Jakie kroki prawne powinien podjąć administrator w przypadku np. ataku hackerskiego i wykradzenia danych?

Odpowiadając na to pytanie na gruncie RODO, na pewno należy po stwierdzeniu wystąpienia takich zdarzeń zawiadomić Inspektora Ochrony Danych, Administratora Systemów Informatycznych oraz Zarząd/najwyższe kierownictwo i to niezwłocznie. Każdy Administrator powinien opracować procedurę/zasady zgłaszania naruszeń, gdyż trzeba pamiętać, że mamy 72 godziny na zgłoszenie takiego zdarzenia do organu nadzorczego. Czas liczymy od momentu stwierdzenia danego naruszenia. Oczywiście nie każdy incydent powoduje konieczność poinformowania organu czy też osoby, której dane zostały narażone. Taki obowiązek istnieje w momencie kiedy ryzyko naruszenia praw i wolności osoby, której dane dotyczą jest wysokie. Ważne zatem, żeby ocenić czy i z jak poważnymi skutkami będziemy mieli do czynienia w związku z danym atakiem hackerskim czy innym naruszeniem bezpieczeństwa danych. Wykradzenie kompletu danych osobowych w postaci np. imienia, nazwiska, adresu, nr PESEL, nr telefonu, nr dowodu osobistego etc. jak najbardziej kwalifikuje się do zgłoszenia organowi oraz poinformowania osoby, że jej dane zostały skradzione. Pozostałe działania jakie winien podjąć Administrator to oczywiście wszczęcie postępowania wyjaśniającego mającego na celu ustalenie jak do danego incydentu doszło. Być może okaże się, że np. są potrzebne inwestycje jeśli chodzi o zabezpieczenia informatyczne. W przypadku udanego ataku hackerskiego, włamania do naszej placówki czy innego działania skutkującego wykradzeniem danych osobowych czy kradzieżą środków finansowych lub dóbr materialnych należy również poinformować policję.

autor: Paweł Waniek