Praktyka pokazuje, że najczęściej występującym rodzajem naruszeń ochrony danych osobowych w zakładach ubezpieczeń pozostają te z udziałem pracowników. Oczywiście nie myli się jedynie ten, kto nic nie robi, musimy jednak mieć na względzie, iż zgłoszenie do organu nadzorczego naruszeń tego samego rodzaju stanowi „zaproszenie” do przeprowadzenia u nas kontroli przez prezesa UODO, co zresztą sam organ na jednej z konferencji przyznał.
Najczęstsze rodzaje naruszeń
Nie możemy zapominać, że zabezpieczenia organizacji są tak silne jak jej najsłabsze ogniwo. W omawianym przypadku będzie to człowiek. Najczęściej występującym rodzajem naruszenia ochrony danych osobowych jest przesłanie do klienta danych innego klienta. Tu z reguły ma to miejsce przy procesie likwidacji szkody, przy wysyłce polis, jak i decyzji o przyznaniu odszkodowania.
Niestety w zakładach niekorzystających z technicznych rozwiązań w tym zakresie winny jest pracownik, który często w pośpiechu lub bez zastanowienia wysyła taką korespondencję w formie e-maila. Na liście najczęściej występujących incydentów znajdziemy również zgubiony sprzęt firmowy (telefon, laptop), poprzez który osoba nieupoważniona może dostać się do zasobów firmowych, w tym skrzynki e-mail, w której przechowujemy przecież liczne dane osobowe.
Zarządzanie naruszeniem ochrony danych
W zależności od rodzaju naruszenia koniecznie musimy podjąć działania w celu minimalizacji jego skutków, tzw. działania zaradcze. To, jak ważne jest wdrożenie takich działań, pokazała również decyzja prezesa UODO ws. Morele.net. W nawiązaniu do treści przedmiotowej decyzji administrator danych osobowych nie powinien podejmować jedynie minimalnych środków zaradczych, ale powinien podjąć wszelkie możliwe rozwiązania, w tym dostępne rozwiązania techniczne w celu minimalizacji powstałego już naruszenia i jego skutków. Kroki, jakie powinniśmy po kolei podjąć w sytuacji wystąpienia zdarzenia z „udziałem” danych osobowych, to:
- środki minimalizujące skutki naruszenia (np. odłączenie sieci zewnętrznej od sieci wewnętrznej przy atakach hackerskich, kontakt z osobą, która otrzymała błędne dane, z prośbą o usunięcie otrzymanej korespondencji, zdalne usunięcie danych z zagubionego urządzenia mobilnego itd.);
- natychmiastowe zawiadomienie inspektora ochrony danych;
- przeprowadzenie analizy ryzyka (ma ona na celu m.in. wykazanie istnienia konieczności zgłaszania naruszenia do prezesa UODO);
- zawiadomienie o naruszeniu prezesa UODO oraz osoby dotkniętej naruszeniem (w zależności od wyników analizy ryzyka);
- sporządzenie dokumentacji wewnętrznej naruszenia;
- wprowadzenie środków profilaktycznych mających na celu uniknięcie wystąpienia w przyszłości ponownie konkretnego naruszenia ochrony danych osobowych.
Wprowadzenie działań profilaktycznych
Z każdego naruszenia ochrony danych powinny zostaćwyciągnięte wnioski w postaci działań mających na celu eliminację powtórzenia się sytuacji w przyszłości. Wysoka świadomość pracowników jest tu orężem zakładu ubezpieczeń chroniącym go przed powtórzeniem się naruszenia. Niestety często zdarza się, że organizacje o tym zapominają.
Po każdym incydencie z udziałem pracownika w firmie powinna zostać rozesłana informacja z przypomnieniem najważniejszych zasad ochrony danych osobowych, a osoby biorące udział w naruszeniu powinny zostać ponownie przeszkolone.
Inne przykłady działań zapobiegawczych to: wprowadzenie czujników zalania w archiwum (przy incydencie zalania archiwum), wdrożenie odpowiednich zabezpieczeń na komputerach w celu eliminacji ataków z zewnątrz, odpowiednie zabezpieczenie sprzętu firmowego itd.
Adw. Anna Dmochowska
koordynator zespołu prawnego
ODO24
Anna Dmochowska, adwokat, ekspert ds. ochrony danych osobowych, przeprowadza audyty w zakresie ochrony danych osobowych, prowadzi szkolenia, tworzy wewnętrzne procedury i dokumentację, oraz sporządza opinie prawne. Audytor wiodący ISO 9001 oraz ISO 22301. Zajmuje się bezpieczeństwem informacji w podmiotach prowadzących działalność ubezpieczeniową. Posiada doświadczenie w zakresie bieżącej obsługi korporacyjnej podmiotów gospodarczych oraz przygotowywaniu i negocjowaniu umów. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Współautorka: Unijna reforma ochrony danych osobowych, Ustawa o ochronie danych osobowych komentarz, RODO Nawigator.
ODO 24 sp. z o.o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z dziedziny m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne. odo24.pl/zespol-odo24
