Stare przysłowie mówi: mądry IOD po naruszeniu (chyba nie do końca tak to leciało:)) Po decyzji #prezesauodo nakładającej karę blisko 16 tys. zł na Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. za niepowiadomienie go naruszeniu, zgodnie z art. 33#RODO, (decyzja UODO: https://uodo.gov.pl/pl/138/2393) sama jako IOD zastanawiam się co bym zrobiła…czy zgłaszać utratę dokumentu jednej osoby*…. I tak, wiem, że nawet jedna osoba jest ważna w kontekście ochrony jej danych, ale czy wprawiać tę machinę biurokracji w ruch? Niech pierwszy rzuci wirtualnym kamieniem IOD, który po zbadaniu naruszenia nie ma nadziei na to, że naruszenie nie będzie kwalifikować się do zgłoszenia 🙂
Dlaczego ocena tego czy dokonać zgłoszenia czy nie sprawia taki problem? (co widać również po forach dla IODów, gdzie padają pytania wprost „zgłosilibyście to drodzy koledzy czy nie?”) Bo RODO nie stanowi wprost jakie zdarzenia trzeba zgłaszać UODO, o jakich powiadamiać właścicieli danych, a jakie tylko zarejestrować w wewnętrznym rejestrze i monitorować. RODO dzięki dużej swobodzie pozostawia na barkach administratorów decyzję, czy te konkretne naruszenie, ten konkretny wyciek danych, utrata tego konkretnego dokumentu niesie małe czy większe niż małe prawdopodobieństwo ryzyka naruszenia praw i wolności właścicieli danych.
Idziemy dalej…. naruszenie stwierdzone, świadectwa pracy u pracodawcy brak i nie wiadomo gdzie jest (klasyczna utrata dostępności, poufności i integralności), pracownik nie ma roszczeń (jeszcze). Wtedy (to zabrzmi jak reklama, ale to prawda – tak robimy) wrzucam naruszenie do systemu #CRM-EDPO i algorytm** pokazuje co mam zrobić, czy mam szansę to naruszenie wybronić przed zgłoszeniem, tj. uzasadnić logicznie i wiarygodnie dlaczego uważam, że naruszenie niesie za sobą małe ryzyko naruszenia praw i wolności właściciela naruszonych danych.
Testowo wrzuciłam naruszenie Esselmana do systemu i oto wyszło: WYSOKIE RYZYKO, PRZYGOTUJ ZGŁOSZENIE DO UODO.
Nieprzyjemna wiadomość, ale chociaż sprawa została jasno postawiona. Gdyby spółka korzystała z systemu, być może nie dostałaby kary za brak dokonania zgłoszenia do UODO 🙂
Być może nasz system pomoże innym IODom (i administratorom danych) ocenić ryzyko naruszenia i ustrzec się od kary.
Chcesz sprawdzić czy ten system jest dla Ciebie? Napisz do nas.
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie