Wyciek danych osobowych w firmie, czyli jak działać w sytuacji zagrożenia [PORADNIK]

&lt![CDATA[

RODO nałożyło na przedsiębiorców szereg nowych obowiązków, w tym także w obszarze informowania o sytuacjach, które pociągają za sobą nieprawidłowości w obszarze danych osobowych. To może być zagubienie dokumentu, zmasowany atak hakerski, a nawet mail wysłany do niewłaściwego odbiorcy. Każde tego typu zdarzenie może nieść za sobą negatywne skutki, dlatego warto podjąć się weryfikacji każdego z nich.

Na początku powinniśmy zastanowić się, czy nasze zdarzenie jest incydentem z kategorii danych osobowych. Inaczej mówiąc, należy zadać sobie pytanie, czy jesteśmy w stanie odnaleźć jakiekolwiek powiązania pomiędzy tymi zagadnieniami. Trzeba to wyraźnie zaznaczyć, że nie każde zdarzenie powinno od razu być przez nas analizowane pod kątem naruszenia RODO. Przykładem może być nieprzyjemna rozmowa sprzedawcy przeprowadzona z klientem. Takie zachowanie zawsze zostanie ocenione jako naganne, ale co do zasady nie będzie stanowić incydentu z zakresu ochrony danych. Są także mniej oczywiste sytuacje, w których trzeba tę kwestię szczegółowo zbadać. Dlatego tak ważnym jest, by już samym początku dokładnie ustalić, w których obszarach naszej pracy dochodzi do przetwarzania danych.

Zakładając, że nasze zdarzenie mieści się w kategorii incydentu RODO, na dalszych etapach naszych działań konieczna staje się jego ocena w kontekście skutków, które już nastąpiły lub które mogą nastąpić w przyszłości. Takiej analizy dokonuje się z punktu widzenia osoby, której dane wyciekły. Powinniśmy bardzo skrupulatnie odtworzyć historię całego zdarzenia, zastanowić się nad przyczyną jego powstania, a co najważniejsze zastosować właściwe środki zaradcze.

W ramach tych działań trzeba przede wszystkim ustalić wszelkie możliwe zagrożenia związane z incydentem. Ostatecznie trzeba podsumować, które z nich oraz w jakim stopniu powodują ryzyko naruszenia praw lub wolności osoby, której dane przetwarzamy. Dopiero po tak przeprowadzonej analizie powinniśmy przejść do formalności.

To bardzo ważne, bo wielu przedsiębiorców o tym zapomina. W wielu miejscach spotykamy się z odwrotną kolejnością, a zatem bezpośrednio po zdarzeniu zostaje przygotowany odpowiedni formularz do urzędu. Niekiedy niemal z automatu zostaje także zawiadomiona osoba, której dane wyciekły. I to wszystko dzieje się bez odpowiednio przeprowadzonej analizy. Często dzieje się też tak, że dopiero po poinformowaniu klienta dociera do nas, że przecież nie doszło do żadnego naruszenia. I w ten oto sposób nasze gwałtowne działania, podejmowane bez odpowiednio przygotowanego planu mogą nam nie pomóc, a zaszkodzić.

W stosunku do tych zdarzeń, które powodują ryzyko naruszenia praw lub wolności osób fizycznych, RODO narzuca podjęcie ściśle określonych działań. W znakomitej części przypadków zdarzenie to trzeba zgłosić do UODO. I tu mała ciekawostka. Od tego obowiązku możemy odstąpić w sytuacji, gdy istnieje małe prawdopodobieństwo, aby zdarzenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W praktyce chętniej zalecam jednak swoim klientom, by zawiadamiali urząd o incydencie. Zdarzają się też oczywiście takie sytuacje, w ramach których faktycznie ryzyko to należy ocenić na niskie. Co istotne, ten jego ocena jest najczęściej zależna od uprzednio zastosowanych przez przedsiębiorcę środków bezpieczeństwa. Koronnym przykładem jest sytuacja, w ramach której pracownik omyłkowo przekazuje wiadomość mailową do niewłaściwego odbiorcy. Niski stopień ryzyka wystąpi wtedy, gdy nasz pracownik umieścił dane w pliku z hasłem, a to z kolei przekazał tylko i wyłącznie właściwemu odbiorcy. W tej sytuacji szanse na niewłaściwe wykorzystanie danych jest naprawdę niewielkie.

Zawiadamiamy organ o naruszeniu za pośrednictwem formularza dostępnego w wersji elektronicznej lub papierowej. Szablon formularza jest dostępny na stronie Urzędu Ochrony Danych Osobowych. Powinniśmy uczynić to maksymalnie 72 godziny od momentu stwierdzenia naruszenia. W przeciwnym razie należy wyjaśnić powód swojego opóźnienia w zgłoszeniu.

Przygotowanie odpowiedniego planu działań po wystąpieniu incydentu jest niemożliwe bez skrupulatnej analizy skutków zdarzenia dla osoby, której dane wyciekły. Jeśli zdarzenie może za sobą pociągać wysokie ryzyko naruszenia praw lub wolności tej osoby, przedsiębiorca co do zasady ma obowiązek zawiadomić ją o takim zdarzeniu. W ramach przedmiotowej informacji powinien on zalecić zastosowanie we własnym zakresie odpowiednich środków, które pozwolą zminimalizować ewentualne skutki naruszenia. W przypadku wycieku danych należy skupić się na takich środkach, które w najwyższym możliwym stopniu będą służyć interesowi właściciela danych, w szczególności pozwolą na zabezpieczenie go przed tzw. kradzieżą tożsamości. W tym celu taka osoba powinna jak najszybciej podjąć takie kroki jak założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej. Warto zalecić także zachowanie szczególnej ostrożności, a także szybkie reagowanie na każde zdarzenia, które mogłyby choćby w niewielkim stopniu świadczyć o wykorzystaniu danych przez cudzą osobę. Wybór tych środków jest oczywiście zależny od tego, które dane są przedmiotem wycieku oraz w jakich okolicznościach do niego doszło. W niektórych sytuacjach zalecane jest także zawiadomienie odpowiednich organów ścigania.

Podsumowując, po wycieku danych skupmy się na odpowiedniej reakcji. Powinny nam w tym pomóc dobrze przygotowany action plan, skrupulatna analiza oraz podejmowanie działań w odpowiedniej kolejności. Przyda się także ocena dokonana przez fachowca.

Adrian Gajzler, prawnik w firmie konsultingowej RODO-Advisor

]]
Więcej informacji

Prawo budowlane w Polsce

Prawo budowlane – najważniejsza polska ustawa z zakresu projektowania, budowy, nadzoru, utrzymania i rozbiórki obiektów budowlanych oraz zasad działania organów administracji publicznej w tym zakresie.

Ustawa reguluje także sprawy związane z:

  • ochroną środowiska podczas działań związanych z wykonywaniem rozbiórek, wznoszenia nowych obiektów i ich utrzymania
  • miejscem realizacji inwestycji i sposobem uzyskiwania pozwolenia na budowę oraz rozbiórkę, a także określeniem rodzajów robót budowlanych i budów niewymagających pozwolenia na budowę
  • oddawania obiektów budowlanych do użytkowania
  • prowadzeniem działalności zawodowej osób związanych z budownictwem (uprawnień do wykonywania samodzielnych funkcji w budownictwie, tzw. uprawnienia budowlane) i ich odpowiedzialnością karną i zawodową
  • prawami i obowiązkami uczestników procesu budowlanego
  • postępowaniem w wypadku katastrofy budowlanej.

