Dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanym powszechnie RODO, to w takie dane, dzięki którym możliwe jest identyfikacja danej osoby. Do takich danych należą: imię i nazwisko, pesel, adres zamieszkania, numery dokumentów, adres e-mail, wizerunek, itp.

Każda firma, która zbiera i przetwarza dane osobowe jest za nie i za ich bezpieczeństwo odpowiedzialna. Znaczy to, że bierze za ich bezpieczeństwo pełną odpowiedzialność.

Obowiązkiem administratora danych osobowych jest przetwarzanie danych zgodnie z zasadami, jakie nakładane są na niego przez RODO. Administrator musi przetwarzać dane zgodnie z prawem.
Działania, jakie musi podjąć Administrator w celu zapewnienia bezpiecznego przetwarzania danych osobowych, ma na celu zapewnienie odpowiedniej ochrony przed m.in. utratą danych, ich niekontrolowaną zmianą lub co najważniejsze – wyciekiem.
Na Administratorze ciąży obowiązek zastosowania środków, które będą właściwe do ryzyka związanego z przetwarzaniem danych osobowych.

Możliwe problemy wynikajace z wycieku są zazwyczaj bardzo różne.
Dane osobowe w postaci adresu email czy numeru telefonu zazwyczaj nie niosą dużego ryzyka poniesienia szkody. Zazwyczaj skutkują one otrzymywaniem niechcianego spamu w postaci maili, telefonów z ofertami i sms. Ta uciążliwa i irytująca korespondencja niestety w w niektórych przypadkacg może stanowić ryzyko potencjalnej próby wyłudzenia dokłądniejszych danych (w przypadku wiadomosci zawierającej złośliwe oprogramowanie lub linki do stron udających banki lub inne firmy). Wyciek danych osobowych może również wiązać się z utratą haseł i kradzieżą wirtualnej tożsamości.

Zainfekowanie urządzeń może z wiązać się z poważnymi konsekwencjami – dalszych wycieków danych osobowych tej osoby lub osób, których dane przechowywane są na jej urządzeniu, uzyskiwaniu dostępów do portali społecznościowych, rachunków bankowych i innych. Może się to skończyć kradzieżą pieniedzy z konta bankowego, zakupu usług na koszt poszkodowanego czy pożyczką w aplikacji mobilnej banku. Jeśli atak obejmuje urządzenia wykorzystywane do pracy może wiązać się także z naruszeniem tajemnicy firmy lub ujawnieniem informacji poufnych, co może wiązać się dla firmy ze stratami finansowymi czy wizerunkowymi.

Mimo tych jakże groźnych w skutkach konsekwencji wycieku danych sporo firm w branży pochodzi do tematu lekceważąco i w sposób absolutnie bezprawny.

Zazwyczaj zamiast przewidzianej prawem procedury jest ukrywanie wycieku, bagatelizowanie, tłumaczenie tego pomyłką, tłumaczenie tego błędem nowego pracownika, omyłkowym działaniem podwykonawcy.

Art. 33 ust. 1 RODO
„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”

Ponadto administrator jest zobowiązany do:

- prowadzenia wewnętrznej ewidencji naruszeń;
- zgłaszania naruszeń organowi nadzorczemu;
- powiadamiania osoby, której dane dotyczą, o naruszeniu;
- podejmowania działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

Ostatni wyciek danych w firmie Royal Canin został zgłoszony zgodnie z procedurami a sami poszkodowani bezzwłocznie powiadomieni. Jednak z lektury naszej skrzynki wynika że takie zgodne z prawem postępowanie jest... wyjątkiem.

Regułą jest, jak już wspomnieliśmy powyżej ukrywanie wycieku, bagatelizowanie, tłumaczenie tego pomyłką, tłumaczenie tego błędem nowego pracownika, omyłkowym działaniem podwykonawcy.

Wzięty z życia dzisiejszy przykład odpowiedzi na mail informujący o wycieku:

„Po weryfikacji informujemy, iż e mail został wysłany omyłkowo.
Pan xxx jest zewnętrzną firmą. Dlatego wszelkie uwagi proszę kierować w Jego stronę.”

Administrator danych osobowych ponosi odpowiedzialność prawną za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu (motyw 74 RODO). Podmiot przetwarzający odgrywa istotną rolę w zapewnianiu administratorowi możliwości wywiązania się ze spoczywających na nim obowiązków. Zgodnie z art. 28 ust. 3 lit. f RODO, umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO, a zatem również obowiązków określonych w art. 33 i 34 ROD

Na szczęście wiele małych i nowych firm przestrzega prawa i chroni nasze dane osobowe przed ich ujawnieniem.

Dajcie nam znać. Poinformujemy nadawcę o jego obowiązkach związanych z ochroną naszych danych osobowych i przypilnujemy, by zostały wdrożone właściwe procedury.

Współpracujące z nami firmy lubią podkreślać że są naszymi partnerami. Możemy więc wymagać by i nasze prawa były respektowane.

Każda osoba, której dane osobowe były objęte wyciekiem, ma prawo żądać od administratora danych informacji i wyjaśnień z tym związanych, np. do kogo trafiły Twoje dane, czy wyciek był zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), jakie dokładnie dane wyciekły. Sama informacja na temat szczegółów wycieku pozwoli Ci ocenić, jakie ewentualnie jesteś w stanie podjąć kroki dla zminimalizowania zagrożeń dla Twoich spraw, wizerunku, lub wszelkich innych praw.

Korespondencję z administratorem, jak również wszelkie komunikaty wydane w związku z wyciekiem należy zachować na potrzeby złożenia skargi do PUODO, zgłoszenia sprawy na Policję bądź dochodzenia roszczeń na drodze cywilnej. W związku z wyciekiem można też zwrócić się do administratora o przyznanie jakiegoś zadośćuczynienia, przy czym w tym przypadku decyzja należy do administratora. Podmiot, który dba o renomę, z pewnością rozważy jakąś formę rekompensaty.

Nawet jeśli nie poniosłeś straty w związku z wyciekiem, masz prawo złożyć skargę do PUODO. Może nakazać administratorowi danych wykonanie określonych czynności związanych z przetwarzaniem danych lub ich zakazać, jak również nałożyć karę pieniężną.
Co w tym przypadku Ty sam zyskasz? Administrator zostanie bezpośrednio lub pośrednio zmuszony do wprowadzenia takich rozwiązań, które wyeliminują ryzyko wycieków w przyszłości.