Jest rok 2021, a konkretnie piątek 30 kwietnia.

Pracuję zdalnie a od kilku dni jestem w moim rodzinnym mieście, za chwilę spotkam się z przyjaciółką, której nie widziałam od miesięcy – nie mogę się doczekać. Jeszcze tylko luźna narada w małym gronie i mogę zaczynać majówkę. Easy 😎. Dołączam na spotkanie, a kiedy jestem w "poczekalni", przeglądam ostatnie maile: umowa do zaopiniowania; EVERYONE z kadr - odnowienie pakietu medycznego; materiały po szkoleniu; pytanie do projektu regulaminu; informacje dot. biegu; zaproszenie na spotkanie; RE: odnowienie pakietu medycznego; cookie scan raport … O już jestem. Możemy zaczynać spotkanie … RE: odnowienie pakietu medycznego? Nie?? Tak! OMG!! TAK, RE: odnowienie pakietu medycznego!!!

👩🏻 Słuchajcie, wiedzieliście to? Mamy incydent.

👱🏻‍♀️ Wiem, właśnie przeglądam ...

          Jak się pewnie domyślasz, do wiadomości dołączona była deklaracja, w niej dane osobowe, a całość przesłane do wszystkich w organizacji. W końcu to grupowy mail. W tym przypadku dane ubezpieczonego: imię, nazwisko, PESEL, data urodzenia, płeć, adres do korespondencji, numer telefonu, adres e-mail, rodzaj pakietu oraz dane współubezpieczonego. Dodatkowo oświadczenie - zgoda na potrącenie kwoty wybranego pakietu z wynagrodzenia, i tu oczywiście kolejne dane osobowe z PESELEM.

          W dobie polskiej "PESELOZY" wiedzieliśmy od pierwszych chwil, że sprawa jest do zgłoszenia. Mamy naruszenie ochrony danych osobowych i trzeba zawiadomić PUODO. Zaczęliśmy główkować:

💭 jak ustalić, co się wydarzyło?

💭 jak skutecznie usunąć naruszenie?

💭 jakie środki korygujące i naprawcze wprowadzić już teraz?

💭 jakie zabezpieczenia i środki zaradcze wprowadzić na przyszłość?

💭 z kim rozmawiać?

💭 kto z nas stanie się tym wybrańcem, który udokumentuje poszczególne działania?

💭 kto dokona zgłoszenia?

💭 jak dotrzeć do prezesa z radosną wiadomością i jak przekonać go do zapoznania się ze sprawą, przyjęcia naszego stanowiska i podpisania pełnomocnictwa?

💭 czy jest jeszcze ktoś w księgowości, by opłacić pełnomocnictwo?

💭 jak podzielić się pracą?

kiedy dziś piątkowe popołudnie - od dawna zaplanowanej majowej laby! jutro (sobota) dzień wolny, niedziela i poniedziałek też.

          Zamiast zaplanowanych tematów, prowadziliśmy analizę - ocenę ryzyka naruszenia praw i wolności osób, których to zdarzenie dotknęło. Łącznie 8 osób. Sprawa łatwa, bo mamy procedurę, arkusze analizy. Waga ryzyka liczy się automatycznie. Wystarczy wypełnić wszystkie pola. I tu schody, nie jesteśmy w stanie usunąć naruszenia. Nasz pakiet firmowy poczty elektronicznej nie przewiduje możliwości usunięcia wiadomości z serwera. Czy to możliwe, że nie da się tego zrobić? Nie wierze! Istotność naruszenia powyżej 4, co w praktyce oznacza, że należy szczególną opieką objąć osoby, których dane osobowe zostały ujawnione, a które najprawdopodobniej nic o tym jeszcze nie wiedzą, czyli:

👉 skontaktować się z tymi osobami,

👉 opisać charakter naruszenia,

👉 zastanowić się nad możliwymi konsekwencjami ujawnienia takiego zestawu danych,

👉 opisać zastosowane lub proponowane przez organizację środki zaradcze, które usuną naruszenie lub zminimalizują jego ewentualne negatywne skutki -  wszystko prostym językiem.

          Jak więc w ciągu nie dłuższym niż 72 godziny:

💭 ustalić szczegóły zdarzenia?

💭 poinformować wszystkich w organizacji, by nie otwierali "jednej malutkiej" wiadomości i dołączonego do niej załącznika?

💭 skontaktować się z prawie 200 osobami w organizacji o godz. 15.00 w piątek przed majówką, kiedy część już jest z dala od komputera - na urlopach, w drodze do domu lub w majowym humorze dogorywają przy ekspresie z kawą?

💭 zaopiekować się osobami poszkodowanymi?

💭nie wystraszyć, tych wszystkich osób?

💭 przyjąć adekwatne do zdarzenia środki zaradcze i zabezpieczające na przyszłość?

💭 spisać raport, zgłoszenie, zawiadomienie?

💭 kto ma to zrobić?

💭 dlaczego?

          Prawdziwa historia, prawdziwe poruszenie i godziny spędzone nad:

👉 ustalaniem okoliczności i stanu faktycznego zdarzenia,

👉 planowaniem poszczególnych działań,

👉 przypisywaniem ról i odpowiedzialności poszczególnym osobom,

👉 realizacją zaplanowanych działań,

👉 bieżącą komunikacją.

          Działaliśmy sprawnie, zarówno w weekend majowy, jak i długo jeszcze po nim, aż ostatecznie otrzymaliśmy odpowiedź, że organ nadzorczy przychyla się do naszych wyjaśnień i na tym sprawę postanawia zamknąć. To był trudny, ale bardzo dobry sprawdzian. Było pracowicie, ale inspirująco! Słuchaliśmy siebie, swoich stanowisk ale i potrzeb i możliwości pogodzenia pracy z mirem domowym każdego i każdej z nas. Mieliśmy różne zdania, ale potrafiliśmy wypracować wspólne stanowisko. Przeszliśmy ten czas, bo działaliśmy w zespole.

          Dziękuję Ci K .! Dream RODO Team!

          Natalia