Za utratę firmowych danych odpowie właściciel przedsiębiorstwa

Coraz częściej słyszy się o utracie czy nielegalnym obrocie danymi osobowymi.

Przykładowo, w serwisie aukcyjnym eBay za 35 funtów został sprzedany komputer zawierający dane blisko miliona klientów brytyjskich banków wraz z wzorami podpisów, numerami kont osobistych i telefonów komórkowych. Gigant światowych finansów utracił dane tysięcy klientów, przesyłając CD przesyłką kurierską do jednej ze współpracujących z nim firm.

W Niemczech poważne problemy miał wielki koncern medialny, gdy do Internetu trafiły dane klientów zamawiających ogłoszenia prasowe.

W Polsce głośno było o wycieku danych osobowych z dużego banku, kiedy na jego stronach internetowych dostępne było ponad tysiąc CV kandydatów do pracy.

[srodtytul]Brak świadomości[/srodtytul]

Choć Polska należy do krajów o najwyższej świadomości w zakresie ochrony danych osobowych (co potwierdzają badania Eurobarometru i TNS OBOP), przedsiębiorcy wciąż podchodzą z dużą niefrasobliwością do tej tematyki. Nie tylko nie zauważają zagrożeń, ale także nie uświadamiają sobie ewentualnych konsekwencji.

Tymczasem utrata danych powoduje coraz poważniejsze skutki. Prawo polskie wciąż nie przewiduje możliwości nakładania kar przez generalnego inspektora ochrony danych osobowych, ale coraz częściej mówi się o konieczności ich wprowadzenia. Zapisano je w przygotowywanej nowelizacji ustawy o ochronie danych osobowych. W Europie Zachodniej to standard. W zeszłym roku w Wielkiej Brytanii bank Nationwide musiał zapłacić grzywnę w wysokości prawie miliona funtów, gdy laptop z danymi klientów został skradziony z mieszkania jednego z pracowników.

[srodtytul]Sankcje dla administratora[/srodtytul]

W Polsce w przypadku wycieku danych osobowych firma ma obowiązek zawiadomić prokuraturę o popełnieniu przestępstwa. [b]Naruszenie obowiązków dotyczących bezpieczeństwa danych poprzez udostępnienie lub umożliwienie dostępu do danych osobom nieupoważnionym zagrożone jest karą grzywny, ograniczenia lub pozbawienia wolności do dwóch lat[/b]. Odpowiedzialność karną ponosi także administrator danych za choćby nieumyślne naruszenie obowiązku należytego zabezpieczenia zbioru danych.

Coraz częściej postuluje się wprowadzenie obowiązku informowania generalnego inspektora ochrony danych osobowych o każdym przypadku utraty danych. Unia Europejska zachęca przedsiębiorców do wprowadzenia takiego obowiązku do ich polityki bezpieczeństwa jako dobrej praktyki.

Utrata danych rodzi także inne negatywne skutki, kto wie czy nie dotkliwsze od sankcji ustawowych. W pierwszej kolejności wyciek pociąga za sobą ryzyko pozwów odszkodowawczych. Ponadto, [b]utrata danych nieuchronnie wywołuje negatywną reakcję klientów – zarówno obecnych, jak i potencjalnych – co nieuchronnie oznacza uszczerbek w renomie firmy[/b]. Dlatego bardzo istotna jest prawidłowa reakcja. Przekaz publiczny musi być błyskawiczny i ukierunkowany na zminimalizowanie szkód. Na Zachodzie wiele firm w tego typu sytuacji kryzysowej zwraca się do kancelarii prawniczej i firmy public relation pracujących w merytorycznym tandemie.

[srodtytul]Co sprawdza GIODO[/srodtytul]

W trakcie kontroli GIODO bada się, czy firma zastosowała środki zapewniające ochronę danych. Inspektorzy sprawdzą między innymi, czy pracownicy uczestniczący w przetwarzaniu danych (przy czym należy pamiętać, że przetwarzaniem jest jakiekolwiek zbieranie, utrwalanie, przechowywanie, udostępnianie czy usuwanie danych) posiadają stosowne upoważnienie; czy osoby te zachowują dane i sposób ich zabezpieczenia w tajemnicy; czy urządzenia i systemy informatyczne spełniają wymogi bezpieczeństwa.

Inspektorzy skrupulatnie zbadają dokumenty składające się na politykę bezpieczeństwa w zakresie ochrony danych osobowych, dlatego szczególną wagę należy przyłożyć do prawidłowego przygotowania instrukcji bezpieczeństwa i innych wymaganych przez ustawę dokumentów. W przypadku korporacji międzynarodowych warto też zwrócić uwagę, że wierne kopiowanie dokumentów przygotowanych przez zagraniczną centralę nie zawsze sprawdzi się w Polsce – różnice w przepisach bywają znaczące.

[srodtytul]Przede wszystkim bez paniki[/srodtytul]

Warto zawczasu podjąć kroki sprawdzające politykę bezpieczeństwa firmy i poziomy stosowanych przez nią zabezpieczeń. Coraz popularniejsze staje się przeprowadzenie w tym zakresie audytu przez kancelarię prawniczą. Nie należy także oszczędzać na szkoleniach pracowników z zakresu danych osobowych i wewnętrznych procedur bezpieczeństwa.

A jeśli już zdarzy się wyciek danych, przede wszystkim nie panikujmy, choć należy się liczyć z kontrolą GIODO, pozwami poszkodowanych osób i zainteresowaniem mediów.