Będziemy wiedzieć o wycieku danych

www.sxc.hu

Aktualnie obowiązujące przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) zobowiązują administratora danych (w rozdziale 5.) do wprowadzenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych.

Metody ochrony powinny być dostosowane do zagrożeń oraz kategorii przetwarzanych danych a także potencjalnych zagrożeń. W szczególności konieczne jest zabezpieczanie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Naruszenie obowiązków przewidzianych w ustawie o ochronie danych osobowych zagrożone jest sankcją karną określoną m.in. w art. 51 wspomnianej ustawy, który przewiduję karę grzywny, ograniczenia wolności a nawet pozbawienia wolności do lat 2.

Dowiemy się o wycieku

Upubliczniony dnia 25 stycznia 2012 r. projekt Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) zakłada obowiązek zgłoszenia faktu wycieku danych do organu nadzorującego danego administratora oraz powiadomienie osób, których dane wyciekły – co w porównaniu z obecną regulacją jest nowością.

Przepisy rozporządzenia przewidują, że przypadek naruszenia zasad ochrony danych osobowych administrator zgłasza organowi nadzorczemu bez nieuzasadnionej zwłoki i jeśli jest to możliwe, nie później niż w ciągu 24 godzin od momentu naruszeniu powzięcia o nim wiadomości. Jeśli organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin, do zgłoszenia administrator musi dołączyć umotywowane wyjaśnienie.

Co w zawiadomieniu?

Projektowane przepisy okreslają minimum informacji, które powinno zawierać zawiadomienie, tj.:

a) opisanie charakteru naruszenia ochrony danych osobowych, w tym podanie kategorii i liczby zainteresowanych podmiotów danych oraz kategorii i liczby rekordów danych, których dotyczy naruszenie;

b) podanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

c) informacja o zalecanych środkach mających na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych;

d) opisanie konsekwencji naruszenia ochrony danych;

e) opisanie środków proponowanych lub podjętych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

Będzie dokumentacja

To nie wszystko co przyniosą nowe przepisy – administrator ma obowiązek prowadzić dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi umożliwiać organowi nadzorczemu sprawdzenie zgodności działań administratora z prawem.

Kowalski dowie się o wycieku

O wycieku danych dowie się nie tylko organ nadzorczy, bez nieuzasadnionej zwłoki administrator powinien poinformować również podmiot danych. Takie zawiadomienie ma opisywać charakter naruszenia oraz obejmować:

a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

b) zalecane środki mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych.

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony, oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

Mogą być kary

Rozporządzenie przewiduje kary finansowe nakładane przez organ nadzorczy na każdy podmiot, który umyślnie lub lekkomyślnie nie prowadzi dokumentacji, lub też prowadzi ją w sposób niewystarczający. Takie naruszenie może być sankcjonowane grzywną do wysokości 500 000 EUR, a w przypadku przedsiębiorstwa – aż do 1 % jego rocznego światowego obrotu.

Kara finansowa przewidziana jest również za nieostrzeganie i niezawiadamianie o naruszeniu ochrony danych osobowych organu nadzorczego lub podmiotu danych, lub też nieczynienie tego terminowo i w całości. Za takie naruszenie grzywna może wynieść do wysokości 1 000 000 EUR lub w przypadku przedsiębiorstwa – do 2 % jego rocznego światowego obrotu.


Tagi: , , ,

Komentarze do artykułu Będziemy wiedzieć o wycieku danych :

  1. Gdzie moge zlozyc wniosek dotyczacy przestepstwa internetowego a dokladnie wlamania na cudze konto pocztowe?? Za wszelkie informacje dziekuje i licze na szybka odpowiedz. Pozrdawiam

    • Pani Patrycjo, proszę to zgłosić na najbliższej dla Pani jednostce policji.
      Pozdrawiam

  2. Niestety, w dzisiejszych czasach wyciek danych to coraz poważniejsza sytuacja, gdyż każdy wyciek tak naprawdę może oznaczać poważne kłopoty, które na pewno nie są na rękę osobom, których dotyczą owe dane osobowe. http://emediatorlegal.pl/

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>