{"id":572,"date":"2021-01-04T11:43:09","date_gmt":"2021-01-04T11:43:09","guid":{"rendered":"https:\/\/sawaryn.com\/?p=572"},"modified":"2022-12-07T12:36:29","modified_gmt":"2022-12-07T12:36:29","slug":"zgloszenie-naruszenia-rodo-wyciek-danych-osobowych","status":"publish","type":"post","link":"https:\/\/sawaryn.com\/en\/publikacje\/zgloszenie-naruszenia-rodo-wyciek-danych-osobowych\/","title":{"rendered":"Zg\u0142oszenie naruszenia RODO \u2013 wyciek danych osobowych"},"content":{"rendered":"<p>Wyciek danych osobowych lub inne naruszenie RODO to koszmar dla ka\u017cdego przedsi\u0119biorcy. Niestety takie sytuacje si\u0119 zdarzaj\u0105 i niezwykle ci\u0119\u017cko im zaradzi\u0107. Czasami dziej\u0105 si\u0119 przez przypadek, a czasem mo\u017cna pa\u015b\u0107 ofiar\u0105 celowego ataku cyberprzest\u0119pc\u00f3w.<br \/><\/br><\/p>\n<p>Jak si\u0119 zachowa\u0107 je\u017celi masz podejrzenie, \u017ce dane osobowe przetwarzane w Twojej firmie wyciek\u0142y do Internetu?<\/p>\n<h2>Analiza naruszenia danych<\/h2>\n<p>Po pierwsze, dok\u0142adnie zbadaj czy na pewno dosz\u0142o do incydentu RODO, a wi\u0119c naruszenia danych osobowych. Przyda si\u0119 na pewno pomoc programist\u00f3w lub informatyk\u00f3w, kt\u00f3rzy pomog\u0105 oceni\u0107, na czym dok\u0142adnie polega\u0142 incydent. Koniecznie trzeba te\u017c oceni\u0107 skutki, jakie naruszenie mog\u0142o spowodowa\u0107 \u2013 nale\u017cy zrobi\u0107 to z perspektywy osoby, kt\u00f3rej dane wyciek\u0142y.<br \/><\/br><\/p>\n<p>Finalnie trzeba zastosowa\u0107 \u015brodki zaradcze, tak \u017ceby zminimalizowa\u0107 skutki naruszenia.<br \/><\/br><\/p>\n<p>Po dokonaniu takiej analizy mo\u017cemy podsumowa\u0107, jakie s\u0105 zagro\u017cenia zwi\u0105zane z wyciekiem danych oraz jakie jest ryzyko naruszenia praw lub wolno\u015bci osoby, kt\u00f3rej dane wyciek\u0142y.<br \/><\/br><\/p>\n<p>Dopiero maj\u0105c wyniki takiej analizy, mo\u017cna trafnie oceni\u0107, co nale\u017cy robi\u0107 dalej:<\/p>\n<ol>\n<li>Czy zawiadomi\u0107 UODO oraz u\u017cytkownik\u00f3w?<\/li>\n<li>A mo\u017ce zawiadomi\u0107 tylko UODO?<\/li>\n<li>A mo\u017ce w og\u00f3le nikogo nie zawiadamia\u0107?<\/li>\n<\/ol>\n<p><\/br><\/p>\n<p><iframe loading=\"lazy\" src=\"https:\/\/www.youtube.com\/embed\/DVnAn_ZN3tU\" width=\"100%\" height=\"360\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\" data-mce-fragment=\"1\"><\/iframe><\/p>\n<p><\/br><\/p>\n<h2>Gdzie zg\u0142osi\u0107 naruszenie RODO?<\/h2>\n<p>Ka\u017cda firma chcia\u0142aby unikn\u0105\u0107 informowania u\u017cytkownik\u00f3w o naruszeniu ich danych osobowych. Wiadomo, \u017ce to potrafi zostawi\u0107 rys\u0119 na wizerunku czy opinii firmy. Dobra informacja jest taka, \u017ce nie zawsze trzeba pisa\u0107 do u\u017cytkownik\u00f3w i dawa\u0107 im zna\u0107, \u017ce ich dane osobowe zosta\u0142y naruszone.<br \/><\/br><\/p>\n<p>Poni\u017cej analizuj\u0119 i rozpisuj\u0119 ka\u017cd\u0105 z mo\u017cliwo\u015bci:<\/p>\n<ol>\n<li>Gdzie zg\u0142osi\u0107 naruszenie RODO,<\/li>\n<li>Jak zg\u0142osi\u0107 naruszenie RODO,<\/li>\n<li>Kiedy zg\u0142osi\u0107 naruszenie RODO.