Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych

Od 25 maja 2018 r. stosowane są przepisy RODO, tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zamiany w zakresie ochrony danych osobowych dotyczą także sposobu postępowania w przypadku naruszenia ochrony danych osobowych oraz zgłaszania przypadków takich naruszeń Prezesowi Urzędu Ochrony Danych Osobowych.

Poniżej przedstawiono wzór instrukcji postępowania w sytuacji naruszenia systemu ochrony danych osobowych. Pamiętać jednak należy, że jest to jedynie propozycja zapisów dotyczących rejestrowania i zgłaszania incydentów w zakresie ochrony danych osobowych. Nato­miast szczegółowe wytyczne dotyczące postępowania w przypadku naruszenia bezpieczeństwa danych osobowych powinny być opracowane przez każdego administratora danych indywidualnie, z uwzględnieniem specyfiki branży, w której działa, oraz wielkości i struktury firmy, dla której tego
rodzaju instrukcja jest opracowywana.

WSKAZÓWKA!

Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych administrator danych bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

W celu realizacji powyższego obowiązku, administrator danych powinien wdrożyć wewnętrzną instrukcję postępowania w sytuacji naruszenia systemu ochrony danych osobowych, która pozwoli na rejestrowanie incydentów naruszenia bezpieczeństwa danych osobowych i zgłaszanie takich naruszeń Prezesowi Urzędu Ochrony Danych Osobowych zwany dalej PUODO.

Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych

  1. Naruszeniem systemu ochrony danych osobowych jest każdy stwierdzony fakt przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, a w szczególności:
  • dostęp osób nieuprawnionych do danych osobowych (np. wejście osób trzecich do pomieszczeń, w których przetwarzane są dane osobowe, w sytua­cji nieobecności administratora danych lub upoważnionych pracowników, włamanie do pomieszczeń, w których przetwarzane są dane osobowe),
  • włamanie do sytemu informatycznego (np. poprzez atak wirusa komputerowego, otwarcie maila zawierającego oprogramowanie szpiegujące itp.),
  • zgubienie/kradzież dokumentów, laptopów, tabletów, pendrive’ów zwierających dane osobowe,
  • nieautoryzowany dostęp, modyfikacje lub zniszczenie danych (np. logowanie się do systemu z użyciem loginu i hasła innej osoby),
  • zniszczenie, uszkodzenie, zalanie itp. nośników danych, dokumentów zawierających dane osobowe.

Wskazówka!

Wdrażając instrukcję postępowania w sytuacji naruszenia systemu ochrony danych osobowych, należy odpowiednio przeszkolić pracowników/użytkowników systemu, tak aby mieli oni świadomość, że wszelkie wskazane wyżej incydenty naruszenia bezpieczeństwa danych osobowych (np. zgubienie pendriva’a czy teczki
z dokumentami zawierającymi dane osobowe) powinny być niezwłocznie zgłaszane administratorowi danych, wyznaczonemu przez niego pracownikowi lub inspektorowi ochrony danych, jeśli został powołany.

Należy bowiem pamiętać, że termin 72 godzin na zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych biegnie od chwili zdarzenia (np. od momentu kradzieży laptopa), a nie od momentu, w którym administrator danych uzyskał informacje o zdarzeniu od swojego pracownika. Termin 72 godziny jest czasem dla administratora danych na zgłoszenie do Prezesa Urzędu Ochrony Danych Osobowych naruszenia.
Pracownicy/użytkownicy systemu muszą takie sytuacje zgłaszać niezwłocznie.

Warto też pamiętać, że, jak wynika z motywu 85 RODO, jeżeli nie można dokonać zgłoszenia w terminie
72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki. Oznacza to, że jeśli administrator danych ma informację, że doszło do incydentu naruszenia bezpieczeństwa danych osobowych, powinien go niezwłocznie zgłosić Prezesowi Urzędu Ochrony Danych Osobowych, nawet jeśli nie dysponuje kompletem informacji (może je uzupełnić w późniejszym terminie).

