Jak prawidłowo zawiadomić osoby fizyczne o naruszeniu bezpieczeństwa danych osobowych?

Naruszenie bezpieczeństwa danych osobowych powstaje w sytuacji przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych  lub w inny sposób przetwarzanych.

W przypadku wystąpienia naruszenia praw lub wolności osób fizycznych w miarę możliwości, nie później niż 72 godzin po stwierdzeniu naruszenia, Administrator zgłasza je do Urzędu Ochrony Danych. Dodatkowym obowiązkiem jest powiadomienie wszystkich osób fizycznych, których dotyczyło naruszenie. Sposób powiadomienia określa artykuł 34 RODO.

Jak to zrobić?

Powiadomienie powinno być zrealizowane jasnym i prostym językiem. Zalecana struktura powiadomienia: 1. Tytuł, 2. Wstęp, 3. Co się stało?, 4. Możliwe konsekwencje, 5. Co może Pan/Pani zrobić?, 6. Więcej informacji.

Jak może wyglądać powiadomienie na podstawie naruszenia „Nieuprawnione uzyskanie dostępu do informacji” (osoba nieuprawniona otrzymała emailem dane osobowe klientów):

• Tytuł: Informacja o naruszeniu Pani danych osobowych
• Wstęp: w ostatnim czasie doszło do incydentu wskutek, którego Pani dane mogły się dostać w niepowołane ręce. Przekazujemy informacje na temat incydentu oraz działań jakie w związku z nim podejmujemy. Podajemy tez informacje o krokach, które może Pani podjąć w związku z incydentem. Prosimy o zapoznanie się z poniższym powiadomieniem.
• Co się stało?: W dniu (data zdarzenia) nastąpiło naruszenie poufności Pani danych osobowych. Pani dane w następującym zakresie imię, nazwisko, numer PESEL oraz numer telefonu, na skutek pomyłki pracownika zostały drogą mailową udostępnione innemu klientowi.
• Możliwe konsekwencje: Następstwem naruszenia ochrony Pana danych osobowych może być:  założenie na Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej), podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Pani, dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej),  wykorzystanie Pani danych do uwierzytelnienia (weryfikacji tożsamości) i zaciągnięcie zobowiązań w Pani imieniu np. w sklepach internetowych, zarejestrowanie karty telefonicznej typu pre – paid, która może, posłużyć do celów przestępczych.
• Co może Pani zrobić?: W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby Pani:

1. a) ignorowała nieoczekiwane wiadomości e-mail, w szczególności od nieznanych nadawców, nie otwierał nieznanych załączników,
2. b) nie używała linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach e-mail lub SMS-ach;
3. c) zachowała ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów
4. d) zmieniła hasła do konta abonenta i hasło do skrzynki poczty elektronicznej
5. e) skorzystała z możliwości zastrzeżenia dokumentu tożsamości w systemie dokumenty zastrzeżone (informacje na stronie www.dokumentyzastrzeżone.pl) i jego wymianę 

• Więcej informacji: Gdzie może Pani uzyskać więcej informacji? Jeżeli ma Pani jakiekolwiek pytania lub chciałaby nam Pani przekazać dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym inspektorem ochrony danych. Poniżej podajemy dane kontaktowe inspektora ochrony danych: Inspektor ochrony danych: Adres e – mail: Adres korespondencyjny:  Telefon: 

Dokładamy wszelkiej staranności, aby Pani dane osobowe były przetwarzane w sposób gwarantujący ich bezpieczeństwo. Zapewniamy, że przedmiotowe zdarzenie miało charakter incydentalny i wynikło z błędu ludzkiego, które było działaniem nieumyślnym. Podjęliśmy starania, aby skutki naruszenia były jak najmniej odczuwalne dla Pani, niemniej za całe zdarzenie serdecznie przepraszamy.

Opracowano na podstawie: „Zasada przejrzystości a zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych” – Monika Młotkiewicz, Urząd Ochrony Danych Osobowych

Piotr Potyrała