Aktualny

Co zawrzeć w procedurze reagowania na incydenty

Autor: Patrycja Kaczmarczyk-Hap

Dodano: 9 lipca 2021
5a237dc2edcfe78a4906ff1c53775a3e1c1bf65f-xlarge (2)

Procedura reagowania na incydenty nie jest obowiązkowa, niemniej jednak bardzo przydatna. Pozwala bowiem usprawnić proces oceny i zgłaszania naruszeń ochrony danych do Prezesa UODO. Wszak administrator ma na to jedynie 72 godziny. Za przekroczenie terminu grozi zaś kara pieniężna.

Czynności ADO

Procedura winna przede wszystkim regulować zadania administratora na wypadek wystąpienia incydentu, który może być kwalifikowany jako naruszenie ochrony danych.

Przykład

Administrator po przybyciu na miejsce naruszenia prawidłowego przetwarzania danych osobowych bądź podejrzenia takiego naruszenia powinien podjąć następujące czynności:

  • zapoznać się z okolicznościami zdarzenia;

  • ocenić, czy występuje ryzyko naruszenia praw lub wolności osób fizycznych na skutek zaistniałego zdarzenia;

  • dokumentować zaistniałą sytuację zgodnie z przyjętą dokumentacją na wypadek zaistnienia naruszenia;

  • podjąć odpowiednie działania zaradcze;

  • w przypadku naruszenia praw i wolności osób lub realnego prawdopodobieństwa wystąpienia takiego ryzyka następuje zgłoszenie zaistniałej sytuacji do organu nadzorczego w terminie 72 godzin od stwierdzenia naruszenia.

Jak powinno wyglądać zgłoszenie incydentu

Warto, aby przyjęcie zgłoszenia od administratora powinno mieć formę pisemną z uwagi na późniejsze znaczenie dowodowe.

Przykład

Zgłoszenie o naruszeniu powinno zawierać określenie takich informacji, jak:

  • opis zdarzenia ze wskazaniem miejsca i czasu,

  • wskazanie osób odpowiedzialnych za zdarzenie,

  • wskazanie osoby zgłaszającej,

  • określenie wstępnej oceny zdarzenia przez administratora,

  • wskazanie, jakie dalsze kroki poczyni administrator.

Z kolei opis samego przebiegu zdarzenia będącego naruszeniem lub w stosunku do którego zachodzi podejrzenie wystąpienia naruszenia, powinien zawierać co najmniej informacje o:

  • okolicznościach i przebiegu zdarzenia,

  • przewidywanych skutkach,

  • kategorii danych, których dotyczy naruszenie,

  • osobach odpowiedzialnych za zdarzenie,

  • pierwszych podjętych działaniach zaradczych lub naprawczych.

Przykład

Kryteria oceny naruszenia

Oceny zdarzenia pod kątem konieczności jego zgłoszenia do Prezesa UODO i podmiotów danych należy dokonać na bazie obiektywnych kryteriów i przy uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych.

Przykład

W trakcie dokonywania oceny, czy występuje ryzyko ich naruszenia, administrator powinien brać pod uwagę wszelkie negatywne skutki, jak też krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych, np. utrata kontroli nad własnymi danymi osobowymi, utrata zaufania społecznego, negatywne konsekwencje wizerunkowe, kradzież tożsamości, straty finansowe, negatywny odbiór w społeczeństwie.

Uwaga

Do zaistnienia ryzyka nie jest konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych.

Przykład

Inne obowiązki personelu

Zanim informacja o zdarzeniu zagrażającym prawidłowemu przetwarzaniu danych osobowych trafi do ADO, warto przestrzegać kilku zasad, które także powinny znaleźć się w omawianej procedurze.

Przykład

Wśród podstawowych zasad można wymienić:

  1. powstrzymanie się od rozpoczętej lub od kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności mogących spowodować zatarcie śladów naruszenia bądź innych dowodów;

  2. zabezpieczenie elementów systemu informatycznego lub dokumentacji;

  3. podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych oraz innymi naruszeniami;

  4. bez wyraźnego wskazania nie opuszczać miejsca zdarzenia do czasu przybycia administratora danych.

Jak zminimalizować skutki ewentualnego naruszenia

Administrator powinien mieć na uwadze, że w przypadku stwierdzenia naruszenia w zakresie ochrony danych osobowych administrator powinien podjąć odpowiednie kroki. Plan działania dotyczący reakcji na wypadek naruszenia powinien także zostać spisany. Jest to bowiem dużym ułatwieniem dla samego administratora, który po zasięgnięciu lektury będzie w stanie szybko i adekwatnie podjąć skuteczne działania. Wszystko po to, aby minimalizować dalsze naruszenia i eskalację negatywnych skutków. Katalog działań, jakie może lub jakie powinien podjąć administrator, zawsze będzie miał charakter otwarty. Niełatwo bowiem przewidzieć wszystkie zdarzenia i okoliczności ich wystąpienia. Ważne, aby usystematyzować pewne minimalne czynności usprawniające działanie.

Przykład

Chodzi tu przede wszystkim o:

  • zabezpieczenie danych osobowych na informatycznym nośniku danych lub dokonanie wydruku tych danych;

  • sporządzenie notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych;

  • odebranie wyjaśnienia od osoby, której czynności ujawniono jako naruszenie;

  • sporządzenie kopii otrzymanych dokumentów;

  • sporządzenie kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych;

  • sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.

Autor: Patrycja Kaczmarczyk-Hap

inspektor ochrony danych specjalizujący się w obsłudze jednostek sektora publicznego

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x