Co zrobić, gdy pracownicy nie zgłosili ADO oraz IOD naruszenia?
Pracownicy wiedzieli o naruszeniu, ale mi go nie zgłosili. Gdy dowiedziałam się o nim z innego źródła, byli na mnie źli, że się czepiam, co robić? Takie pytanie dostałam od koleżanki z branży, która oczywiście bardzo się zestresowała sprawą, bo jest zaangażowana, pewnie jak większość z nas, w swoje obowiązki. I zdenerwowała się tym, że pracownicy przy naruszeniu ochrony danych, po prostu zamietli wszystko pod dywan.
Smutna prawda jest taka, że może to spotkać prędzej czy później każdego inspektora. Najgorzej jest wtedy, gdy zangażujemy się zbyt mocno, za bardzo się staramy, zaczynamy myśleć o administratorze danych i jego organizacji, tak jakby to były nasze dane, jakby to była nasza odpowiedzialność. Pamiętajcie jako Inspektorzy Ochrony Danych, tak naprawdę odpowiadacie za monitorowanie zgodności, i to administrator danych ma Was włączać we wszystkie procesy przetwarzania, to pracownicy są zobligowani do tego, żeby Was poinformować o naruszeniu. Jeżeli pracownicy nie wywiązali się ze swojego obowiązku, schowali sprawę pod dywan, zamknęli ją w szafie, wiedzieli, że jest naruszenie, ale udawali że nic się nie stało, to w tym momencie nie ma sensu się stresować, nie ma sensu też na nich się denerwować . To nie jest Wasz problem.
Ja w takiej sytuacji zgłosiłabym to administratorowi danych i zrobiłabym to oficjalną drogą, czyli zgodnie z procedurą postępowania przy naruszeniach dla ochrony danych. Uzyskałabym zgodnie z procedurą wyjaśnienia od osób zaangażowanych w proces: co się stało? dlaczego się stało? Następnie przygotowałabym sprawozdanie z naruszenia wraz z oceną ryzyka naruszenia, które dałabym administratorowi wraz z zaleceniami działania. I zostawiłabym go z tym problemem, bo to on musi się zastanowić, jak zagwarantować, aby w przyszłości, w przypadku naruszenia pracownicy niezwłocznie zgłosili to do niego. Ja jedynie zwracam uwagę w sprawozdaniu, że ponieważ pracownicy nie zgłosili zdarzeia, nie miał o nim wiedzy, więc nie mógł zgłosić go na czas do Prezesa UODO. Od momentu przekazania sprawozdania po stronie administratora danych jest rozwiąznaie problemu. Ja jestem od tego żeby pomóc, żeby wspierać, żeby dawać zalecenia, ale ja nie biorę odpowiedzialności za procesy przetwarzania. Nawet jeżeli pracownicy byli przeszkoleni, nawet jeżeli były procedury, nawet jeżeli ja byłam bardzo zaangażowana we wszystko, a oni i tak zrobili źle, to nie jest moja odpowiedzialność jako inspektora. Pamiętajcie o tym że inspektor nadzoruje, monitoruje, wspiera, ale nie jest w stanie wszystkiego kontrolować, i nie może też czuć się winny że doszło do naruszenia i że pracownicy to ukryli.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.
