Jakie wykonać kroki gdy z firmy zostały wykradzione dane?

Jakie wykonać kroki gdy z firmy zostały wykradzione dane?11.10.2023 15:03
Kradzież danych - co robić?
Źródło zdjęć: © Adobe Stock

Wyciek danych lub kradzież danych to nieprzyjemne i stresogenne zdarzenia. Bardzo ważne jest jednak, by nie panikować, lecz podejść do sprawy na chłodno, a zarazem na poważnie. Prawo jasno mówi, co należy w takiej sytuacji robić. Dokładna analiza, (ewentualne) złożenie zawiadomienia i wdrożenie środków zaradczych – oto prawidłowa reakcja.

Prawidłowa reakcja na wyciek danych lub kradzież danych zależy od tego, z jakiego typu incydentem (lub podejrzeniem) mierzy się firma. Brak jakiejkolwiek reakcji zawsze będzie jednak błędem. Warto wiedzieć, jakie są obowiązki pracodawcy oraz administratora danych w tym zakresie.

Wyciek lub kradzież danych – jakie są obowiązki pracodawcy?

Gdy firma dowie się, że doszło (lub mogło dojść) do wycieku lub kradzieży danych, jej przedstawiciele powinni podjąć kroki tak szybko, jak to możliwe. Obowiązujące prawo daje organizacji 72 godziny (od stwierdzenia naruszenia) na zgłoszenie tego zdarzenia organowi nadzorczemu. Jest nim Prezes Urzędu Ochrony Danych Osobowych (PUODO). Zgłoszenie nie zawsze jednak jest obowiązkowe – ostateczna decyzja należy do administratora danych i właściciela firmy, którzy powinni podjąć ją po analizie stopnia zagrożenia i zakresu naruszenia. Krótko mówiąc: nie ma obowiązku zgłoszenia ataku, jeśli mało prawdopodobne jest zagrożenie danych osobowych.

W kontekście limitu czasowego warto wiedzieć, że w przypadku, gdy organizacja nie zgłosi zdarzenia w ciągu 72 godzin, musi złożyć wyjaśnienia w tej sprawie. Z niedopilnowaniem tego terminu mogą wiązać się konsekwencje.

Dalsza część artykułu pod materiałem wideo

Oprócz zawiadomienia PUODO pracodawca powinien również poinformować o wycieku danych pracowników, partnerów oraz klientów – słowem: wszystkich, których prywatność mogła zostać naruszona w wyniku takiego zdarzenia. Zwykle wystarczy publiczny komunikat, bezpośrednia informacja wymaga jest jedynie w przypadku bardzo dużego ryzyka lub niezastosowania żadnych środków ostrożności (takich jak na przykład szyfrowanie bazy danych z informacjami osobistymi).

Co robić w przypadku wycieku danych? Krok po kroku

Po pierwsze: nie należy panikować. Zamiast tego dobrze jest zacząć od dokonania analizy. Jej wynikiem powinna być odpowiedź na pytanie o to, czy w firmie doszło do niegroźnego incydentu czy też do poważnego naruszenia ochrony danych osobowych. Pod to ostatnie kwalifikują się takie zdarzenia jak:

  • utrata dostępu do danych,
  • nieuprawnione ujawnienie danych,
  • udostępnienie danych osobie nieupoważnionej.

Następnie należy ocenić ryzyko i skalę naruszenia. Tutaj dochodzimy do odpowiedzi na kluczowe pytanie, które często zadają sobie właściciele firmy, czyli: zgłaszać czy nie zgłaszać. Odpowiedź nie

jest prosta, bo niepotrzebne zgłoszenie może mieć nieprzewidziane konsekwencje (takie jak podjęcie przez Urząd szczegółowej analizy bezpieczeństwa firmowych systemów informatycznych). Z drugiej strony: niezgłoszenie naruszenia, które kwalifikuje się do podjęcia działania, może wiązać się z dotkliwymi karami finansowymi. W obu sytuacjach istnieje również ryzyko strat wizerunkowych (choć mających inne podłoże).

Wielki wyciek haseł z Polski. Jest ich kilka milionów

Jak ocenić ryzyko? Jest ono niższe, kiedy na przykład dane osobowe w bazie zostały zabezpieczone kryptograficznie (wówczas nawet dostanie się do bazy nie oznacza od razu kradzieży samych danych). Ryzyko nie jest też duże, gdy wyciekły jedynie loginy czy adresy e-mail (co innego, gdy cyberprzestępcy dostali się do prawdziwych nazwisk, numerów PESEL czy danych adresowych). Wreszcie, trudno mówić o poważnym naruszeniu, gdy pomimo twierdzeń domniemanych sprawców, nie ma dowodów na faktyczną kradzież.

W przypadku podjęcia decyzji o zgłoszeniu naruszenia, należy pamiętać, że termin wynosi 72 godziny od momentu uzyskania informacji o jego wystąpieniu. Urząd Ochrony Danych Osobowych, którego Prezes jest tym, do kogo powinna trafić informacja, udostępnia na swojej stronie specjalny formularz zgłoszeniowy. PUODO może zwrócić się z prośbą o dostarczenie dodatkowej dokumentacji – obowiązek jej rejestrowania ciąży na administratorze danych w firmie.

Ogromny wyciek danych Polaków. Jak sprawdzić, czy nasze dane wyciekły?

Jednak PUODO nie jest jedyną osobą, która powinna zostać powiadomiona o wycieku lub kradzieży danych. Gdy nieupilnowane zostały wrażliwe dane jakiejś osoby (PESEL, numer i seria dowodu osobistego, informacje bankowe) – należy niezwłocznie poinformować także ją. Wynika to z faktu, że realne staje się między innymi ryzyko kradzieży tożsamości i pieniędzy.

Jakie są prawa ofiar wycieku?

Niezależnie od skali i wagi incydentu, każdej ofierze przysługuje szereg praw. Przede wszystkim może ona żądać wyjaśnień, a więc odpowiedzi na pytania:

  • czy była to kradzież czy wyciek?
  • czy incydent był umyślny czy przypadkowy?
  • czy zawinił człowiek czy system?
  • czy znany jest sprawca?
  • czy incydent został zgłoszony do PUODO?
  • jaki był zakres incydentu?
  • czy zostały podjęte działania naprawcze?
  • czy zostały podjęte działanie prewencyjne na przyszłość?

Administrator danych w firmie ma z kolei obowiązek udzielenia odpowiedzi na każde z tych pytań.

Postaw na zabezpieczenia – tak zminimalizujesz ryzyko wycieku danych

Choć może to brzmieć nieprawdopodobnie, statystyki pokazują, że za większość wycieków w firmach odpowiadają ich pracownicy. Najczęściej zupełnie przypadkowo – winny jest brak ostrożności, a czasem też brak świadomości potencjalnych zagrożeń. Dlatego tak ważne jest organizowanie szkoleń z zakresu cyberbezpieczeństwa i ochrony danych.

Należy też zadbać o odpowiednie zabezpieczenia informatyczne. Ponadto warto korzystać z aktualnego systemu operacyjnego i sprawdzonego oprogramowania antywirusowego, stosować szyfrowanie danych i uwierzytelnianie dwuskładnikowe, a także korzystać z VPN-ów i uniemożliwiać przetwarzanie wrażliwych informacji na prywatnych urządzeniach pracowników. Stan zabezpieczeń i infrastruktury pomagają ocenić niezależne audyty bezpieczeństwa IT – warto zlecać je regularnie.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na