Prezes UODO nałożył na mBank karę 4 053 173 zł za niezawiadomienie osób poszkodowanych wyciekiem danych. Duża kara? Nie w tym przypadku – stanowi zaledwie 24 tysięczne procenta obrotów banku.
1. Jakie są kary za naruszenie RODO?
Edukacyjnie przypominamy, że przepisy RODO przewidują dwie kategorie kar finansowych, które zależne są od rodzaju przewinienia. UODO może nałożyć karę w wysokości: do 10 lub 20 mln euro, do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku
2. Wyciek danych z mBank: tło sprawy.
Zgodnie z komunikatem UODO, mBank nie dopełnił obowiązków wynikających z RODO po tym jak w 2022 r. pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały.
Bank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – Prezes UODO poinformował o konieczności podjęcia takich działań, co zapewne przyczyniło się do nałożenia kary. Bank może odwołać się.
3. Jakie procedury wdrożyć w przypadku wycieku danych?
Zastanawiasz się jakie działania podjąć jeśli w Twojej firmie dojdzie do incydentu bezpieczeństwa?
Oto nasza praktyczna checklista dla Twojego biznesu.
Co zrobić po wycieku danych osobowych zgodnie z RODO?
1. Oszacowanie incydentu
- Zidentyfikuj zakres wycieku: Ustal, jakie dane zostały ujawnione, w jakim zakresie i kogo dotyczy incydent.
- Ocena ryzyka: Dokonaj oceny, czy wyciek danych stanowi ryzyko naruszenia praw i wolności osób fizycznych.
- Zatrzymaj wyciek: Natychmiast podejmij działania mające na celu ograniczenie dalszego wycieku.
2. Powiadomienie organu nadzorczego (UODO)
- Termin powiadomienia: W ciągu 72 godzin od wykrycia wycieku, jeśli jest duże ryzyko dla praw i wolności osób fizycznych.
- Treść zgłoszenia:
- Opis incydentu.
- Kategoria danych, które wyciekły
- Szacowana liczba osób poszkodowanych
- Podjęte działania naprawcze.
- Dane kontaktowe Inspektora Ochrony Danych (IOD), jeśli dotyczy.
- Uzupełnienie zgłoszenia: Jeśli nie jesteś w stanie podać wszystkich informacji w ciągu 72 godzin, powiadom organ nadzorczy, a następnie uzupełnij raport w późniejszym terminie.
3. Powiadomienie osób, których dane dotyczą
- Ocena ryzyka: Jeżeli wyciek stwarza wysokie ryzyko naruszenia praw i wolności osób fizycznych, należy bezzwłocznie powiadomić te osoby.
- Treść powiadomienia i elementy pisma:
- Opis charakteru incydentu.
- Kategoria danych, które zostały wykradzione.
- Możliwe konsekwencje wycieku danych.
- Zalecenia dotyczące ograniczenia skutków (np. zmiana hasła).
- Dane kontaktowe do Inspektora Ochrony Danych (IOD) lub punktu kontaktowego.
4. Dokumentacja incydentu
- Prowadzenie rejestru incydentów: Każdy wyciek danych należy udokumentować w wewnętrznym rejestrze naruszeń.
- Opis działań: Zapisz wszystkie kroki podjęte w związku z incydentem, w tym ocenę ryzyka i podjęte środki zaradcze.
- Wnioski i rekomendacje: Wprowadź wnioski z incydentu w celu zapobiegania podobnym sytuacjom w przyszłości.
5. Działania naprawcze
- Ograniczenie skutków wycieku: Podejmij działania, które mogą ograniczyć potencjalne skutki wycieku (np. zmiana haseł, blokada kont, poinformowanie instytucji finansowych).
- Aktualizacja zabezpieczeń: Zidentyfikuj słabości systemu i wprowadź ulepszenia w zabezpieczeniach.
- Szkolenia personelu: Przeprowadź dodatkowe szkolenia dla pracowników w zakresie ochrony danych. Prawnicy Legitimate chętnie podejmą się tego zadania.
6. Współpraca z organami ścigania
- Powiadomienie policji: W przypadku, gdy wyciek danych jest wynikiem działań przestępczych, należy skontaktować się z odpowiednimi organami ścigania.
7. Audyt i wnioski na przyszłość
- Przeprowadzenie audytu: Dokonaj audytu zabezpieczeń systemu IT oraz procedur ochrony danych.
- Wdrożenie nowych procedur: Wprowadź zmiany w procedurach wewnętrznych i politykach ochrony danych na podstawie wyników audytu.
- Monitorowanie: Zwiększ nadzór nad systemami i procesami przetwarzania danych osobowych, by zapobiec podobnym incydentom w przyszłości.
Pomoc Legitimate
Jeśli potrzebujesz wsparcia w obsłudze incydentu związanego z wyciekiem danych, skontaktuj się z Kancelarią Legitimate – nasi doświadczeni prawnicy, świadczący usługi Inspektora Ochrony Danych (IOD), chętnie pomogą Ci zapewnić pełną zgodność z RODO i skutecznie zarządzić kryzysem.