Incydent ochrony danych osobowych. Drobna pomyłka – duży problem dla organizacji

W ostatnim czasie dostrzegamy coraz więcej incydentów ochrony danych osobowych wynikających ze zwykłego ludzkiego błędu.

W praktyce taki błąd wydaje się drobny, nic nieznaczący, dlatego bywa bagatelizowany. Pracownicy równie często ukrywają go w obawie przed ewentualnymi konsekwencjami ze strony pracodawcy. Takie podejście może niestety prowadzić do poważnych konsekwencji, nie tylko dla danej osoby, ale też całej organizacji.

W artykule przedstawimy, jak powinny wyglądać działania w przypadku, gdy w firmie wystąpi incydent naruszenia ochrony danych osobowych – na konkretnym przykładzie.

Przykładowy incydent ochrony danych osobowych

Jednym z częstych przykładów spotykanych w praktyce jest np. wysyłka dokumentów i materiałów do różnych adresatów bez użycia ukrytej kopii grzecznościowej (popularne UDW / CC), czy – zwłaszcza o tej porze roku – dokumentów rozliczeniowych (PIT) pracownika na zły adres.

W spółce pracuje dwóch pracowników o tym samym imieniu i nazwisku. Omyłkowo otrzymują oni pocztą PIT-11 drugiej osoby. Nie weryfikują poprawności danych i rozliczają swoją deklarację PIT bazując na dokumencie otrzymanym od pracodawcy.

Mija kilka dni, aż błąd zostaje wychwycony przez jednego z Panów. Zgłasza się on do głównej księgowej spółki. Ta w odpowiedzi przekazuje obu Panom właściwe dokumenty rozliczeniowe. Panowie dokonują korekty swoich deklaracji i wszystko wydaje się być w porządku, więc każda z tych osób uznaje sprawę za zakończoną i nie informuje o niej przełożonych.

Gdzie leży problem?

W przedstawionej sytuacji:

  • doszło do nieuprawnionego ujawnienia danych osobowych, zwłaszcza danych o zarobkach każdego z Panów;
  • incydent nie został niezwłocznie zgłoszony osobie odpowiedzialnej (np. Inspektorowi Ochrony Danych, jeśli został powołany), która miałaby okazję go przeanalizować oraz ustalić, czy istnieje konieczność zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych lub formalnego zawiadomienia podmiotów danych o incydencie;
  • organizacja może nie mieć wdrożonej procedury działania w podobnych sytuacjach lub procedura ta istnieje, ale nie jest powszechnie stosowana i pracownicy nie zostali w tym zakresie odpowiednio przeszkoleni.

Jak działać w podobnych przypadkach?

Przede wszystkim należy się odpowiednio przygotować, aby uniknąć podobnego scenariusza w praktyce. Incydenty ochrony danych osobowych są na tyle powszechne, że dojdzie do nich w większości organizacji – dlatego tak ważny jest odpowiedni action plan.

KROK 1 – ZAPEWNIJ ODPOWIEDNIE PROCEDURY

Warto rozpocząć od ustanowienia jasnych zasad postępowania w sytuacjach, które mogą stanowić naruszenie danych osobowych oraz zapoznania z tymi zasadami pracowników.

Zasady postępowania powinny być opracowane w łatwej do zrozumienia, przejrzystej formie (dobrym pomysłem może być tutaj współpraca z grafikiem czy działem marketingu, który zaproponuje procedurę w przystępnej wizualnie formule) i opublikowane w miejscu dostępnym dla wszystkich (także online).

Dodatkowym wyzwaniem jest również upewnienie się, że pracownicy będą chcieli się w ogóle zapoznać z tymi zasadami i wdrożyć je w praktyce – tutaj również polecamy, aby formuła przekazania pracownikom zasad działania w przypadku wystąpienia naruszenia ochrony danych osobowych była przystosowana do charakteru organizacji (kultury pracy) oraz odbiorcy (pracowników).

Dobrym rozwiązaniem może być przeprowadzenie testu z procedur ochrony danych, np. w postaci zespołowego konkursu, quizu lub nawet dedykowanej gry mobilnej.

