zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

23 marca 2018

RODO: czym jest naruszenie ochrony danych osobowych i jak go uniknąć?


W przypadku naruszenia ochrony danych osobowych przedsiębiorstwo może spodziewać się surowych sankcji. Poniżej prezentujemy przykłady naruszeń, które od 25 maja br. będą skutkować poważnymi problemami administracyjnymi lub pozwami.

Można wyróżnić trzy zasadnicze grupy incydentów w ochronie danych osobowych:

  • umyślne incydenty (np.: kradzież danych i sprzętu, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie danych, włamanie do systemu informatycznego lub pomieszczeń),
  • zdarzenia losowe wewnętrzne (np.: awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków),
  • zdarzenia losowe zewnętrzne (np.: pożar, zalanie wodą, utrata zasilania, utrata łączności).

Nieprawidłowe zaadresowanie korespondencji elektronicznej

Skrzynki poczty elektronicznej są wyposażone w możliwość zapisywania w pamięci podręcznej używanych adresów w celu ich podpowiadania przy okazji wysyłki kolejnego e-maila. To bardzo przydatna funkcja. Niestety – zdarza się, że staje się ona przyczyną powstania incydentu w ochronie danych osobowych. Jak? Podczas przygotowywania korespondencji do wysyłki, użytkownik korzystając z ww. funkcji, wpisując pierwsze litery adresu, nie weryfikuje poprawności wyboru. W efekcie – korespondencja może trafić do nieuprawnionego odbiorcy.

Nieukrywanie adresów mailowych przy wysyłce masowej

Realizując masową wysyłkę korespondencji elektronicznej do wielu adresatów, należy pamiętać, by skorzystać z dostępnej funkcji ukrywania poszczególnych odbiorców (poza głównym). W przeciwnym razie może dojść do masowego upublicznienia danych osobowych odbiorców korespondencji, bez ich zgody.

Utrata nośników danych

Każde z używanych przez nas urządzeń przenośnych: smartfon, laptop, pamięć mobilna USB, przenośny dysk pamięci, smartwatch lub też… zwykła kartka z CV, albo teczki z papierowymi dokumentami to nośnik danych osobowych. Ich kradzież czy zagubienia należy zakwalifikować jako incydent w ochronie danych osobowych.

Warto pamiętać, że w smartfonie czy smartwatchu są również nasze własne dane osobowe, a coraz częściej – dane „wrażliwe”, określane w RODO jako „szczególne kategorie danych osobowych”. To takie dane, które ujawniają specyficzne, prywatne informacje o nas, informacje, którymi nie dzielimy się z przypadkowymi ludźmi. Należą do nich m.in.: nasze pochodzenie rasowe i etniczne, przekonania religijne czy światopoglądowe, przynależność do związków zawodowych czy partii, poglądy polityczne, stan zdrowia, kod genetyczny, dane biometryczne czy te o naszej seksualności lub orientacji seksualnej.

Nieprawidłowe usunięcie danych

Bardzo często w firmach niszczymy dokumenty w wersji papierowej poprzez ich przedarcie i wyrzucenie do kosza na śmieci znajdującego się pod biurkiem. Przypomina się w tym miejscu scena z niejednego filmu sensacyjnego, w której chcący odzyskać cenne informacje skleja jak puzzle kolejne fragmenty „zniszczonego” dokumentu. Oczywiście – gdy dokument poddamy działaniu niszczarki – szanse na jego odzyskanie znacznie maleją.

W przypadku usuwania danych z nośników elektronicznych nie wystarczy tylko ich skasowanie w aplikacji. Dla pełnego, nieodwracalnego usunięcia danych najlepiej skorzystać z przewidzianych do tego aplikacji specjalistycznych.

Czy w przypadku uchybień dotyczących przetwarzania danych osobowych odpowiedzialność ponosi firma czy pracownik, który np. nie dopełnił swoich obowiązków?

Wdrożenie zasad wynikających z RODO ciąży na podmiotach dokonujących przetwarzania danych. Wbrew obiegowej opinii należy przy tym wskazać, że zgodnie z regulacjami zawartymi w RODO inspektor ochrony danych (IOD; o ile w ogóle zostanie powołany, bo przecież nie każde przedsiębiorstwo musi korzystać z jego pomocy), pełni funkcję doradczą i kontrolną. Art. 39 RODO wskazuje, że do zadań inspektora należy informowanie administratora o obowiązkach wynikających z rozporządzenia, monitorowanie przestrzegania jego postanowień, prowadzenie szkoleń czy wydawanie zaleceń co do oceny skutków przetwarzania danych, a także współpraca z organem nadzorczym.

Kto zatem jest odpowiedzialny w firmie za wdrożenie zasad wynikających z RODO? Zarząd lub poszczególni członkowie zarządu spółki. Konsekwencją tego stwierdzenia jest również to, że za naruszenia w zakresie ochrony danych osobowych odpowiedzialność mogą ponosić również zarządy. Dlatego właśnie tak ważne jest odpowiednie przygotowanie firmy do stosowania zasad przyjętych w RODO, co nie tylko wpłynie na ograniczenie ryzyka i skutków wystąpienia incydentów związanych z przetwarzaniem danych osobowych, lecz także zminimalizuje prawdopodobieństwo nałożenia kar pieniężnych.

Dużym wyzwaniem dla zarządów i kierownictwa firm może być kwestia administracyjnej kary pieniężnej za naruszenie obowiązków ochrony danych osobowych. Mimo iż sama kara zostanie nałożona na spółkę dopuszczającą się naruszenia, to odpowiedzialność za jej zapłatę może ponieść również jej zarząd.

Na co dzień zwraca się uwagę przede wszystkim na przepisy regulujące odpowiedzialność członków zarządu spółek wobec osób trzecich. Należy jednak pamiętać o tym, że aktualnie obowiązujące przepisy dopuszczają także odpowiedzialność członków zarządu wobec samych spółek, w których ci pełnią funkcje. Stosunkowo łatwo spełnić przesłanki odpowiedzialności wobec spółki.

Kodeks spółek handlowych w art. 293 i art. 483 przewiduje odpowiedzialność członków zarządu za szkodę wyrządzoną spółce. Przesłankami odpowiedzialności jest powstanie szkody po stronie spółki, związek przyczynowy pomiędzy działaniem lub zaniechaniem członka zarządu oraz wina.

Delegowanie obowiązków w zakresie ochrony danych osobowych na pracowników nie zwolni członka zarządu z ponoszenia odpowiedzialności za szkodę wyrządzoną wobec spółki. Za funkcjonowanie spółki zgodnie z zasadami prawa odpowiada bowiem zarząd.