<\/li>\n<\/ol>\n<h2>Opcja I: Zg\u0142oszenie naruszenie RODO do UODO bez zawiadamiania u\u017cytkownik\u00f3w<\/h2>\n<p>Zawiadomienie u\u017cytkownik\u00f3w o naruszeniu ich danych osobowych jest konieczne, je\u015bli zachodzi wysokie ryzyko naruszenia praw lub wolno\u015bci os\u00f3b fizycznych. Od zawiadomienia u\u017cytkownik\u00f3w mo\u017cna odst\u0105pi\u0107 mi\u0119dzy innymi, je\u015bli brak jest takiego wysokiego ryzyka naruszenia praw lub wolno\u015bci os\u00f3b fizycznych. Jak wida\u0107, przes\u0142anka ta jest scharakteryzowana bardzo og\u00f3lnie i trzeba uwzgl\u0119dni\u0107 wszystkie za i przeciw.<br \/><\/br><\/p>\n<p>Na ocen\u0119 braku wysokiego ryzyka mog\u0142oby wp\u0142ywa\u0107 np. nast\u0119puj\u0105ce okoliczno\u015bci:<\/p>\n<ol>\n<li>Dane by\u0142y zabezpieczone kryptograficznie w taki spos\u00f3b, \u017ce w przypadku w\u0142amania do bazy dane nie zostan\u0105 ujawnione (z\u0142amane),<\/li>\n<li>Brak jest \u015blad\u00f3w w\u0142amania i ustalenia prowadz\u0105 do wniosku, \u017ce do wycieku w og\u00f3le nie dosz\u0142o (pomimo np. fa\u0142szywych twierdze\u0144 innych podmiot\u00f3w, \u017ce do wycieku dosz\u0142o),<\/li>\n<li>Zakres danych \u2013 tutaj zale\u017cnie od tego, jakie dane s\u0105 przechowywane, wy\u017csze ryzyko zaistnieje zazwyczaj w przypadku przechowywania np. PESEL, danych do p\u0142atno\u015bci itd. ni\u017c samego nicka czy loginu.<\/li>\n<\/ol>\n<p>Je\u017celi uznasz, \u017ce ryzyko naruszenia praw lub wolno\u015bci jest niskie, mo\u017cna w tym wypadku ograniczy\u0107 si\u0119 tylko do zg\u0142oszenia faktu zaistnienia naruszenia do UODO z odst\u0105pieniem od zawiadomienia u\u017cytkownik\u00f3w.<br \/><\/br><\/p>\n<p>W samym zawiadomieniu nale\u017ca\u0142oby te\u017c opisa\u0107 ca\u0142\u0105 sytuacj\u0119, wskaza\u0107, dlaczego uwa\u017casz, \u017ce nie dosz\u0142o do naruszenia praw i wolno\u015bci (bo np. brak jest dowod\u00f3w, \u017ce dosz\u0142o do wycieku danych).<br \/><\/br><\/p>\n<p>W tej opcji jednak:<\/p>\n<ol>\n<li>Istnieje mo\u017cliwo\u015b\u0107 wszcz\u0119cia kontroli przez UODO \u2013 trzeba wi\u0119c upewni\u0107 si\u0119, \u017ce RODO jest w\u0142a\u015bciwie wdro\u017cone i przestrzegane, jest pe\u0142na dokumentacja, itd.<\/li>\n<li>Trzeba si\u0119 liczy\u0107 z faktem, \u017ce UODO mo\u017ce odmiennie oceni\u0107 t\u0119\u00a0sytuacj\u0119\u00a0i nakaza\u0107 powiadomienie u\u017cytkownik\u00f3w.<\/li>\n<\/ol>\n<h2>Opcja II: Powiadomienie UODO oraz u\u017cytkownik\u00f3w<\/h2>\n<p>Je\u017celi masz pewno\u015b\u0107, \u017ce dosz\u0142o do naruszenia przetwarzania danych i \u017ce mo\u017ce ono skutkowa\u0107 wysokim naruszeniem praw lub wolno\u015bci os\u00f3b fizycznych to pozostaje Ci zg\u0142oszenie incydentu RODO zar\u00f3wno do Urz\u0119du Ochrony Danych Osobowych jak i u\u017cytkownik\u00f3w.