Płace w firmie

» wyszukiwanie zaawansowane
Aby skorzystać
z pełnej wersji serwisu
Jeśli już jesteś naszym czytelnikiem zaloguj się

Tematy tygodnia

RODO: Ochrona danych osobowych

Przypadkowo ujawniłeś dane osobowe w mailu? Sprawdź jak zareagować.

Korzystając z poczty elektronicznej można bardzo łatwo popełnić błąd polegający na ujawnieniu adresów mailowych albo zawartości wiadomości osobom nieupoważnionym. Już bowiem sam adres e-mail może stanowić dane osobowe. Niewątpliwie dochodzi wówczas do naruszenia ochrony danych osobowych. Zobacz, jak postąpić w tej trudnej sytuacji.

Środki ochronne adekwatne do ryzyka naruszenia

Truizmem jest stwierdzenie, iż administrator danych osobowych powinien dbać o skrupulatne sprawdzanie adresatów wiadomości e-mail i przy wysyłce masowej korzystanie z opcji pozwalającej na ukrywanie adresów mailowych odbiorców wiadomości. Nieumiejętne posługiwanie się pocztą elektroniczną może bowiem prowadzić do naruszeń ochrony danych osobowych i grozić poważnymi konsekwencjami prawnymi. Każdy ADO ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu skutecznej ochrony danych osobowych, odpowiedniej w stosunku do ryzyka ich naruszenia. Środki te powinny w szczególności uwzględniać charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także stan wiedzy technicznej i koszty wdrażania. Muszą one być również zgodne z regułą uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz z zasadą domyślnej ochrony danych (privacy by default) – art. 32 RODO.

Z uwagi na powyższe pracownicy administratora danych osobowych biorący udział w procesach przetwarzania danych (w tym również w przesyłaniu korespondencji elektronicznej) powinni być wyposażeni w jednoznaczne procedury z zakresu ochrony danych, w szczególności dotyczące korzystania ze sprzętu komputerowego i poczty elektronicznej.

Przypadkowe ujawnienie danych to naruszenie przepisów

Nawet najlepsze zabezpieczenia nie wykluczą jednak w 100% możliwości popełnienia błędu skutkującego naruszeniem ochrony danych osobowych. Za takie naruszenie jest bowiem uznawane nawet przypadkowe nieuprawnione ujawnienie danych osobowych (art. 4 pkt 12 RODO).

PRZYKŁAD

W przypadku korzystania z poczty elektronicznej dwa najczęściej występujące incydenty związane z naruszeniem ochrony danych to nieprawidłowe zaadresowanie wiadomości e-mail oraz nieukrycie odbiorców wiadomości przy wysyłce masowej. W obu przypadkach może dojść do ujawnienia danych osobowych osobom nieupoważnionym np. zawartych w treści maila  (np. danych kontrahentów), jak również przez fakt ujawnienia adresów e-mail będących danymi osobowymi pozostałym odbiorcom wiadomości.

W razie naruszenia należy je zidentyfikować …

W przypadku naruszenia ochrony danych osobowych poprzez błąd przy wysyłce korespondencji e-mail należy w pierwszej kolejności wyjaśnić wszystkie okoliczności związane z naruszeniem, a także ustalić jakie dane osobowe, w jakim zakresie i komu zostały udostępnione. Incydent powinien zostać ujawniony w wewnętrznym rejestrze naruszeń ochrony danych osobowych, do prowadzenia którego zobligowany jest każdy administrator danych.

… i ocenić ryzyko naruszenia

Następnie administrator danych osobowych powinien dokonać oceny poziomu wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W zależności od wyniku dokonanej oceny,, a mianowicie stwierdzonego określonego poziomu ryzyka naruszenia (niski, średni, wysoki) administrator powinien dobrać kroki prawne przewidziane w RODO w stosunku do organu nadzorczego, jak i osób, których dane dotyczą. Natomiast niezależnie od ustalonego poziomu ryzyka ADO musi podjąć działania zaradcze, których celem powinno być ograniczenie ryzyka wystąpienia podobnych incydentów na przyszłość.