KROK 2 – ZWIĘKSZ ŚWIADOMOŚĆ PRACOWNIKÓW

W ramach przygotowania organizacji na naruszenia ochrony danych osobowych, warto wziąć także pod uwagę odpowiednią komunikację z pracownikami. Właściwy komunikat z jednej strony podkreśli wagę ochrony danych osobowych, a z drugiej uświadomi pracownikom, że przemilczenie podobnych sytuacji lub ich bagatelizowanie będzie niekorzystne dla całej organizacji. 

KROK 3 – PRZEANALIZUJ INCYDENT

Jeśli już mamy przygotowaną procedurę, z którą są zaznajomieni pracownicy, wówczas – jeśli doszło do incydentu – nie pozostaje nic innego, jak przeanalizować go wraz z naszym Inspektorem Ochrony Danych.

Tutaj z pomocą przychodzą Wytyczne w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych opublikowane w ostatecznym kształcie przez Europejską Radę Ochrony Danych w 2021 (EROD 1/2021). W praktyce stanowią one „ściągę”, jakie okoliczności brać pod uwagę analizując incydent oraz jakie środki wdrażać. Zgodnie z tym dokumentem, przeprowadzając ocenę ryzyka powinniśmy zidentyfikować:

  • rodzaj naruszenia,
  • charakter naruszenia,
  • rodzaj (dane zwykłe / wrażliwe) i ilość danych osobowych (ilość rekordów) objętych naruszeniem.

Korzystając z naszego przykładu nieprawidłowej wysyłki dokumentów rozliczeniowych, możemy stwierdzić, że:

  1. naruszenie jest wynikiem niezamierzonego błędu ludzkiego i dotyczy poufności danych;
  2. obejmuje pracowników spółki i dotyczy:  imion, nazwisk, daty urodzenia, adresów zamieszkania, danych dotyczących pracodawcy, numerów PESEL, sytuacji majątkowej;
  3. obejmuje dane zwykłe (o szczególnym charakterze / szczególnej wrażliwości);
  4. dodatkowo, z uwagi na zaniedbanie, upłynął termin 72 godzin od stwierdzenia naruszenia na zawiadomienie organu.

Następnie na tej podstawie powinniśmy zweryfikować do jakich skutków może prowadzić naruszenie i czy generuje ono ryzyka dla praw i wolności naszych pracowników.

KROK 4 – DZIAŁAJ PROAKTYWNIE

Po stwierdzeniu wspomnianych okoliczności i skutków naruszenia ochrony danych osobowych, a także wykonaniu oceny ryzyka – przychodzi czas na podjęcie decyzji, czy należy:

  • wyłącznie udokumentować naruszenie, w tym jego skutki oraz podjęte działania zaradcze;
  • powiadomić organ nadzorczy o naruszeniu danych osobowych (chyba, że nasza ocena wykazała, że naruszenie nie będzie powodowało zagrożenia dla praw i wolności osoby fizycznej);
  • poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych (wtedy, gdy istnieje prawdopodobieństwo, że naruszenie danych osobowych spowoduje wysokie ryzyko naruszenia praw i wolności tej osoby).

Powyższa „ściąga” pomaga zachować zimną krew w przypadku wystąpienia incydentu w organizacji oraz pozwala wyznaczyć dalszy plan działania (zgłoszenie incydentu / zawiadomienie podmiotów danych / wdrożenie odpowiednich środków zaradczych) – stąd zachęcamy do jej stosowania.

Należy jednak zawsze pamiętać, że ocena ryzyka i decyzje co do działania, będą wymagały analizy przez pryzmat konkretnych okoliczności towarzyszących naruszeniu. Kluczowe jest, aby w razie wątpliwości, móc zasięgnąć porady specjalisty w tej dziedzinie. Do tego momentu jednak warto zadbać o posiadanie właściwych procedur i zwiększanie świadomości pracowników w zakresie ochrony danych osobowych.

Autor: Przemysław Gruchała