10 miesięcy temu
Kadrowa zgubiła zaszyfrowanego pendrive’a z danymi płacowymi pracownika. Co robić?
Temat pomieszany. Trochę RODO, trochę Kodeksu pracy. Panikować? Zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych? Informować wszystkich pracowników, których dane były na nośniku? Jak zwykle odpowiedź brzmi – to zależy.
Zgubiony pendrive? Zbadaj ryzyko!
Zweryfikuj jak duże jest prawdopodobieństwo, iż pendrive dostał się w niepowołane ręce. Może pracujesz zdalnie? Może zaginął w domu, może wypadł na trasie do domu, może wypadł Ci na własnym podwórku bądź stał się zabawką dziecka, które wrzuciło je pod fotel bądź za regał? Możliwości jest wiele, a zagubienie nie musi wcale oznaczać, iż trafił w niepowołane ręce.
Jeśli pendrive jest szyfrowany – zgłoś zagubienie do IT. Systemy szyfrujące są dość dobrym i bezpiecznym zabezpieczeniem, nie jest łatwo je złamać.
Zastanów się jakie dane znajdowały się na pendrivie. Podstawowe – imię, nazwisko, adres zamieszkania, wynagrodzenie? Czy wrażliwe – dane o zdrowiu, rasie? To istotne z punktu widzenia klasyfikacji i podniesienia wartości danych utraconych.
Zgłoś zagubienie pendrive’a do osoby odpowiedzialnej za ODO
Poinformuj osobę odpowiedzialną za ochronę danych osobowych w firmie. Jedno jest pewne – tego rodzaju zdarzenie musicie zarejestrować jako incydent, bo chcąc nie chcąc, incydentem jest. Oznacza to, iż wzmianka o zdarzeniu musi znaleźć się w rejestrze incydentów (obowiązek prowadzenia).
Sprawdź, czy konieczne jest zgłoszenie do PUODO
A teraz przeanalizuj czy naruszone zostały zasady, warunkujące zgłoszenie zdarzenia do PUODO:
- Zasada poufności – czy utracono dane poufne? Tego w opisanej sytuacji nie wiemy;
- Zasada integralności – czy dane zostały zmodyfikowane/utracone/usunięte/zniszczone w nieautoryzowany sposób? Nie wiemy. Chroni nas kopia, którą mamy w swoich zasobach;
- Zasada dostępności – czy utraciłeś dostęp do danych? Czy możesz je z łatwością odzyskać bądź masz ich kopie? Kopie każda kadrowa zakładam ma (system kadrowy/chmura).
Ocena ryzyka pokaże skalę problemu. Opracuj program naprawczy!
Przeprowadź z osobą odpowiedzialną za ochronę danych osobowych ocenę ryzyka. To pokaże Wam skalę problemu. Z doświadczenia wiem, iż przypadki takie w większości nie podlegają zgłoszeniu do Prezesa Urzędu, nie wymagają też powiadomienia osób, których dane znajdują się na pendrive.
Przygotujcie program naprawczy, zbudujcie świadomość ryzyk w takich sytuacjach u osób, które posługują się nośnikami danych. Może przyda się szkolenie? To zawsze punktuje podczas ewentualnych kontroli i pamiętajcie o wpisie do rejestru incydentów. Poinformujcie o zdarzeniu osoby zarządzające (administrator danych osobowych – zarząd/właściciel firmy). Potrzebna będzie też rekomendacja działania. Ostatecznie to ADO (administrator danych osobowych) decyduje o zgłoszeniu incydentu do PUODO.
