci, z zapałem wykonuje zadanie po zadaniu, uzupełniając tabelki w Excelu, odpisując na maile i uzupełniając dane w serwisie CRM. Mało tego, nie przeszkadzały mu nawet odgłosy pobliskiego remontu! W przeciągu prawie 2 godzin nie odszedł od komputera niemal na chwilę. Wszystko pewnie byłoby dobrze, efektywnie i wydajnie, gdyby nie jeden drobiazg… Co wideo z danymi osobowymi i hasłami dostępowymi robiło na publicznym kanale na YouTube?! Ot, taki mały wyciek danych osobowych na nieco większą skalę.
Wyciek danych osobowych z portalu posiedzenia.pl
Szybko okazało się, że pochłonięty pracą członek zespołu portalu zapomniał, że firma testuje właśnie nowe narzędzie służące do monitorowania i strumieniowania pracy osób wykonujących ją zdalnie. Tak właśnie doszło do nieumyślnego wycieku danych. Dane były też widoczne przez blisko dwa tygodnie. Co można było podejrzeć?
- zawartość służbowych e-maili
- loginy i hasła użytkowników przekazywane przez Gadu-Gadu
- dane klientów – m.in. imiona, nazwiska, adresy e-mail, numery telefonów
- umowy i faktury klientów
- rozmowy wideo z posiedzeń niektórych klientów
- dane dostępowe do zewnętrznych systemów klientów
- rozliczenia podwykonawców serwisu rozliczenia.pl
Jak sami widzicie, wyciek danych osobowych, do którego doszło, był dosyć poważny. Choć firma wideo błyskawicznie usunęła po jego odkryciu i opublikowała już przeprosiny, konsekwencje wciąż mogą być poważne. Dobrze, że wyciek był tylko jednorazowy, gdyż, jak się okazuje, nowy system był testowany już od roku.