Pierwszy akt prawny, w którym można dopatrywać się odpowiednika obecnej ustawy Prawo budowlane, powstał 16 lutego 1928 roku. Było to rozporządzenie Prezydenta Rzeczypospolitej Polskiej o „prawie budowlanym i zabudowaniu osiedli”. Przepis ten był bardzo obszerny, liczył aż 422 artykuły i jako rozporządzenie wydany został z mocą ustawy (wg przedwojennych uregulowań prawnych zawierał artykuły). Tak duża liczba umieszczonych w nim artykułów absolutnie nie oznacza jednak, że był on bardziej złożony i skomplikowany od obecnych przepisów. Jego objętość wynikała wyłącznie z prostego faktu, że obszar kodyfikacji w nim zawartej był bez porównania szerszy niż w obecnej ustawie Prawo budowlane. Oprócz dzisiejszych kwestii wchodzących w sferę zainteresowania Prawa budowlanego znalazły w nim miejsce liczne zagadnienia z zakresu dzisiejszej ustawy o gospodarce nieruchomościami, ustawy o planowaniu i zagospodarowaniu przestrzennym, ochrony przeciwpożarowej, prawa cywilnego, ustawy o drogach publicznych, prawa lokalowego czy wreszcie dzisiejszych przepisów techniczno -budowlanych dla części obiektów budowlanych.

Ostatni przedwojenny tekst jednolity rozporządzenia z 1928 roku ukazał się w Dzienniku Ustaw nr 34 z 17 kwietnia 1939 roku pod pozycją 216.

Dowodem uniwersalności przedwojennego prawa budowlanego może być fakt, że zostało ono zastąpione przez nowe przepisy dopiero po ponad 33 latach, 13 sierpnia 1961 roku, kiedy to jego miejsce zajęła ustawa Prawo budowlane z 31 stycznia 1961 roku, opublikowana w Dzienniku Ustaw nr 7 z 1961 roku pod pozycją 46.

Ówczesna, pierwsza polska powojenna ustawa budowlana, była już znacznie odchudzona, liczyła zaledwie 96 artykułów i przetrwała jako akt obowiązującego prawa przez kolejnych blisko 14 lat, aż do l marca 1975 roku. O jej precyzji i jednoznaczności oraz adekwatności w opisie procesu budowlanego rzeczywistości lat 60-tych może świadczyć fakt, że w okresie wspomnianych 14 lat dokonano zaledwie dwóch niewielkich nowelizacji jej pierwotnego tekstu.

Od l marca 1975 roku weszła wżycie kolejna, nowa ustawa Prawo budowlane. Jej wprowadzenie związane było z przeżywanym w tym okresie znacznym ożywieniem gospodarczym, związanym z chwytliwym hasłem „budowy drugiej Polski”, w sposób szczególnie duży przekładającym się na skalę rozpoczynanych i prowadzonych wówczas inwestycji budowlanych.

Ustawa ta zawierała tylko 71 artykułów, a ważniejsze zmiany to likwidacja funkcji inspektora nadzoru inwestorskiego (na całe 6 lat, aż do roku 1981, kiedy to w jednej z kolejnych nowelizacji inspektor nadzoru wrócił do tekstu ustawy), zniesienie wymogu zdawania egzaminu przy nabywaniu uprawnień budowlanych, zwanych wówczas „stwierdzeniem posiadania przygotowania zawodowego do pełnienia samodzielnej funkcji technicznej w budownictwie”, itd.

Transformacja ustrojowa początku lat 90-tych wymusiła rozpoczęcie prac nad całkiem nowym prawem budowlanym. Liczne rządowe, resortowe i środowiskowe projekty nowej budowlanej ustawy zasadniczej zostały scalone w 1993 roku w jeden rządowy projekt nowej ustawy i ostatecznie w dniu 7 lipca 1994 roku Sejm przyjął nową ustawę Prawo budowlane, z datą jej wejścia w życie określoną na l stycznia 1995 roku.

Formalnie obowiązuje ona do dnia dzisiejszego, z tym, że ilość nowelizacji, jakim podlegał jej tekst w ciągu 17 lat od momentu wprowadzenia powoduje, że już tylko w bardzo małym stopniu obecne jej zapisy przypominają te, z którymi mieliśmy do czynienia na początku roku 1995.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *