Wyciek danych osobowych w studio gamedev – wywiad z mec. Katarzyną Kwasek

Autor: Redakcja w kategorii: Biznes i firma, Prawo dla biznesu

Wyciek danych osobowych w studio gamedev – wywiad z mec. Katarzyną Kwasek

Naszym gościem na łamach portalu Znam Swoje Prawo jest mecenas Katarzyna Kwasek.

Pani Mecenas to jedna z trzech autorek serwisu GameDev Lawyer, który poświęcony jest prawnej stronie gamedevu.

Dziś zgodziła się opowiedzieć o wycieku danych osobowych w studio gamedev i jego konsekwencjach.

Redakcja: Czy wyciek danych osobowych w studio gamedev to zdarzenie, o którym zawsze należy informować osobę, której dane wyciekły? Od czego to zależy?

mec. Katarzyna KwasekKatarzyna Kwasek: Wyciek danych osobowych to każdorazowo temat delikatny i bardzo indywidualny.

Odpowiedź na pytanie, czy zawsze należy o nim informować osobę, której dane wyciekły brzmi nie – nie zawsze.

Niemniej o ile nie jesteśmy stuprocentowo pewni, że konsekwencje wycieku nie są znaczące, zawiadamiajmy takie osoby.

Decyzja o powiadomieniu osoby lub rezygnacji z powiadomienia, musi zawsze być poprzedzona skrupulatną analiza zajścia.

Jaki jest charakter danych, które wyciekły? Jakie są ryzyka wykorzystania tych danych – a konkretnie w jakich celach te dane może wykorzystać ktoś nieuprawniony?

Wszystko zależy od ryzyka, jakie wyciek rodzi wobec poszkodowanego.

Jeśli istnieje wysokie ryzyko naruszenia praw i wolności jednostki, bo na przykład – wyciekł numer PESEL – należy niezwłocznie poinformować tę osobę.

Mając świadomość zagrożeń związanych z rodzajem naruszonych danych, taka osoba może podjąć kroki żeby zapobiec sytuacji, w której – na przykład – ktoś weźmie kredyt w jej imieniu.

O czym należy pamiętać analizując czy należy poinformować daną osobę o wycieku jej danych osobowych?

Po pierwsze, o interesie osoby, której dane wyciekły.

Po drugie, o skutkach jakie rodzi posiadanie jej danych przez nieuprawnioną osobę.

Idealnie byłoby postawić się w sytuacji poszkodowanego wyciekiem.

Czy gdyby ktoś wykradł z bazy wyłącznie nasz e-mail, konsekwencje byłyby doniosłe?

Co do zasady nie, bo e-mail to dana dostępna w różnych źródłach i niewiele można z nią zrobić.

Ale już w sytuacji, gdy doszło do wycieku imienia, nazwiska i numeru dowodu osobistego – sytuacja może być naprawdę niebezpieczna.

Na podstawie takich danych można przykładowo zawrzeć umowę i zobowiązać niczego nieświadomą osobę do obciążeń np. finansowych.

W jaki sposób dokonać zawiadomienia o wycieku danych osobowych?

Zawiadomienie musi spełniać kilka wymagań.

Przede wszystkim ma być napisane jasnym, prostym językiem.

Dodatkowo osoba powiadomiona musi mieć możliwość wielokrotnego zapoznania się z treścią zawiadomienia.

Z tych powodów najlepiej do zgłoszenia naruszenia nadaje się forma mailowa (warto poprosić o potwierdzenie odebrania takiego maila i zapoznania się z jego treścią), a dodatkowo dla pewności, wysyłka tradycyjną pocztą.

Jakie informacje powinny znaleźć się w takim zawiadomieniu?

Zawiadomienie osoby, której dane wyciekły musi zawierać kilka kluczowych informacji. Są to:

  • opis charakteru naruszenia
  • imię, nazwisko i kontakt do inspektora ochrony danych (lub do innej osoby, która zajmuje się RODO u administratora danych)
  • opis możliwych konsekwencji naruszenia, środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu
  • a także środki minimalizujące negatywne skutki naruszenia, jakie administrator danych osobowych proponuje poszkodowanemu.

Taka notatka powinna jasno wskazywać co się dokładnie wydarzyło, co zrobił administrator żeby zminimalizować ryzyko konsekwencji i co może zrobić sam poszkodowany, żeby naruszenie nie spowodowało dla niego trudno odwracalnych skutków.

Najlepiej w zawiadomieniu posługiwać się konkretnymi przykładami – jeśli naruszenie dotyczy danych typu PESEL czy numeru dowodu – można zasugerować zastrzeżenie karty płatniczej.

Jakie kary mogą być nałożone na studio gamedev, gdy doszło w nim do wycieku danych osobowych?

Maksymalne kary wskazane w RODO to 10 lub 20 mln euro (lub do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku).

Brzmi strasznie, ale pamiętajmy, że to kary graniczne.

Organ nadzorczy, który je nakłada, nie robi tego z automatu. Jest wiele zmiennych, od których zależy kwota kary pieniężnej za naruszenie danych.

Warto też wiedzieć, że organ może w ogóle odstąpić od nałożenia kary.

W Polsce kary za naruszenie RODO zdarzają się zarówno w wysokości kilku, jak i kilkuset tysięcy euro.

Rekordowa dotychczas kara finansowa nałożona przez urząd to 1,08 miliona euro, a więc 4 911 732 złotych.

Tak potężny jej wymiar wynika ze skali naruszenia – dotyczyło aż 137 314 osób, wyciekły m.in. dane takie jak PESEL i numer dowodu.

Na domiar złego nie zawiadomiono tych osób o naruszeniu.

Z pewnością gdyby administrator podjął kroki w celu zapobieżenia negatywnym skutkom wycieku (w tym zawiadomił osoby poszkodowane) ta kara byłaby mniej dotkliwa.

O czym należy pamiętać, aby uchronić swoje studio GameDev przed nałożeniem na nie kar za naruszenie danych osobowych?

Przede wszystkim, należy dbać o pewną „higienę” postępowania z danymi osobowymi.

Dobrze wdrożone RODO gwarantuje kontrolę nad procesami przetwarzania danych i pozwala na szybkie reakcje w krytycznych sytuacjach, w szczególności gdy dojdzie do naruszenia.

Solidne podejście do tematu bezpieczeństwa danych (tutaj szczególną uwagę zwracam na działy IT), a także regularne szkolenie osób upoważnionych do dostępu do danych (pracownicy, zleceniobiorcy)  to dobry początek.

A gdy już dojdzie do naruszenia, zgłaszajmy je organowi i podmiotowi danych, wszczynajmy procedury naprawcze i nie uciekajmy od odpowiedzialności.

Bo jak pokazuje praktyka, im rzetelniej współpracujemy z organem nadzorczym, tym bardziej jest on skłonny minimalizować ewentualne kary lub nawet od nich odstępować.

Dziękujemy za rozmowę!

***

Serdecznie dziękujemy pani mec. Katarzynie Kwasek za rozmowę!

Zapraszamy jeszcze raz do odwiedzin serwisu GameDev Lawyer.

📌

Po przeczytaniu wywiadu z mec. Katarzyną Kwasek o wycieku danych osobowych, zapraszamy również do lektury wywiadów udzielonych przez pozostałe autorki serwisu GameDev Lawyer:

➡ DocuSign dla studia gamedev – wywiad z mec. Justyną Dzik-Wykrętowicz

➡ Portal GameDev Lawyer i spółka z o.o. dla studia gamdev – wywiad z mec. Ewą Krzemień

Photo by Mimi Thian on Unsplash

Poprzedni wpis:

Następny wpis: