Niechciany wyciek danych osobowych – kiedy może nastąpić?

RODO obowiązuje od trochę ponad 6 miesięcy. W tym czasie wśród wielu firm w Polsce pojawiły się sytuacje kiedy to doszło do wycieku danych osobowych. Niedawno, bo przy okazji Black Friday jedna z największych sieci elektro-marketów miała problem z wyciekiem danych. Klienci wspomnianej sieci logując się na swoje konta w sklepie internetowym mieli dostęp do danych osobowych innych użytkowników sklepu. Również wśród naszych Klientów wystąpiły incydenty o których musieliśmy powiadomić Prezesa Urzędu Ochrony Danych Osobowych. W dzisiejszym wpisie chciałbym się podzielić sytuacjami z życia, które w związku z obowiązywaniem RODO, mogą wywołać poważne konsekwencje.

Idę na swoje z twoimi klientami.

Niedawno zgłosił się do nas jeden z klientów. Jego pracownik po kilkunastu latach postanowił uruchomić konkurencyjną względem swojego byłego pracodawcy firmę. Poza know how pracownik wyniósł bazę klientów swojego byłego pracodawcy, aby ta stanowiła dla niego źródło potencjalnych klientów. Takie zachowanie może nawet stanowić naruszenie prawa karnego. Co bardzo istotne, po 25 maja 2018 r., stanowi również naruszenie przepisów dotyczących ochrony danych osobowych. Pracownik mimo, że miał dotychczas kontakt z osobami z „wyniesionej” bazy, to nie ma podstaw do korzystania z niej. Jako nowy podmiot nie ma podstawy do przetwarzania danych osobowych z bazy w celu kontaktu czy marketingu usług własnych. W zgodzie z RODO taka baza jest bezużyteczna. Biorąc pod uwagę rozmiary bazy, a także sposób jej wykorzystywania przez nieuczciwego pracownika, musieliśmy dokonać zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. Dodatkowo w tym względzie podjęliśmy kolejne kroki prawne.

W poszukiwaniu lepszej prowizji.

Jeden z naszych klientów zatrudniał pracownika, który „dzielił” się jego bazą klientów ze swoim współmałżonkiem. Takie działanie wynikało z faktu, że obaj małżonkowie zatrudnieni byli w firmach o analogicznym profilu działalności, a ich pensja uzależniona była od prowizji za pozyskane umowy. W związku z powyższym pracownik zatrudniony u naszego klienta, przekazywał do swojego współmałżonka klientów, aby ten ostatni mógł zawrzeć z nimi umowy i zarobić na prowizji. Największy problem polegał na tym, że większość osób których dane dotyczyły, nie wiedziały że ich dane wykorzystywane są przez dwie różne firmy, a tym samym nie zawsze byli świadomi z kim realnie wiążą ich umowy. W tym przypadku, mimo całkowitej winy naszego klienta, również musieliśmy dokonać zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych.

Zgubienie sprzętu z danymi osobowymi.

Każdemu z nas zdarzyło się coś zgubić, czasem klucze, czasem portfel, a czasem… pendrive z danymi osobowymi. Przenośne pamięci są coraz mniejsze pod względem rozmiaru, a coraz większe pod względem posiadanej pamięci. Mały rozmiar ma być dla nas wygodny ale często może być też przekleństwem. Kilku centymetrowe pamięci bardzo łatwo mogą się gdzieś zawieruszyć. Wystarczy przenosić je w kieszeni z innymi przedmiotami i nieświadomie możemy pozbyć się ich przy sięganiu do kieszeni. Tak było w przypadku jednego z naszych klientów. Nasz Klient podejrzewał zagubienie pendrive z bazą dosyć znacznych rozmiarów. Na szczęście w tym przypadku alarm okazał się fałszywy, a sam pendrive został odnaleziony w „czeluściach” walizki. Pamiętajmy że w wielu przypadkach korzystamy z przenośnych dysków, które nie są zabezpieczone w żaden sposób zabezpieczone. Brak hasła dostępowego może być przyczyną wycieku danych osobowych. Biorąc pod uwagę duże pojemności dysków, a jednocześnie niewielkie rozmiary plików z danymi osobowymi, taki z pozoru niewinny incydent może zamienić się w poważny wyciek danych osobowych.

Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Spółka jawna

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *