Naruszenie danych osobowych w studiu Gamedev. Czy da się uniknąć kar finansowych?

Naruszenie danych osobowych w studiu Gamedev

Największą zmorą administratorów danych jest groźba otrzymania kary finansowej za naruszenie. Kwoty wskazane w rozporządzeniu RODO są zawrotne – 10 lub 20 mln euro (lub do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku). Trzeba jednak pamiętać, że to kwoty maksymalne.

Zanim urząd (Urząd Ochrony Danych Osobowych, UODO) jakąkolwiek karę nałoży, analizuje zajście i dopasowuje wysokość kary do naruszenia, a może też całkowicie od niej odstąpić.

Jakie czynniki mają wpływ na decyzję o nałożeniu i o wysokości kary?

Będą to między innymi:

  • liczba poszkodowanych osób i rozmiar poniesionej przez nich szkody
  • kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO (inaczej będzie oceniany wyciek adresów mailowych, a inaczej numerów PESEL)
  • czas trwania naruszenia
  • działania podjęte przez administratora/procesora w celu zminimalizowania szkody, stopień współpracy z organem nadzorczym

Dodatkowo, wpływ na karę ma także sposób, w jaki organ nadzorczy dowiedział się o naruszeniu. Chodzi o to czy administrator lub podmiot przetwarzający sami zgłosili naruszenie, czy też urząd dowiedział się o nim od osoby, której dane naruszono.

W Polsce rekordowa kara finansowa za naruszenie RODO sięgnęła 4 911 732 złotych. Trzeba przy tym wskazać, że naruszenie dotyczyło aż 137 314 osób, wyciekły m.in. dane takie jak PESEL i numer dowodu, a w dodatku nie zawiadomiono tych osób o naruszeniu.

O tym, dlaczego zawiadamianie osób, których dane naruszono, jest tak ważne i jak to prawidłowo zrobić – piszemy TUTAJ>>.

A czy da się uniknąć kar w ogóle?

Nie ma jednej odpowiedzi, bo każda sytuacja będzie oceniana indywidualnie. Naruszenie naruszeniu nierówne. Chcąc zminimalizować ryzyko naruszeń danych osobowych w Twoim studio, przede wszystkim rozsądnie podejdź do samego tematu wdrożenia RODO.

Samo przygotowanie dokumentacji to jeden ważny etap. Ale koniecznie zadbaj także o odpowiednie szkolenie pracowników czy zleceniobiorców, którzy w twoim studio będą mieli do czynienia z danymi. W szczególności pamiętaj o tym, gdy zatrudniasz nowe osoby.

Zanim upoważnisz kogokolwiek do dostępu do danych, przeszkól tę osobę w zakresie prawidłowego postępowania z danymi, a w szczególności uczul co robić, na wypadek zajścia naruszenia.

Możesz to zrobić samodzielnie, ale możesz też zlecić przeprowadzenie takiego szkolenia profesjonaliście. Dzięki odpowiedniemu przygotowaniu do takich kryzysowych sytuacji, łatwiej będzie wykryć incydent, ale i – przede wszystkim – do niego nie dopuścić.

A to z kolei postawi Cię w lepszej sytuacji przed urzędem i w razie zaistnienia ryzyka nałożenia kary finansowej może pomóc jej uniknąć.

Kluczowe są także zabezpieczenia.

To, w jaki sposób chronisz dane będzie miało wpływ na możliwość skorzystania z nich przez nieuprawnioną osobę w przypadku wycieku. Jeśli zastosujesz szyfrowanie plików silnymi hasłami, a hasła dostępu do plików z danymi wysyłane będą drogą inną niż sam plik – wzrasta prawdopodobieństwo, że naruszyciel nie odszyfruje dokumentacji oraz nie uzyska do niej dostępu.

To oczywiście tylko przykład jednego z wielu zabezpieczeń, które powinny być uregulowane w polityce bezpieczeństwa Twojego studia.

Jak zminimalizować ryzyko kary, gdy już doszło do naruszenia?

Przede wszystkim: działaj szybko. Bardzo wiele uzasadnień decyzji nakładających kar przez UODO opiera się na zarzucie opieszałego działania podmiotu, w którego organizacji doszło do naruszenia.

Pamiętaj, że analiza incydentu i podjęcie decyzji o zgłoszeniu go do urzędu musi odbyć się w ciągu 72 godzin od zajścia. O szczegółach procedury zgłaszania incydentów do Prezesa UODO przeczytasz w TYM artykule.

Pamiętaj też, żeby współpracować z UODO i na żadnym nie utrudniać urzędowi etapie dostępu do informacji. Jeśli UODO prosi Cię o dodatkowe wyjaśnienia, odpowiadaj na nie niezwłocznie i udzielaj ich jak najszerzej potrafisz.

A co najważniejsze – podejmij działania jak najlepiej dopasowane do sytuacji. Pamiętaj, że Twoim zadaniem jest zminimalizować szkodę, jaka może zostać wyrządzona osobie, której dane wyciekły.

Przykładowo, jeśli był to omyłkowo wysłany mail do nieprawidłowego odbiorcy, skontaktuj się z nim i poproś o usunięcie, a także potwierdzenie tego usunięcia.

Jeśli potrzebujesz wdrożenia lub szkolenia w obszarze RODO, albo gdy już doszło w Twojej organizacji do naruszenia danych osobowych, a nie jesteś pewien co z tym zrobić, bądź została nałożona kara i chcesz się od niej odwołać, poproś o pomoc prawnika. W sprawach naruszeń danych osobowych lepiej dmuchać na zimne.

Podoba Ci się artykuł?

Facebook
Twitter
LinkedIn
0
    0
    Koszyk
    Twój koszyk jest pustyWróc do sklepu