Kontrole i incydenty
Nawet najlepiej zaprojektowany system ochrony informacji jest tak silny, jak silne jest jego najsłabsze ogniwo. Naturalnym jest, że w toku prowadzenia działalności może dochodzić do incydentów. Ich przyczyny mogą być różne: błąd pracownika, awaria infrastruktury kontrahenta czy nawet atak hakerski. W takim przypadku niezwykle istotne jest, by odpowiednio reagować i wypełnić wszystkie nałożone przez prawo obowiązki, takie jak np. powiadomienie Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu.
Prezes Urzędu Ochrony Danych Osobowych może nakazać administratorowi lub podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań, a także prowadzić postępowania w formie audytów ochrony danych.
Po podjęciu przez organ czynności kontrolnych wobec przedsiębiorcy zaleca się współpracę z urzędem. Istnieje bowiem szereg instrumentów, w tym o charakterze finansowym, które PUODO może wykorzystać wobec podmiotu, który utrudnia przeprowadzenie kontroli. W takim przypadku warto wiedzieć nie tylko jakie informacje należy przekazać, lecz także w jakiej formie. Należy też pamiętać o konieczności przedstawienia odpowiednich dowodów, bowiem to administratora obciąża obowiązek wykazania, że system ochrony danych działa prawidłowo.
Wspieramy przedsiębiorców – jako pełnomocnicy procesowi – w postępowaniu prowadzonym przed Prezesem Urzędu Ochrony Danych Osobowych, a także, gdy zajdzie taka potrzeba, przed sądami administracyjnymi. Wyjaśniamy, jakie informacje są oczekiwane przez organ, a także pomagamy je zgromadzić i odpowiednio przedstawić w stanowisku dla urzędu.
Często jednak kontrola prowadzona przez PUODO jest następstwem zgłoszenia incydentu dotyczącego naruszenia ochrony danych osobowych. Nie oznacza to jednak, by tego obowiązku zaniechać – przeciwnie, uchylenie się od dokonania zgłoszenia może doprowadzić do nałożenia wyższej kary finansowej na przedsiębiorcę.
Gdy dojdzie już do incydentu, należy odpowiednio zarządzać kryzysem: przygotować wewnętrzną dokumentację, zebrać i zabezpieczyć dowody, dokonać zgłoszenia incydentu do odpowiedniego organu, a także – gdy zajdzie taka potrzeba – poinformować o incydencie kontrahentów lub osoby, których dane zostały w wyniku incydentu naruszone. Mamy doświadczenie w obsłudze takich zdarzeń – począwszy od drobnych, polegających np. na wysłaniu wiadomości email z newsletterem do większej liczby jawnych adresatów, aż po globalne incydenty typu ransomware, do których doszło w wyniku ataku hakerskiego.
Sprawnie zarządzamy kryzysem.
Co robimy w ramach usługi?
- występujemy w imieniu Klientów w postępowaniach przed Prezesem Urzędu Ochrony Danych Osobowych oraz przed innymi organami publicznymi,
- przygotowujemy wewnętrzną dokumentację związaną z wystąpieniem incydentu,
- kontaktujemy się osobami, których incydent dotyczył,
- przygotowujemy do kontroli prowadzonej przez PUODO.
Kontakt:
Skontaktuj się ze mną
Eksperci:
Paweł Tański
radca prawny / partner zarządzający
Katarzyna Jankowska
radca prawny / inspektor ochrony danych
Klaudia Jakubowska
radca prawny
Klient Biznesowy
Ochrona danych
Pozostałe usługi
Skontaktuj się z nami
SDO Legal Dąbrowski Olech Tański Myślicki Spółka Partnerska Radców Prawnych i Adwokatów
ul. Narutowicza 12 (I piętro)
70-240 Szczecin
ul. ppor. E. Łopuskiego 23 pok. 205
78-100 Kołobrzeg