  1. Przed przystąpieniem do pracy pracownik/użytkownik systemu zobowiązany jest sprawdzić stan urządzeń komputerowych oraz dokonać oględzin swojego stanowiska pracy, w tym powinien zwrócić szczególną uwagę na to, czy nie zaszły okoliczności wskazujące na naruszenie systemu ochrony danych osobowych, o których mowa w ust. 1, lub próby takich naruszeń.
  2. W przypadku stwierdzenia okoliczności mogących wskazywać, że doszło do naruszenia systemu ochrony danych osobowych lub próby takiego naruszenia, pracownik/użytkownik systemu powinien niezwłocznie zawiadomić swojego przełożonego lub inspektora ochrony danych, jeśli został wyznaczony.
  3. Pracownik/użytkownik systemu powinien wstrzymać się z rozpoczęciem pracy do czasu przybycia przełożonego lub inspektora ochrony danych, jak również nie podejmować żadnych czynności, które mógłby utrudnić wyjaśnienie okoliczności naruszenia bezpieczeństwa danych osobowych.
  4. Pracownik wyznaczony przez administratora danych lub inspektor ochrony danych, który został zawiadomiony o podejrzeniu wystąpienia incydentu naruszenia ochrony danych osobowych, po przybyciu na miejsce zdarzenia powinien:
    • ocenić sytuację, w szczególności stan pomieszczeń, sprzętu komputerowego i innych urządzeń służących do przetwarzania danych osobowych,
    • wysłuchać relacji osoby, która go zawiadomiła, ewentualnie innych osób obecnych na miejscu zdarzenia,
    • podjąć decyzję dotyczącą wznowienia pracy przez osobę zawiadamiającą o incydencie, jak również wznowienia pracy w pomieszczeniu i na sprzęcie, na którym doszło do incydentu,
    • podjąć decyzję oraz czynności zmierzające do likwidacji naruszeń zabezpieczeń danych osobowych oraz zabezpieczenia systemu ochrony danych osobowych i zapobieżenia wystąpieniu podobnych  incydentów w przyszłości.
  5. Jeżeli wynika to z charakteru incydentu naruszenia bezpieczeństwa danych osobowych, pracownik wyznaczony przez administratora danych lub inspektor ochrony danych wykonuje czynności, o których mowa w ust. 5, korzystając z pomocy informatyka.
  6. Pracownik wyznaczony przez administratora danych lub inspektor ochrony danych sporządza z przebiegu zdarzenia raport, w którym powinny się znaleźć w szczególności informacje o:
    • dacie i godzinie powiadomienia o incydencie,
    • osobie zawiadamiającej o zaistniałym incydencie (innych osobach, które przekazały informacje dotyczące incydentu),
    • miejscu, w którym doszło do incydentu,
    • rodzaju naruszenia bezpieczeństwa ochrony danych oraz faktycznych okoliczności dotyczących wystąpienia incydentu,
    • przyczynach (prawdopodobnych przyczynach) wystąpienia incydentu,
    • podjętych działaniach w celu zapobieżenia negatywnym skutkom incydentu,
    • działaniach i zaleceniach mających zapobiec podobnemu incydentowi w przyszłości.
  7. Wzór raportu z naruszenia ochrony danych określa załącznik nr 1.
  8. W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem naruszenia obowiązków pracowniczych lub obowiązującej u administratora danych polityki bezpieczeństwa w zakresie ochrony danych osobowych, administrator danych wykonuje czynności zmierzajcie do wyjaśnienia wszystkich okoliczności incydentu oraz podejmuje stosowne działania wobec osób, które dopuściły się przedmiotowego uchybienia.
  9. W każdej sytuacji, w której doszło do naruszenia ochrony danych osobowych, administrator danych podejmuje decyzję, czy naruszenie danych osobowych wymaga zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych w trybie art. 33 RODO.
  10. Zgłoszenie naruszenia danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych powinno nastąpić bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia.

Wskazówka!

