Jak przygotować się prawnie i wizerunkowo do incydentu? Zagubiony czy skradziony firmowy laptop, pendrive, a nawet telefon komórkowy, zawierający dane osobowe to przykład incydentów mogących prowadzić do wycieku danych osobowych. Utrata kontroli nad danymi może nastąpić również na skutek phishingu czy ataku typu ransomware.
Wyciek danych 57 mln użytkowników Ubera w 2016 r., 145 mln zhakowanych użytkowników Equifax w 2017 r., ujawnienie danych kilku milionów klientów hiszpańskiej Telefoniki w 2018 r. – to tylko kilka przykładów głośnych wycieków danych ujawnionych w ostatnim czasie. Każde takie zdarzenie wymaga organizacji działania według odpowiednich procedur przygotowanych na czarną godzinę. Od 25 maja 2018 r. stosujemy RODO i w grę wchodzi nie tylko nałożenie wysokich kar przez Urząd Ochrony Danych Osobowych, sięgających maksymalnie nawet 20 mln euro lub równowartości 4% światowego obrotu firmy, ale również utrata zaufania i wizerunku – kluczowych wartości na rynku.
Data Breach Response Plan
Kryzysowe procedury, zwane Data Breach Response Plan dotyczą kilku sfer działalności organizacji, a ich celem jest zminimalizowanie skutków incydentu i odzyskanie zaufania klientów, akcjonariuszy i pozostałych interesariuszy. Od lokalizacji i zatrzymania wycieku danych zależeć będą dalsze działania. Dział IT, działy związane z bezpieczeństwem i IOD to część zespołu kryzysowego, która pomoże zlokalizować wyciek, ograniczyć jego skutki i ustalić przyczyny. Pozwoli to ustalić osoby odpowiedzialne za zdarzenie i zastosować środki przeciwdziałające wyciekom danych w przyszłości. Prawnicy określą jakie obowiązki ciążą na organizacji w związku z wyciekiem. Ustalą również prawa osób, których dane dotyczą i przygotują schemat reagowania na spływające żądania i roszczenia. Pomogą także oszacować zakres ewentualnej odpowiedzialności finansowej. Jeżeli za wyciek odpowiadają pracownicy, dział HR pomoże ustalić zakres ich obowiązków oraz ewentualną odpowiedzialność dyscyplinarną.
Komunikacja
Dział odpowiedzialny za PR i komunikację, przygotuje spójną, kryzysową strategię komunikacyjną. Będzie kontaktował się z mediami, odpowiadał na zapytania i reagował na publikacje dotyczące wycieku danych z organizacji. Kluczowa będzie spójna strategia komunikacji w kryzysie – zebranie informacji o kategoriach danych, które zostały ujawnione oraz o skali wycieku. Istotne będą również twarde dowody na to, że firma posiada właściwe zabezpieczenia, spełniła obowiązki prawne i trzymała się ustalonych procedur. Konieczne może okazać się potwierdzenie implementacji polityk prywatności i ochrony danych. Powyższe działania wymagają profesjonalnego przygotowania, wyznaczenia osoby wyłącznie uprawnionej do kontaktu z mediami zaplanowanymi kanałami informacyjnymi. W przypadku dużych lub głośnych wycieków nieodzowne może okazać się utworzenie infolinii z obsługującym ją przeszkolonym pracownikiem lub specjalnej strony internetowej z informacjami o wycieku i podjętych działaniach.
Wypełnienie obowiązków prawnych i naprawienie szkód
Zgodnie z art. 33 RODO firma jest zobowiązana do dokumentowania wszystkich incydentów dotyczących ochrony danych osobowych i podjętych środków zaradczych. W przypadku naruszenia ochrony danych osobowych, które skutkuje prawdopodobnym ryzykiem naruszenia praw i wolności osób fizycznych (a takim niewątpliwie będzie wyciek danych dotyczący osób fizycznych), należy bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin zgłosić incydent do Urzędu Ochrony Danych Osobowych. Zgłoszenie formułuje inspektor ochrony danych osobowych lub osoba, która pełni jego funkcję. Powinno ono opisywać charakter naruszenia, kategorię danych i liczbę osób, których dane dotyczą, dane kontaktowe inspektora ochrony danych lub innej osoby, odpowiedzialnej za przekazywanie informacji, opis konsekwencji naruszenia danych osobowych oraz opis środków podjętych w celu zaradzenia naruszeniu i zminimalizowania jego skutków. Jeżeli na skutek wycieku ryzyko naruszenia praw i wolności osób fizycznych jest wysokie, należy bez zwłoki zawiadomić osobę, której dotyczy. Gdyby takie zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (np. w związku z dużą liczbą takich osób) można wydać publiczny komunikat. Zaniechanie powyższych obowiązków może wiązać się z nałożeniem wysokich kar administracyjnych przez Urząd Ochrony Danych Osobowych. W niektórych przypadkach w grę wchodzić może również odpowiedzialność finansowa wobec osób, których dane zostały ujawnione, a nawet odpowiedzialność karna osób odpowiedzialnych za wyciek.
Przygotuj się!
Podjęcie szybkich, zdecydowanych i skutecznych działań w kryzysie nie jest możliwe bez wcześniejszego przygotowania. Plan kryzysowy powinien zakładać finansową rezerwę na wypłatę ewentualnych kar lub odszkodowań, jak również możliwość zaoferowania klientom dodatkowych usług zapewniających bezpieczeństwo danych. Dobrym pomysłem jest również polisa ubezpieczeniowa od opisanych wyżej ryzyk. Oprócz ogólnej polityki ochrony danych osobowych i znajomości prawa warto mieć dokładny plan działania w przypadku wystąpienia incydentu, obejmujący wyżej opisane sfery. Kompleksowy system przewiduje fundamentalne zasady postępowania, poczynając od sposobu informowania przełożonych o incydencie przez szeregowego pracownika, poprzez lokalizację wycieku i usunięciu jego skutków prawnych i wizerunkowych, aż po zasady sięgania po pomoc zewnętrznych ekspertów. Dokładne i precyzyjne procedury, wzory dokumentów i przykładowe treści oświadczeń, lista osób z rozpisanymi rolami – wszystko to przyczyni się do sprawnego opanowania kryzysu. Aby wszystko zadziałało prawidłowo, system musi być regularnie testowany i oceniany, a zespół regularnie szkolony.
Marcin Jan Wachowski – Założyciel i partner zarządzający Kancelarią Wachowski, działającej od 10 lat na rynku doradztwa prawnego dla biznesu. Klientom udziela porad przede wszystkim w zakresie prawa technologii, mediów i telekomunikacji, pracuje przy wdrażaniu polityki ochrony danych osobowych RODO w dużych i średnich organizacjach. Interesuje się Internetem rzeczy.
Artykuł ukazał się w ostatnim numerze OOH magazine, pobierz bezpłatnie TUTAJ.