Na sam koniec zostawiłam najciekawszy punkt – zgłaszanie naruszeń. Do tej pory, gdy przydarzył się wyciek danych wszyscy chowali głowę w piasek i udawali, że nic się nie stało. I w sumie poza wyciekiem naszych danych nic się nie działo. Firmy zapewniały, że wprowadzają nowe rozwiązania zabezpieczające, GIODO nie nakładało na nikogo kar, bo niespecjalnie miało do tego narzędzia. Wejście przepisów RODO mocno tę rzeczywistość zmienia.
Bo i obowiązki mamy nowe i możliwe jest przyznawanie kar. O tym już pisałam i tu nie będę straszyć 😉
Przygotowując się do nowych przepisów dobrze jest już zawczasu, podczas przeprowadzania analizy ryzyka określić wszelkie potencjalne źródła zagrożeń, z jakimi możesz się spotkać, jakie mogą być konsekwencje ich wystąpienia oraz jakie jest prawdopodobieństwo ich pojawienia się.
Przykład? Padł Twój komputer. Coś mu się stało i nie działa na amen. Zbliża się termin wysłania newslettera. Komputer trafia do serwisu, a Ty korzystasz z dobrodziejstwa kawiarenki internetowej. Na szczęście hasło do programu obsługującego newsletter masz w głowie, logujesz się i działasz. Kończysz pracę i akurat skończył się Twój wykupiony czas, więc nie przedłużasz już, bo po co. Po Tobie do komputera siada ktoś inny i widzi panel zarządzania newsletterem, bo zapomniałaś, albo nie zdążyłaś się wylogować. Bez problemu może skopiować całą Twoją bazę danych. Jaki wpływ na Twoją formę miałoby takie wydarzenie? Taaaaaa.
To oczywiście skrajny i mało prawdopodobny przypadek, ale, postaraj sobie wyobrazić wszystkie bardziej możliwe sytuacje i je opisz.
Opisz też przewidziane przez Ciebie środki zaradcze. Przede wszystkim postaraj się określić słabe punkty, które zidentyfikowałaś podczas analizy ryzyka i poprzedniego ćwiczenia. Dalszym etapem jest określenie, wykorzystaniem których środków zapobiegania możesz je wyeliminować lub zminimalizować ryzyko wystąpienia.
A co zrobić, jeśli już przydarzy Ci się jakiś incydent z wyciekiem danych?
Oczywiście fakt taki należy zgłosić. Masz na to 72 godziny od chwili, gdy zauważysz problem. Zgłoszenia dokonujesz zarówno w urzędzie nadzoru jak i informujesz osoby, których dane wyciekły. Dla porządku możesz prowadzić rejestr incydentów i naruszeń, w którym każdemu zdarzeniu przypisujesz:
- datę wystąpienia,
- datę zawiadomienia urzędu,
- datę zawiadomienia użytkowników,
- wykaz czynności, jakie podjęłaś do naprawy sytuacji oraz uniknięcia w przyszłości podobnej sytuacji.
Na koniec, optymistycznie dodam, że ogromne kary, którymi wszyscy wokół straszą działają na wyobraźnie, dzięki czemu Twoje dane, które przecież również gdzieś powierzasz są bezpieczniejsze niż do tej pory. Daj znać, jak idą Twoje przygotowania do wdrożenia RODO. Tym razem powiem, że czasu nie ma już nazbyt wiele, jeśli jeszcze nie zaczęłaś – czas pochylić się nad tematem.
Tymczasem pozdrawiam,
Niesamowicie mnie ten temat przeraża i w zasadzie właśnie dlatego nie zaczynam pracy nad newsletterem. Chciałabym zrobić krok naprzód więc zapewne trafię tu niedługo jak już zbiorę się na odwagę zmierzyć się z niewiadomym.
Asiu, ale jeśli na Twoim blogu można pozostawić komentarze, to również przetwarzasz dane swoich czytelników i powinnaś w kontekście nadchodzących przepisów się do nich dostosować.
Pierwsze duże działa moga byc przeciwko Google i Facebook. 🙂
A tak, to z pewnością. Choć teoretycznie próbują się zabezpieczyć nowymi politykami prywatności i regulaminami. Zobaczymy 🙂