Zgodnie z art. 33 ust. 1 RODO administrator danych nie musi zgłaszać Prezesowi Urzędu Ochrony Danych Osobowych incydentów naruszenia bezpieczeństwa danych osobowych, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Na przykład w sytuacji, gdy doszło do zniszczenia noś­nika danych (płyty CD, pendrive’a), ale dostęp do danych, które znajdowały się na tym nośniku możliwy jest poprzez wykorzystanie kopii zapasowych, nie ma ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Tego rodzaju incydenty, które nie powodują ryzyka naruszenia praw lub wolności osób, których dane dotyczącą, nie muszą być zgłaszane Prezesowi Urzędu Ochrony Danych Osobowych.

  1. Zgłoszenie organowi nadzorczemu powinno:
  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, gdzie można uzyskać więcej informacji,
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym (w stosownych przypadkach) środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Wskazówka!

Zgodnie z art. 83 ust. 2 pkt h Prezes Urzędu Ochrony Danych Osobowych, decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku uwagę na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator danych lub podmiot przetwarzający zgłosili naruszenie.

Powyższe oznacza, że nakładając ewentualne kary pieniężne, Prezes Urzędu Ochrony Danych Osobowych będzie sprawdzał, czy administrator danych wywiązał się ze swoich obowiązków i dokonał zgłoszenia naruszenia w wymaganym terminie 72 godzin (i z jakiego powodu wynikały ewentualne opóźnienia).

Z tego właśnie względu tak ważne jest skrupulatne prowadzenie rejestru naruszeń oraz dokonywanie ewentualnych zgłoszeń do organu nadzorczego w sytuacjach, gdy wymagają tego przepisy RODO. Okoliczności te będą bowiem brane pod uwagę w razie wymierzenia ewentualnych sankcji. Wywiązanie się ze wskazanych obowiązków będzie okolicznością łagodzącą i mającą wpływ na ewentualne obniżenie kary pieniężnej.

  1. Administrator danych dokumentuje wszelkie incydenty dotyczące ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  2. Rejestr naruszeń ochrony danych osobowych stanowi załącznik nr 2 do niniejszej instrukcji.

Wskazówka!

Zgodnie z art. 33 ust. 5 RODO dokumentacja prowadzona przez administratora danych dotycząca rejestrowania incydentów naruszenia bezpieczeństwa danych osobowych musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania przepisów RODO.

W tej sytuacji rejestr naruszeń ochrony danych osobowych powinien być prowadzany na bieżąco oraz w sposób dokładny i kompletny. Oznacza to, że nawet z pozoru drobne uchybienia dotyczące bezpieczeństwa danych osobowych powinny być odnotowywane w rejestrze, nawet jeśli potem nie będą zgłaszane Prezesowi Urzędu Ochrony Danych Osobowych.

Przepisy RODO wskazują, że wszystkie incydenty dotyczące bezpieczeństwa danych osobowych powinny być odnotowywane w przedmiotowym rejestrze, ale jedynie te incydenty, które skutkują ryzykiem naruszenia praw lub wolności osób fizycznych, powinny być zgłaszane PUODO.

  1. Jeżeli naruszenie ochrony danych osobowych mogło spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  2. Zawiadomienie, o którym mowa w ust. 15, powinno być przekazane jasnym i prostym językiem, opisującym charakter naruszenia ochrony danych osobowych, oraz:
    • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
    • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
    • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  3. Zawiadomienie, o którym mowa w ust. 15, nie jest wymagane w następujących przypadkach:
    • jeżeli administrator danych wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności takie środki jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
    • jeżeli administrator danych zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
    • jeżeli takie zawiadomienie wymagałoby niewspółmiernie dużego wysiłku – w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  4. Decyzję o ewentualnym zawiadomieniu o incydencie bezpieczeństwa danych osobowych osób, których dane dotyczą, podejmuje administrator danych po konsultacji z inspektorem ochrony danych, jeśli został wyznaczony.

Wskazówka!

W sytuacji, gdyby naruszenie bezpieczeństwa danych osobowych mogło spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, konieczne jest zawiadomienie tych osób, tak aby mogły one odpowiednio zareagować na naruszenie, np. poprzez zmianę haseł dostępowych do konta w portalu internetowym.