Zgłoszenie nie zawsze konieczne

Jeżeli w wyniku opisanych wyżej działań administrator ustali, że pomimo incydentu ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, wówczas nie musi zgłaszać naruszenia Prezesowi Urzędu Ochrony Danych Osobowych ani informować o tym naruszeniu osób, których dane dotyczą.

PRZYKŁAD

Wiadomość e-mail z nieukrytymi odbiorcami wiadomości trafił do kilku znanych administratorowi danych odbiorców, z którymi pozostaje on w stałych kontaktach. Wiadomość zawierała jedynie adresy mailowe odbiorców (a zatem ich dane podstawowe) i dotyczył np. zdarzenia, zadania, w którym osoby te biorą udział lub razem współpracują.  Jest to wprawdzie naruszenie ochrony danych, ale nacechowane niskim ryzykiem, dlatego nie ma konieczności zgłaszać go do Prezesa UODO ani informować o nim podmiotów danych.

Z kolei w przypadku stwierdzenia średniego ryzyka naruszenia praw i wolności osób fizycznych, administrator powinien zgłosić naruszenie ochrony danych Prezesowi UODO. - nie później niż w terminie 72 godzin zgłosił fakt naruszenia właściwemu organowi nadzorczemu (art. 33 RODO)

Wreszcie w razie stwierdzenia incydentu, który może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, administrator musi nie tylko zawiadomić Prezesa UODO, ale także poinformować podmiot danych o naruszeniu, chyba że podjął działania prewencyjne przed zaistnieniem naruszenia, działania zaradcze po wystąpieniu naruszenia lub zawiadomienie podmiotu danych wymagałoby niewspółmiernie dużego wysiłku (w tym ostatnim przypadku konieczny jest publiczny komunikat o zaistniałym naruszeniu) – art. 34 RODO.

UWAGA!

Zawiadomienie podmiotu danych powinno być wyrażone jasnym i prostym językiem oraz powinno zawierać przynajmniej następujące informacje:

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Autor:

Agnieszka Kręcisz-Sarna

Sprawdź, jak mieć dostęp do wszystkich artykułów na cały 2019 rok!
  • W serwisie:

    Aktualny numer Aktualny numer Archiwum numerów Archiwum numerów Tematyka Tematyka O poradniku O poradniku Regulamin Regulamin Kontakt Kontakt Reklama Reklama Aktualny numer Archiwum numerów Tematyka O poradniku Regulamin Kontakt Reklama
  • Wip:

    www.wip.pl www.wip.pl www.wiedzaipraktyka.pl www.wiedzaipraktyka.pl www.efaktura.wip.pl www.efaktura.wip.pl www.KadryiPlace.wip.pl www.KadryiPlace.wip.pl www.wip.pl www.wiedzaipraktyka.pl www.efaktura.wip.pl www.KadryiPlace.wip.pl
  • Publikacje papierowe komplementarne:

    Serwis ZUS Serwis ZUS Ubezpieczenia społeczne Ubezpieczenia społeczne Zeszyty US Zeszyty US Serwis ZUS Ubezpieczenia społeczne Zeszyty US
  • Portale:

    Portal Kadrowy Portal Kadrowy Portal Oświatowy Portal Oświatowy Portal BHP Portal BHP Portal ZP Portal ZP Portal FK Portal FK Portal ZUS Portal ZUS Portal Spółka z o.o. Portal Spółka z o.o. Portal RB Portal RB Portal Kadrowy Portal Oświatowy Portal BHP Portal ZP Portal FK Portal ZUS Portal Spółka z o.o. Portal RB
Copyright © Płace w firmie

Strona używa plików cookies.

Kliknij tutaj, żeby dowiedzieć się jaki jest cel używania cookies oraz jak zmienić ustawienia cookie w przeglądarce.
Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies, zgodnie z bieżącymi ustawieniami przeglądarki.