Jeśli w Twoim studio doszło do wycieku danych osobowych, to stoisz przed decyzją, czy naruszenie zgłaszać osobie, o której dane chodzi. Nie jest to obowiązkowe w każdej sytuacji, a jedynie wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Ale nawet jeśli nie ma takiego obowiązku, przeanalizowanie tego aspektu i wyciągnięcie prawidłowych wniosków ma ogromne znaczenie przy rozpatrywaniu przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) czy nałożyć na Twoje studio karę finansową, czy też od niej odstąpić.
My podpowiemy Ci jak do tego podejść i jak prawidłowo zawiadomić osobę poszkodowaną wyciekiem danych osobowych.
Po pierwsze weź pod uwagę jakie dane osobowe wyciekły
Inaczej będzie, gdy wyciek dotyczy samego adresu mailowego, inaczej gdy wraz z nim wyciekło imię i nazwisko, a jeszcze inaczej, gdy PESEL. Każdą sytuację trzeba oceniać indywidualnie.
W takich sytuacjach przydaje się inspektor ochrony danych, ale jeśli nie masz obowiązku posiadania go w swoim studio, możesz skonsultować się z prawnikiem specjalizującym się w ochronie danych osobowych.
Po drugie, przeanalizuj jakie konsekwencje mogą wyniknąć dla osoby poszkodowanej naruszeniem
Będzie to ściśle związane z tym, jakie kategorie danych zostały ujawnione. Numer i seria dowodu osobistego czy PESEL to istotne dane, bo na tej podstawie można dokonać kradzieży tożsamości, wziąć kredyt w parabanku, czy próbować uzyskać dostęp do konta bankowego poszkodowanego. A to rodzi poważne konsekwencje.
Jeśli dane były odpowiednio zabezpieczone, na przykład zaszyfrowane i istnieje niewielkie ryzyko, że ktoś je odszyfruje – ryzyko naruszenia praw i wolności osoby poszkodowanej naruszeniem może zostać ocenione jako niewielkie.
Po trzecie, weź pod uwagę jakie środki zaradcze możesz podjąć, a jakie już podjąłeś
Jeśli jednak mimo wszystko analiza sytuacji wskazuje, że zachodzi wysokie ryzyko naruszenia praw i wolności podmiotu danych, musisz dokonać zgłoszenia do PUODO oraz poinformować osobę, której dane wyciekły.
Przejdźmy teraz do samego powiadomienia osoby, której dane zostały nruszone.
Jak prawidłowo poinformować osobę o naruszeniu jej danych?
Zawiadomienia należy dokonać bez zbędnej zwłoki, jasnym i prostym językiem. Co to oznacza? Mówiąc wprost, nie opisuj incydentu „naokoło”, a już tym bardziej urzędowym lub prawniczym językiem, tylko po ludzku przejdź do sedna. Posługuj się słownictwem zrozumiałym dla każdego, a nie tylko dla specjalistów.
Zawiadomienie powinno być sporządzone w formie, która umożliwi osobie wielokrotne zapoznanie się z jego treścią. Jakie więc medium wybrać do przekazania zawiadomienia? Jako że musisz działać bez zbędnej zwłoki, najlepszą formą będzie mail – najlepiej z prośbą o potwierdzenie odbioru i zapoznania się z wiadomością. A dla pewności warto wysłać zawiadomienie także pocztą.
Co powinno znaleźć się w zawiadomieniu?
Oto, co powinieneś zawrzeć w powiadomieniu o naruszeniu danych osobowych:
- Opis charakteru naruszenia (opisz co się dokładnie wydarzyło, z podaniem daty, godziny)
- Imię, nazwisko i kontakt do inspektora ochrony danych (z adresem mailowym lub numerem telefonu; a jeśli go nie zatrudniasz: do innej osoby, która zajmuje się RODO w Twoim studio i pomoże uzyskać więcej informacji)
- Opis możliwych konsekwencji naruszenia (opisz to z perspektywy osoby poszkodowanej, jakie są zagrożenia – np. „osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umowy najmu nieruchomości”);
- Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu (dokładnie opisz, jakie Twoje studio jako administrator podjęło środki zaradcze, np. „zwróciliśmy się do błędnego odbiorcy wiadomości o jej usunięcie i potwierdzenie tego usunięcia”);
- Środki minimalizujące negatywne skutki naruszenia, jakie proponujesz poszkodowanemu (np. „zalecamy, aby Pan/Pani zastrzegł swój dowód osobisty lub go wymienił o ile to możliwe”).
Nadal nie jesteś pewien, czy naruszenie należy zgłaszać osobie, albo jak to zrobić?
Jeśli nie masz w swoim studio inspektora ochrony danych najlepiej skontaktuj się z prawnikiem. W sprawach naruszeń danych osobowych lepiej dmuchać na zimne.