Jak zabezpieczyć firmę, gdy doszło do wycieku danych osobowych

Gdy doszło do wycieku danych osobowych, pomocna będzie uprzednio już przygotowana i wdrożona przez administratora procedura postępowania w przypadku naruszenia danych osobowych. Szczególnie w rozbudowanych organizacjach procedura ta może zapobiec dalszemu wyciekowi danych.

Za treść procedury odpowiada administrator, wdrażając odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych odpowiadało wymogom RODO.

Incydenty związane z naruszeniem ochrony danych osobowych mogą polegać w szczególności na:

 • naruszeniu zabezpieczenia systemu informatycznego,
 • innym naruszeniu, ujawniającym się zaobserwowanym stanem urządzenia, zawartością zbioru danych osobowych, ujawnionymi metodami pracy, sposobami działania programu lub jakości komunikacji w sieci telekomunikacyjnej, stanem dokumentów, pomieszczeń, szaf, okien lub drzwi w obszarze przetwarzania lub innymi naruszeniami zabezpieczenia danych osobowych.

Poniżej przedstawiono przykładowe propozycje działań, jakie można podjąć w przypadku stwierdzenia wycieku danych osobowych. Aby opisana procedura była skuteczna, wymaga poprawnego wdrożenia, w tym zapoznania pracowników z jej treścią i ich przeszkolenia. Procedura może stanowić element funkcjonującej u administratora polityki ochrony danych osobowych.

 1. Poinformowanie o naruszeniu.

  Każda osoba, która spostrzeże wyciek, powinna niezwłocznie zgłosić tę okoliczność administratorowi bądź upoważnionej przez administratora osobie. Można szczegółowo opisać, w jakiej formie powinno być dokonane zgłoszenie.
   
 2. Podjęcie określonych czynności przez osobę zgłaszającą naruszenie.

  Do momentu otrzymania odmiennych poleceń można nakazać osobie zgłaszającej naruszenie podjęcie następujących czynności:
 • powstrzymanie niepożądanych następstw naruszenia oraz ustalenie przyczyny lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
 • powstrzymanie się od wykonywania jakichkolwiek czynności, które mogą uniemożliwić lub utrudnić udokumentowanie i analizę zgłoszonego naruszenia,
 • dokonanie wstępnego zabezpieczenia i udokumentowania zaistniałego naruszenia ochrony danych osobowych (np. wykonanie zdjęć, zrzutów ekranu),
 • pozostanie w miejscu ujawnienia naruszenia do czasu przybycia administratora lub osoby upoważnionej.
 1. Działania administratora lub osoby przez niego upoważnionej przeprowadzane po otrzymaniu zgłoszenia.

  Niezwłocznie po otrzymaniu zgłoszenia naruszenia, incydentu lub informacji o możliwości naruszenia ochrony danych osobowych administrator lub osoba przez niego upoważniona zapoznaje się z zaistniałą sytuacją oraz:
 • zapisuje wszelkie informacje i okoliczności związane z danym zdarzeniem, a w szczególności dokładny czas uzyskania informacji o incydencie lub naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu;
 • wysłuchuje relacji osoby zgłaszającej z zaistniałego zdarzenia;
 • żąda wyjaśnień każdej innej osoby, która może posiadać informacje związane z zaistniałym zdarzeniem;
 • generuje i drukuje wszystkie dokumenty i raporty, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatruje je datą i podpisuje;
 • przystępuje do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp.;
 • podejmuje odpowiednie działania w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych osobowych; w tym celu może m.in.:
  –     odłączyć urządzenia i segmenty systemu informatycznego, które mogły umożliwić dostęp do bazy danych osobie niepowołanej,
  –     doprowadzić do wylogowania z systemu informatycznego osoby podejrzanej o naruszenie ochrony danych oraz pozbawić ją dostępu do baz danych,
  –     zmienić hasła dostępu do konta użytkownika w systemie informatycznym, poprzez które uzys­kano nielegalny dostęp, w celu uniknięcia ponownej próby uzyskania takiego dostępu;
 • dokonuje szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych;
 • przywraca normalne działanie systemu informatycznego, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, podejmuje decyzj...

Dalsza część jest dostępna dla użytkowników z wykupionym planem