MP nr 15 - Cyberbezpieczeństwo

Wyciek danych a obowiązek zgłoszenia naruszenia ochrony danych osobowych na gruncie RODO

Jak poinformował znany operator pocztowy („Spółka”) oraz portal zaufanatrzeciastrona.pl, w ubiegłym miesiącu doszło do wycieku danych ze Spółki, który mógł objąć dane osobowe pracowników i współpracowników Spółki, informacje o współpracy Spółki z organami upoważnionymi do pozyskiwania danych, oraz listy użytkowników systemów wraz z ich hasłami. Łącznie w wyniku wycieku mogło dojść do ujawnienia danych osobowych ponad 50 tysięcy osób.

Na gruncie aktualnie stosowanych przepisów o ochronie danych osobowych, wycieki danych nie rodzą po stronie administratorów danych żadnych obowiązków, a sytuacje, w których informują oni o naruszeniach bezpieczeństwa, wynikają zwykle z ich dobrej praktyki bądź z presji medialnej związanej z wyciekiem. Sytuacja ta ulegnie zmianie z momentem rozpoczęcia stosowania Ogólnego Rozporządzenia o Ochronie Danych („RODO”). Od dnia 25 maja 2018 r. w przypadku wycieku obejmującego dane osobowe administrator danych będzie zobowiązany poinformować organ nadzorczy o:

  1. charakterze naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  2. imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczyć inny punkt kontaktowy;
  3. możliwych konsekwencjach naruszenia ochrony danych osobowych;
  4. zastosowanych lub proponowane środkach w celu zaradzenia naruszeniu ochrony danych osobowych.

W przypadku uznania, iż wielkość oraz charakterystyka wycieku danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych będzie zobowiązany do powiadomienia nie tylko organu nadzorczego, ale także osób, których dane dotyczą.

Naruszenie przepisów dotyczących zgłaszania naruszeń ochrony danych na gruncie RODO będzie wiązać się z ryzykiem konieczności zapłaty kary administracyjnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Link do materiału źródłowego: https://zaufanatrzeciastrona.pl/post/powazny-wyciek-informacji-z-firmy-inpost-dane-ponad-50-tysiecy-osob/

Autor publikacji: Paweł Gruszecki (Partner, Szef Praktyki Nowych Technologii i Telekomunikacji), Justyna Zygmunt (Prawnik, Praktyka Nowych Technologii i Telekomunikacji)
Nazwa Kancelarii: Kochański Zięba & Partners sp. k.