<br \/><\/br><\/p>\n<p>W samym opisie zdarzenia oraz powiadomieniu u\u017cytkownik\u00f3w trzeba wskaza\u0107 dok\u0142adny opis zaistnia\u0142ej sytuacji. Je\u017celi z ustale\u0144 wynika, \u017ce nie dosz\u0142o do naruszenia, ale obawiasz si\u0119 ryzyka braku zawiadomienia o nim - mo\u017cna w opisie wskaza\u0107 oczywi\u015bcie, \u017ce pojawi\u0142a si\u0119 informacja o potencjalnym wycieku, ale z ustale\u0144 np. firmy czy specjalist\u00f3w wynika, \u017ce nie dosz\u0142o do odszyfrowania \/ wykorzystania danych, a samo zg\u0142oszenie robisz z uwagi na dobr\u0105 praktyk\u0119 i dba\u0142o\u015b\u0107 o interesy swoich u\u017cytkownik\u00f3w.<br \/><\/br><\/p>\n<p>Jak wspomnia\u0142em wy\u017cej, zawiadomienia u\u017cytkownik\u00f3w mo\u017cna zaniecha\u0107 m.in. w sytuacji, je\u015bli jest ma\u0142o prawdopodobne, by naruszenie to skutkowa\u0142o ryzykiem naruszenia ich praw lub wolno\u015bci. Natomiast w przypadku wyciek\u00f3w danych, takie naruszenie zazwyczaj oznacza wysokie ryzyko naruszenia praw tych os\u00f3b.<br \/><\/br><\/p>\n<p>Oczywi\u015bcie zawiadomienie UODO i u\u017cytkownik\u00f3w to opcja, kt\u00f3ra ma wyra\u017ane minusy:<\/p>\n<ol>\n<li>PR-owo dla dzia\u0142alno\u015bci danej firmy, wszelkie incydenty zwi\u0105zane z naruszeniem bezpiecze\u0144stwa s\u0105 \u017ale widziane, szczeg\u00f3lnie je\u017celi lwia cz\u0119\u015b\u0107 Twojego biznesu to przetwarzanie danych osobowych (np. e-commerce),<\/li>\n<li>Istnieje mo\u017cliwo\u015b\u0107 wszcz\u0119cia kontroli przez UODO \u2013 trzeba wi\u0119c upewni\u0107 si\u0119, \u017ce RODO jest w\u0142a\u015bciwie wdro\u017cone i przestrzegane, jest pe\u0142na dokumentacja, itd.<\/li>\n<\/ol>\n<p><\/br><\/p>\n<div class=\"contact-us\"><\/div>\n<h2>Opcja III: Brak zawiadomienia UODO oraz u\u017cytkownik\u00f3w<\/h2>\n<p>Zgodnie z art. 33 ust. 1 RODO, je\u017celi jest <strong>ma\u0142o prawdopodobne<\/strong>, by naruszenie skutkowa\u0142o ryzykiem <strong>naruszenia praw i wolno\u015bci osoby fizycznej<\/strong>, nie ma podstawy, by zg\u0142asza\u0107 to naruszenie zar\u00f3wno do UODO, jak i do os\u00f3b fizycznych, kt\u00f3rych te dane dotycz\u0105.  W tym przypadku nie ma w\u0105tpliwo\u015bci, \u017ce dosz\u0142o do naruszenia ochrony danych osobowych \u201eincydentu\u201d, natomiast nie ma konieczno\u015bci zg\u0142aszania takiego naruszenia ani do UDODO, ani do u\u017cytkownik\u00f3w. <\/p>\n<h2>Kara za naruszenie RODO<\/h2>\n<p>Kara za brak zg\u0142oszenia naruszenia danych osobowych i \/ lub brak poinformowania u\u017cytkownik\u00f3w o takim naruszeniu mo\u017ce wynosi\u0107 do 10 milion\u00f3w euro, lub 2% rocznego obrotu przedsi\u0119biorstwa.<br \/><\/br><\/p>\n<p>Nie jest to tylko teoria \u2013 w 2020 r. Morele.net zosta\u0142o ukarane kar\u0105 2,8 mln z\u0142. Kara zosta\u0142a wymierzona za wyciek ponad 2 mln danych osobowych. Case Morele.net to \u015bwietny przyk\u0142ad do analizy \u2013 kara nie zosta\u0142a wymierzona za sam wyciek danych. W toku kontroli okaza\u0142o si\u0119 te\u017c, \u017ce Morele.net nie dope\u0142ni\u0142o obowi\u0105zk\u00f3w informacyjnych, za p\u00f3\u017ano podj\u0119\u0142o czynno\u015bci zaradcze i minimalizuj\u0105ce skutki wycieku. Warto uczy\u0107 si\u0119 na takich przypadkach, \u017ceby nie pope\u0142ni\u0107 podobnych b\u0142\u0119d\u00f3w.<br \/><\/br><\/p>\n<p>Z samego punktu widzenia ochrony danych osobowych, je\u017celi istnieje ryzyko, \u017ce dosz\u0142o do wycieku danych warto przyj\u0105\u0107 najgorszy scenariusz i od razu podj\u0105\u0107 \u015brodki polegaj\u0105ce przynajmniej na zawiadomieniu UODO.<br \/><\/br><\/p>\n<p>Je\u017celi w Twojej firmie mog\u0142o doj\u015b\u0107 do wycieku danych, upewnij si\u0119 tak\u017ce, \u017ce przy pomocy odpowiednich specjalist\u00f3w (informatycy, programi\u015bci) zabezpieczy\u0142e\u015b\/\u0142a\u015b wszystkie dowody, \u015blady oraz zrobi\u0142e\u015b\/\u0142a\u015b wszystko, co mo\u017cliwe, by zminimalizowa\u0107 skutki.<br \/><\/br><\/p>\n<p>A je\u017celi potrzebujesz w takim przypadku pomocy prawnika \u2013 zapraszam do kontaktu.<\/p>","protected":false},"excerpt":{"rendered":"<p>Wyciek danych osobowych lub inne naruszenie RODO to koszmar dla ka\u017cdego przedsi\u0119biorcy. Niestety takie sytuacje si\u0119 zdarzaj\u0105 i niezwykle ci\u0119\u017cko im zaradzi\u0107. Czasami dziej\u0105 si\u0119 przez przypadek, a czasem mo\u017cna pa\u015b\u0107 ofiar\u0105 celowego ataku cyberprzest\u0119pc\u00f3w. Jak si\u0119 zachowa\u0107 je\u017celi masz podejrzenie, \u017ce dane osobowe przetwarzane w Twojej firmie wyciek\u0142y do Internetu? Analiza naruszenia danych Po [&hellip;]<\/p>","protected":false},"author":4,"featured_media":573,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[47],"tags":[218,198,196,217,219],"language":[],"ppma_author":[72],"class_list":["post-572","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-rodo","tag-naruszenie-danych","tag-ochrona-danych-osobowych","tag-rodo","tag-wyciek","tag-wyciek-danych"],"acf":[],"jetpack_featured_media_url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/11\/SiP_post_RODO_29_06.jpg","authors":[{"term_id":72,"user_id":4,"is_guest":0,"slug":"mateuszs","display_name":"Mateusz Sawaryn","avatar_url":{"url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/08\/Mateusz-Sawaryn-foto-4.png","url2x":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/08\/Mateusz-Sawaryn-foto-4.png"},"user_url":"https:\/\/www.linkedin.com\/in\/mateuszsawaryn\/","last_name":"Sawaryn","first_name":"Mateusz","description":""}],"_links":{"self":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/572","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/comments?post=572"}],"version-history":[{"count":5,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/572\/revisions"}],"predecessor-version":[{"id":1007,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/572\/revisions\/1007"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/media\/573"}],"wp:attachment":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/media?parent=572"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/categories?post=572"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/tags?post=572"},{"taxonomy":"language","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/language?post=572"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/ppma_author?post=572"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}