Naszym gościem na łamach portalu Znam Swoje Prawo jest mecenas Katarzyna Kwasek.
Pani Mecenas to jedna z trzech autorek serwisu GameDev Lawyer, który poświęcony jest prawnej stronie gamedevu.
Dziś zgodziła się opowiedzieć o wycieku danych osobowych w studio gamedev i jego konsekwencjach.
Redakcja: Czy wyciek danych osobowych w studio gamedev to zdarzenie, o którym zawsze należy informować osobę, której dane wyciekły? Od czego to zależy?
Katarzyna Kwasek: Wyciek danych osobowych to każdorazowo temat delikatny i bardzo indywidualny.
Odpowiedź na pytanie, czy zawsze należy o nim informować osobę, której dane wyciekły brzmi nie – nie zawsze.
Niemniej o ile nie jesteśmy stuprocentowo pewni, że konsekwencje wycieku nie są znaczące, zawiadamiajmy takie osoby.
Decyzja o powiadomieniu osoby lub rezygnacji z powiadomienia, musi zawsze być poprzedzona skrupulatną analiza zajścia.
Jaki jest charakter danych, które wyciekły? Jakie są ryzyka wykorzystania tych danych – a konkretnie w jakich celach te dane może wykorzystać ktoś nieuprawniony?
Wszystko zależy od ryzyka, jakie wyciek rodzi wobec poszkodowanego.
Jeśli istnieje wysokie ryzyko naruszenia praw i wolności jednostki, bo na przykład – wyciekł numer PESEL – należy niezwłocznie poinformować tę osobę.
Mając świadomość zagrożeń związanych z rodzajem naruszonych danych, taka osoba może podjąć kroki żeby zapobiec sytuacji, w której – na przykład – ktoś weźmie kredyt w jej imieniu.
O czym należy pamiętać analizując czy należy poinformować daną osobę o wycieku jej danych osobowych?
Po pierwsze, o interesie osoby, której dane wyciekły.
Po drugie, o skutkach jakie rodzi posiadanie jej danych przez nieuprawnioną osobę.
Idealnie byłoby postawić się w sytuacji poszkodowanego wyciekiem.
Czy gdyby ktoś wykradł z bazy wyłącznie nasz e-mail, konsekwencje byłyby doniosłe?
Co do zasady nie, bo e-mail to dana dostępna w różnych źródłach i niewiele można z nią zrobić.
Ale już w sytuacji, gdy doszło do wycieku imienia, nazwiska i numeru dowodu osobistego – sytuacja może być naprawdę niebezpieczna.
Na podstawie takich danych można przykładowo zawrzeć umowę i zobowiązać niczego nieświadomą osobę do obciążeń np. finansowych.
W jaki sposób dokonać zawiadomienia o wycieku danych osobowych?
Zawiadomienie musi spełniać kilka wymagań.
Przede wszystkim ma być napisane jasnym, prostym językiem.
Dodatkowo osoba powiadomiona musi mieć możliwość wielokrotnego zapoznania się z treścią zawiadomienia.
Z tych powodów najlepiej do zgłoszenia naruszenia nadaje się forma mailowa (warto poprosić o potwierdzenie odebrania takiego maila i zapoznania się z jego treścią), a dodatkowo dla pewności, wysyłka tradycyjną pocztą.
Jakie informacje powinny znaleźć się w takim zawiadomieniu?
Zawiadomienie osoby, której dane wyciekły musi zawierać kilka kluczowych informacji. Są to:
- opis charakteru naruszenia
- imię, nazwisko i kontakt do inspektora ochrony danych (lub do innej osoby, która zajmuje się RODO u administratora danych)
- opis możliwych konsekwencji naruszenia, środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu
- a także środki minimalizujące negatywne skutki naruszenia, jakie administrator danych osobowych proponuje poszkodowanemu.
Taka notatka powinna jasno wskazywać co się dokładnie wydarzyło, co zrobił administrator żeby zminimalizować ryzyko konsekwencji i co może zrobić sam poszkodowany, żeby naruszenie nie spowodowało dla niego trudno odwracalnych skutków.
Najlepiej w zawiadomieniu posługiwać się konkretnymi przykładami – jeśli naruszenie dotyczy danych typu PESEL czy numeru dowodu – można zasugerować zastrzeżenie karty płatniczej.
Jakie kary mogą być nałożone na studio gamedev, gdy doszło w nim do wycieku danych osobowych?
Maksymalne kary wskazane w RODO to 10 lub 20 mln euro (lub do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku).
Brzmi strasznie, ale pamiętajmy, że to kary graniczne.
Organ nadzorczy, który je nakłada, nie robi tego z automatu. Jest wiele zmiennych, od których zależy kwota kary pieniężnej za naruszenie danych.
Warto też wiedzieć, że organ może w ogóle odstąpić od nałożenia kary.
W Polsce kary za naruszenie RODO zdarzają się zarówno w wysokości kilku, jak i kilkuset tysięcy euro.
Rekordowa dotychczas kara finansowa nałożona przez urząd to 1,08 miliona euro, a więc 4 911 732 złotych.
Tak potężny jej wymiar wynika ze skali naruszenia – dotyczyło aż 137 314 osób, wyciekły m.in. dane takie jak PESEL i numer dowodu.
Na domiar złego nie zawiadomiono tych osób o naruszeniu.
Z pewnością gdyby administrator podjął kroki w celu zapobieżenia negatywnym skutkom wycieku (w tym zawiadomił osoby poszkodowane) ta kara byłaby mniej dotkliwa.
O czym należy pamiętać, aby uchronić swoje studio GameDev przed nałożeniem na nie kar za naruszenie danych osobowych?
Przede wszystkim, należy dbać o pewną „higienę” postępowania z danymi osobowymi.
Dobrze wdrożone RODO gwarantuje kontrolę nad procesami przetwarzania danych i pozwala na szybkie reakcje w krytycznych sytuacjach, w szczególności gdy dojdzie do naruszenia.
Solidne podejście do tematu bezpieczeństwa danych (tutaj szczególną uwagę zwracam na działy IT), a także regularne szkolenie osób upoważnionych do dostępu do danych (pracownicy, zleceniobiorcy) to dobry początek.
A gdy już dojdzie do naruszenia, zgłaszajmy je organowi i podmiotowi danych, wszczynajmy procedury naprawcze i nie uciekajmy od odpowiedzialności.
Bo jak pokazuje praktyka, im rzetelniej współpracujemy z organem nadzorczym, tym bardziej jest on skłonny minimalizować ewentualne kary lub nawet od nich odstępować.
Dziękujemy za rozmowę!
***
Serdecznie dziękujemy pani mec. Katarzynie Kwasek za rozmowę!
Zapraszamy jeszcze raz do odwiedzin serwisu GameDev Lawyer.
📌
Po przeczytaniu wywiadu z mec. Katarzyną Kwasek o wycieku danych osobowych, zapraszamy również do lektury wywiadów udzielonych przez pozostałe autorki serwisu GameDev Lawyer:
➡ DocuSign dla studia gamedev – wywiad z mec. Justyną Dzik-Wykrętowicz
➡ Portal GameDev Lawyer i spółka z o.o. dla studia gamdev – wywiad z mec. Ewą Krzemień
Zdjęcie Mimi Thian pochodzi z Unsplash
