Okres przedświąteczny to w wielu organizacjach czas wzmożonej pracy. Dodatkowo większość organizacji praktykuje składanie życzeń świąteczno-noworocznych swoim klientom, poprzez wysyłanie kartek świątecznych w formie papierowej i elektronicznej. Dlatego w okresie przedświątecznym tym bardziej może dojść do naruszeń ochrony danych osobowych.
CZYM JEST NARUSZENIE OCHRONY DANYCH OSOBOWYCH?
Zgodnie z definicją zawartą w art. 4 pkt 12 RODO przez „naruszenie ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Administrator po powzięciu informacji o potencjalnym naruszeniu bez zbędnej zwłoki (w miarę możliwości, nie później niż w ciągu 72 godzin po wykryciu naruszenia) zgłasza je organowi nadzorczemu. Obowiązek notyfikacji do organu nadzorczego nie obowiązuje w przypadku, gdy jest mało prawdopodobne by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
PRZYKŁADY POTENCJALNYCH NARUSZEŃ
Często zdarza się, że osoba która popełniła błąd, np. przy błędnej wysyłce korespondencji, ma problem z rozpoznaniem, czy konkretny incydent stanowi naruszenie ochrony danych osobowych w świetle przepisów RODO. Powodem może być trywialności przesyłanej korespondencji, która w treści nie zawiera żadnych informacji wymagających ochrony. Mimo to każdy incydent należy przeanalizować, czy nie jest naruszeniem ochrony danych osobowych. Poniżej zamieszczono przykłady naruszeń, które występują najczęściej:
- Wysłanie wiadomości e-mail do błędnego adresata. Jest to najczęstsze naruszenie ochrony danych osobowych. Jego powodem może być m.in. niezwrócenie uwagi na błędną podpowiedź adresu e-mail zasugerowaną przez aplikację do obsługi poczty elektronicznej. Nawet jeśli przesyłany w korespondencji załącznik został zabezpieczonych hasłem, sama treść lub dołączona historia korespondencji może zawierać dane osobowe, które nie powinny zostać ujawnione osobom nieuprawnionym. Aby uniknąć tego typu naruszenia należy każdorazowo dokładnie sprawdzić wprowadzony adres e-mail.
- Wysłanie wiadomości e-mail do większej ilości osób bez użycia funkcji UDW. Jest to równie często spotykane naruszenie ochrony danych osobowych. Może do niego dojść m.in. przy wysyłaniu newsletteru, ofert handlowych lub zaproszeń na wydarzenia online. Do tego typu naruszeń dochodzi w sytuacji, gdy nadawca zamiast z opcji „UDW” („BCC”) skorzysta z „DW” („CC”) lub wszystkie adresy mailowe umieści w polu odbiorcy. W konsekwencji dochodzi do wzajemnego ujawnienia adresów mailowych wszystkich adresatów. Aby uniknąć tego typu zdarzeń należy zachować szczególną rozwagę oraz koncentrację podczas wysyłania masowych wiadomości mailowych do osób, które nie znają nawzajem swoich adresów.
- Zagubienie nośnika informacji (np. typu pendrive). Aktualnie większość organizacji zarządza dokumentacją w postaci elektronicznej. W przypadku konieczności przekazania lub zeskanowania większej liczby dokumentów często korzysta się z mobilnego nośnika danych. Niestety nośnik taki może zostać zagubiony lub skradziony. W przypadku, gdy go szybko nie odnajdziemy lub zostanie znaleziony w miejscu, do którego miały dostęp osoby nieuprawnione, należy podejrzewać, że doszło do naruszenia.
- Ataki cyberprzestępców, w wyniku których dochodzi do wycieku danych lub ujawnienie danych na stronie internetowej. Z każdym rokiem rośnie liczba ataków cyberprzestępców. Najczęściej pierwszymi ofiarami tego typu ataków są pracownicy, na których skrzynki mailowe trafiają wiadomości zawierające zainfekowany załącznik lub odnośniki do niebezpiecznych stron www. Po otworzeniu załącznika lub podaniu danych na spreparowanej witrynie cyberprzestępcy mogą uzyskać dostęp do zasobów organizacji lub je zaszyfrować. Aby uniknąć tego typu ataków należy zachować czujność i zgłaszać wszelkie podejrzane wiadomości mailowe. Również przypadkowa publikacja danych osobowych na własnej stronie internetowej powinna być traktowana jako ujawnienie danych, nawet jeśli nie ma pewności czy ktoś nieuprawniony zdążył się z nimi zapoznać.
UWAGA!
Zawsze w przypadku choćby podejrzenia zaistnienia naruszenia ochrony danych osobowych, a zwłaszcza w sytuacjach opisanych powyżej, należy niezwłocznie (najlepiej telefonicznie) skontaktować się IOD oraz poinformować przełożonego. Po dokonaniu analizy zdarzenia zostaną zaproponowane działania, które należy podjąć zgodnie z przepisami prawa oraz aby zmniejszyć ryzyko naruszenia praw i wolności osób, które dane dotyczą, a także by przeciwdziałać podobnym incydentom w przyszłości.