Do naruszenia ochrony danych osobowych dochodzi w wyniku ich ujawnienia lub utraty. Może to nastąpić poprzez działania nieumyślne, np. błędną wysyłkę korespondencji lub zgubienie laptopa, jak i przez świadome włamanie do systemów teleinformatycznych czy celowe upublicznienie danych przez pracowników. Konsekwencje takiego naruszenia mogą być dotkliwe dla firm, które są administratorem danych osobowych oraz oznaczają dla nich szereg obowiązków wynikających z art. 33–34 RODO. Wraz z ekspertem adw. dr. Janem Prasałkiem z RK RODO przyglądamy się jakie kroki podjąć w takiej sytuacji.

Rozporządzenie o ochronie danych osobowych weszło w życie w maju 2018 roku. Od tamtej pory wiele zadziało się w świecie RODO, jednak nie wszystkie firmy regularnie weryfikują swoje zabezpieczenia. Skutki ujawnienia danych osobowych są bardzo poważne i mogą obejmować kary finansowe, koszty związane z przywróceniem odpowiednich zabezpieczeń danych. Długofalowym i jednocześnie jednym z najgorszych skutków jest utrata zaufania klientów oraz zszargany wizerunek firmy. Pogorszenie reputacji utrudnia pozyskiwanie nowych klientów i zwiększa odsetek osób rezygnujących z usług danej firmy, co w rezultacie prowadzić może do poważnych konsekwencji finansowych.

W takich sytuacjach istotne jest więc natychmiastowe, kompleksowe i stanowcze działanie firmy, podejmowane na wielu polach i płaszczyznach. Aby skutecznie poradzić sobie z wyciekiem danych w firmie, warto zwrócić uwagę na pięć następujących kroków:

1. Identyfikacja naruszenia ochrony danych osobowych oraz redukcja jego skutków.

Przede wszystkim należy podjąć działania mające na celu zablokowanie systemu zawierającego dane, odzyskanie utraconej dokumentacji czy zabezpieczenie utraconej korespondencji. Działania te powinny być dostosowane do rodzaju naruszenia danych i przeprowadzane szybko, aby zapobiec dalszemu rozprzestrzenianiu się informacji.

2. Ocena stopnia naruszenia danych oraz poinformowanie Prezesa UODO i osób, których dane zostały ujawnione

Konieczne jest uruchomienie procedury wyjaśniającej. Firma ma 72 godziny na przeprowadzenie postępowania wyjaśniającego oraz ocenę ryzyka naruszenia praw lub wolności osób fizycznych. W zależności od wyników analizy firma może być zobowiązania do zawiadomienia Prezesa UODO i osoby fizyczne o wycieku danych. Treść tych zawiadomień jest ściśle regulowana przez przepisy, a niedopełnienie tych obowiązków może być uznane za kolejne naruszenie danych osobowych.

3. Zarządzanie komunikacją z klientem

Ważnym aspektem jest umiejętne komunikowanie, które pomoże pokazać, że firma nie jest wrogiem. Opracowanie scenariuszy kryzysowych przed ich wystąpieniem może okazać się istotne w łagodzeniu sytuacji. Wytyczne powinny być zgodne zarówno z wymogami prawnymi, jak i polityką wizerunkową firmy.

4. Udział w postępowaniach przed Prezesem UODO oraz w toku postępowań reklamacyjnych czy odszkodowawczych

Firma, będąc administratorem danych, musi liczyć się z konsekwencjami naruszeń danych osobowych. Każde zgłoszone naruszenie wiąże się z postępowaniem prowadzonym przez organ nadzorczy. W tym kontekście może być konieczne złożenie wyjaśnień, dowodów czy dokumentów. Wsparcie ze strony prawników specjalizujących się w ochronie danych osobowych jest niezbędne, aby osiągnąć korzystne orzeczenie i odpowiednio wykonać zobowiązania ze strony Urzędu. Istotnym elementem jest również wprowadzenie środków naprawczych, takich jak dodatkowe szkolenia związane z RODO dla pracowników czy weryfikacja systemów teleinformatycznych. Odpowiednie środki mogą wpłynąć na złagodzenie sankcji, w tym kar pieniężnych nakładanych przez Prezesa UODO.

5. Zarządzanie kryzysem w mediach: Co robić, gdy o naruszeniu danych zrobi się głośno?

Jak już wcześniej wspomniano, kluczowe jest natychmiastowe, kompleksowe i stanowcze działanie firmy. Współpraca i zaufanie między członkami sztabu kryzysowego są kluczowe. Działania prawne i komunikacyjne powinny iść w parze, umożliwiając szybką reakcję i opanowanie sytuacji kryzysowej. Ważne jest również szkolenie pracowników, aby byli przygotowani na różne scenariusze i wiedzieli, jak zachować się podczas kontaktu z mediami oraz jak formułować wypowiedzi zgodnie z strategią wizerunkową firmy.

Zadbanie o ochronę danych osobowych oraz skuteczne zarządzanie sytuacją po ich naruszeniu jest kluczowe dla firm, które chcą utrzymać zaufanie klientów i uniknąć poważnych konsekwencji finansowych oraz reputacyjnych. Świadomość ryzyka i stosowanie odpowiednich procedur oraz środków zapobiegawczych może pomóc w minimalizowaniu szkód i budowaniu pozytywnego wizerunku firmy w oczach klientów.