Dobrze wiemy, że RODO potrafi spędzić sen z powiek przedsiębiorców telekomunikacyjnych. Niedawno minęło 5 lat od kiedy jest ono u nas stosowane. Faktyczna świadomość konieczności zapewnienia ochrony danych przekłada się w sporej mierze na wdrożonych, odpowiednich środkach organizacyjnych i technicznych, mających na celu zminimalizowanie możliwości występowania zagrożeń dla bezpieczeństwa danych osobowych. Czasem zdarzają się jednak „wpadki” i jak wynika z dostępnych w sieci informacji, od samego początku stosowania RODO to wysłanie danych na niewłaściwy adres/do niewłaściwej osoby jest najczęściej spotykanym „wyciekiem”.

Co robić w sytuacji, gdy stwierdzimy, że incydent dotyczący bezpieczeństwa danych osobowych stanowi naruszenie ochrony danych osobowych?

• Przede wszystkim trzeba pamiętać, że działanie należy podjąć szybko – w przypadku przedsiębiorców telekomunikacyjnych mamy 24 godziny od stwierdzenia naruszenia na zgłoszenie go do organu nadzorczego – Urzędu Ochrony Danych Osobowych.
• Zgłoszenie naruszenia powinno nastąpić w zasadzie w każdym przypadku, chyba, że ocenimy, iż skutkowało ono niskim ryzykiem naruszenia praw lub wolności danej osoby.
• Jeżeli w wyniku przeprowadzonej oceny stwierdzimy, że naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, należy te osoby zawiadomić o naruszeniu bez zbędnej zwłoki.
• Kolejny krok to dokładna analiza zdarzenia i wdrożenie środków, które w przyszłości mogą wyeliminować lub zminimalizować występowanie podobnych zdarzeń.

Niedawno u jednego z naszych klientów doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu danych osobowych abonenta (w tym imienia, nazwiska i numeru PESEL) na skutek przesłania przygotowanej dla niego umowy o świadczenie usług telekomunikacyjnych na nieprawidłowy adres e-mail. Abonent został powiadomiony o wystąpieniu incydentu, a naruszenie zostało zgłoszone do UODO wraz z przedstawieniem działań podjętych przez klienta w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. Trzeba dodać, że to nie pierwszy nasz klient, którego incydent taki dotknął. Można by uznać, że sprawa została załatwiona. Nie tak szybko… Okazuje się, że tego typu zgłoszenia nie wpadają do „urzędniczej studni”, a tak mogłoby wynikać z wcześniejszych zgłoszeń, jakich w imieniu klientów dokonywaliśmy. UODO dokonuje jednak ich analizy (przynajmniej jak się okazało, części na pewno), badając choćby prawidłowość zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, oczekując analizy incydentu i jej wyników oraz opisu i wskazania terminu wdrożenia środków bezpieczeństwa mających na celu wyeliminowanie lub zminimalizowanie występowania podobnych zdarzeń. Dokonując zgłoszenia, trzeba pamiętać, że to nie tylko wysłanie „kwitu”, który załatwi sprawę formalnie, trzeba też incydent solidnie „przepracować” i opracować plan naprawczy by sytuacji podobnych uniknąć.

Takich incydentów niestety jest sporo, warto więc im zapobiegać, a „nagrodą” może być laurka wystawiona przez UODO i brak wymierzenia administracyjnej kary pieniężnej.