Gdy dojdzie do naruszenia ochrony danych kluczowy jest czas reakcji, 14 stycznia 2019 r.

Kiedy i jak zgłosić naruszenie ochrony danych, czy musi on być na formularzu Urzędu Ochrony Danych Osobowych (UODO)  oraz co zrobić, gdy na początku mamy o tym zdarzeniu małą wiedzę – to tylko część zagadnień, które szczegółowo zostały wyjaśnione podczas kolejnego szkolenia dla inspektorów ochrony danych (IOD), zorganizowanego przez Prezes UODO.

Wydarzenie, które odbyło się 14 stycznia 2019 r. w Warszawie było 13. szkoleniem, podczas którego eksperci Urzędu Ochrony Danych Osobowych omawiali tematykę ochrony danych osobowych osobom pełniącym funkcję IOD. Tym razem tematem spotkania było „Zgłaszanie naruszenia ochrony danych osobowych”.

- Kluczowa dla każdego  zgłaszania naruszenia jest ochrona praw i wolności osób, których dane dotyczą. Dlatego niezwykle ważne  jest jak szybki czas reakcji – zaznaczyła dr Edyta Bielak-Jomaa, prezes UODO podczas otwarcia szkolenia. Dodała, że szybkie zgłoszenie naruszenia ma kolosalne znaczenie nie tylko dla tych osób, których ono dotyczy, ale także dla budowania zaufania do działań administratora.

Dr Edyta Bielak-Jomaa podkreśliła rolę, jaką dla zmniejszenia ryzyka naruszenia ochrony danych mają IOD. Do nich należy bowiem m.in. budowanie świadomości nie tylko administratorów, ale i wśród ich pracowników, którzy biorą udział w procesach przetwarzania danych.

Z kolei Monika Adamczyk główny specjalista Zespół Analiz i Strategii UODO zwróciła uwagę, że to ludzie są zarówno najsłabszym, jak i najmocniejszym ogniwem w systemie ochrony danych. Dodała, że bezpieczeństwo danych musi być nieustannie testowane przez administratorów.

Podczas szkolenia szczegółowo omówiono także wszystkie obowiązki, jakie w związku z naruszeniami ochrony danych mają administratorzy.

Michał Mazur, zastępca dyrektora w zespole Współpracy z Administratorami Danych, wskazał też, że nie zawsze istnieje wymóg zgłaszania naruszeń Prezesowi UODO. Nie ma takiego obowiązku, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jako przykład wskazał sytuację, gdy administrator utracił bezpiecznie zaszyfrowany pendrive z danymi, a klucz szyfrowania pozostaje tylko w jego posiadaniu, a ponadto nie jest to jedyna kopia tych danych.

- W takiej sytuacji dane pozostają niedostępne np. dla złodzieja – zaznaczył.

Część szkolenia została poświęcona przybliżeniu IOD doświadczeń Urzędu z zakresu zgłaszania naruszeń. Tomasz Struk, starszy specjalista w zespole Współpracy z Administratorami Danych, omawiając ten temat zwrócił uwagę, że pomocny dla administratorów zgłaszających naruszenia jest formularz przygotowany przez UODO. Zaznaczył, że nie ma obowiązku zgłaszania naruszeń na tym formularzu, ale administratorzy, którzy z niego korzystają popełniają miej błędów.

Tomasz Struk rozwiał również wątpliwości, jakie mają administratorzy, gdy nie mają pełnej wiedzy na temat danego incydentu, a muszą go zgłosić Prezesowi UODO w ciągu 72 godzin od wykrycia zdarzenia.

- W ciągu pierwszych 72 godzin należy przekazać to, co już udało się ustalić. A gdy tylko dowiemy się kolejnych szczegółów związanych z zaistniałym naruszeniem, należy niezwłocznie uzupełnić zgłoszenie o nowe informacje – wyjaśnił Tomasz Struk.

Szkolenie to cieszyło się bardzo dużym zainteresowaniem. Wszystkie osoby zainteresowane tematem będą mogły zapoznać się z nagraniem z tego wydarzenia:

Zapis jest dostępny poniżej: