Wyciek danych to sytuacja, która może przytrafić się każdej firmie. Może być ono nieumyślne, ale także może dojść do niego w sposób umyślny, przykładowo poprzez włamanie do systemu i kradzież danych czy też poprzez celowe „wyniesienie” danych przez pracowników. Każdy wyciek danych niesie dla przedsiębiorstwa negatywne konsekwencje, dlatego też ważnym jest podejmowanie przez firmę odpowiednich środków ostrożności.
Co grozi firmie za wyciek danych?
Obowiązkiem każdego podmiotu, który przetwarza dane osobowe, jest zgodnie z art 5 ust. 1 lit f) RODO zapewnienie ich bezpieczeństwa, w tym w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, w tym także przez inne podmioty. Za naruszenie tego obowiązku nałożona może zostać kara administracyjna. Zgodnie z art. 83 ust. 5 RODO – w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Prezes Urzędu Ochrony Danych jeżeli stwierdzi nieprawidłowości ma zatem możliwość nałożenia bardzo wysokiej kary. Wysokość kary powinna uwzględniać dochody przedsiębiorstwa, ale także zakres wycieku danych, jego przyczynę czy podjęte działania. Organ nadzorczy, nakładając karę, powinien dokonać oceny wszystkich istotnych przesłanek związanych z naruszeniem przepisów i stosownie do nich wymierzyć karę, która będzie odpowiednia. Podstawowym celem, jakiemu służyć mają sankcje administracyjne, jest doprowadzenie do zaprzestania naruszania przepisów rozporządzenia i przywrócenia stanu zgodności z prawem.
Konsekwencje wycieku danych
Poza karami administracyjnymi naruszenie przepisów o ochronie danych osobowych może wiązać się z dodatkowymi obowiązkami lub zakazami, np. zakazem czasowego przetwarzania określonych danych osobowych. Co więcej, wskutek wycieku danych dana organizacja może ponieść także koszty związane z zapłatą odszkodowania ofiarom naruszenia.
Równie istotne przy wycieku danych jest naruszenie wizerunku danego przedsiębiorstwa. Budowana przez lata renoma może w wyniku wycieku danych dotkliwie ucierpieć, a w konsekwencji dana firma może mieć problemy z napływem nowych klientów czy też utraci zaufanie w oczach dotychczasowych klientów, co również ma przełożenie na wyniki finansowe danej organizacji. Warto zatem zadbać o właściwe i adekwatne zabezpieczenia i dokonać analizy ryzyka.
Jaka kara grozi za ujawnienie danych osobowych?
W przypadku naruszenia zasad ochrony danych osobowych na przedsiębiorców nakładane są wysokie kary administracyjne. UODO może nałożyć karę w wysokości do 10 lub 20 mln euro, albo do 2% lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Warto także wspomnieć, że osobom których dane dotyczą przysługiwać może zadośćuczynienie w związku z danymi których dotyczył wyciek. Jednostkowa wysokość zasądzonych odszkodowań nie jest wysoka, ale jeżeli mamy do czynienia z dużym wyciekiem, to połączone roszczenia takich osób mogłyby osiągnąć bardzo wysoką kwotę.
Co zrobić gdy doszło do wycieku danych?
Każde przedsiębiorstwo powinno mieć opracowaną strategię działania na wypadek niepożądanego ujawnienia danych osobowych. Strategia ta powinna obejmować wdrożenie odpowiednich procedur, ale także podnoszenie świadomości osób mających na incydent zareagować. W przypadku naruszenia bardzo ważny jest czas reakcji.W pierwszej kolejności konieczne jest ustalenie, jaka jest skala wycieku. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – i (w miarę możliwości) nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu – Prezesowi UODO. Należy pamiętać, że w pewnych sytuacjach administrator powinien o wycieku danych poinformować potencjalnie poszkodowanych.
O ile art. 33 RODO daje możliwość odstąpienia od informowania PUODO o naruszeniu jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, to do przesłanki tej należu podchodzić bardzo ostrożnie. PUODO wielokrotnie już wymierzał karę za nie poinformowanie o naruszeniu ochrony danych, w tym także w sytuacjach w których Administrator powoływał się na przeprowadzoną analizę. Jeżeli dane które wyciekną mogą w jakikolwiek sposób być wykorzystane przeciwko osobie której dotyczą, zasadnym jest poinformowanie Urzędu. WSA w Warszawie zwrócił uwagę, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. Już powstanie samego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, w związku z naruszeniem ochrony danych osobowych, powoduje obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych.
W miarę postępującej digitalizacji i większej świadomości w zakresie ochrony danych należy szczególną uwagę przykładać do przestrzegania przepisów w zakresie danych osobowych. Wysokie kary sprawiają, że każdy podmiot przetwarzający dane osobowe powinien stosować odpowiednie środki bezpieczeństwa, aby minimalizować ryzyko wycieku danych.