Procedura reagowania na zgłoszenie dotyczące naruszenia bezpieczeństwa danych osobowych (art. 33 i 34 RODO)

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

Brak odpowiedniej i szybkiej reakcji na naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, tj.: utrata kontroli nad włas­nymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).

Zgłaszanie naruszenia ochrony danych osobowych (art. 33 RODO)

W przypadku stwierdzenia naruszenia ochrony danych osobowych administrator zgłasza je organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Podmiot przetwarzający po stwierdzeniu naruszenia bez zbędnej zwłoki zgłasza je administratorowi.

Zgłaszanie incydentu naruszenia ochrony danych osobowych:

 

Administrator danych osobowych ª Organ nadzorczy

Podmiot przetwarzający ª Administrator danych osobowych ª Organ nadzorczy

 

Zgłoszenie zawiera następujące informacje:

  • charakter naruszenia ochrony danych osobowych,
  • kategorie i przybliżona liczba osób, których dane dotyczą,
  • kategorie i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym (w stosownych przypadkach) środki stosowane w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli informacji nie da się udzielić w tym samym czasie, można ich udzielać sukcesywnie, bez zbędnej zwłoki. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania tego artykułu.

Zawiadamianie osoby, której dane dotyczą, o naruszeniu (art. 34 RODO)

Administrator bez zbędnej zwłoki informuje osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków tego naruszenia. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania.

Zawiadomienie musi być zredagowane jasnym i prostym językiem. Opisuje ono charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej:

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opis możliwych konsekwencji naruszenia ochrony danych,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków stosowanych w celu zminimalizowania jego ewentualnych negatywnych skutków,
  • informacje o tym, jakie administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i czy środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie.

Administrator zastosował w systemach informatycznych środki ochrony danych osobowych, które umożliwiają szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do danych osobowych, środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, których neutralizacja wymagałaby niewspółmiernie dużego wysiłku. W takim przypadku może być wydany publiczny
komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają
poinformowane w równie skuteczny sposób.

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

 

1.     Celem niniejszej instrukcji jest określenie zadań pracowników w zakresie:

1)     ochrony danych osobowych przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą oraz ochroną zasobów technicznych,

2)     prawidłowego reagowania pracowników zatrudnionych przy przetwarzaniu danych osobowych w przypadku stwierdzenia naruszenia ochrony danych osobowych lub zabezpieczeń systemu informatycznego,

3)     ograniczenia ryzyka powstania zagrożeń oraz minimalizacji skutków wystąpienia zagrożeń.

2.     Naruszenie systemu ochrony danych osobowych może zostać stwierdzone na podstawie oceny:

1)     stanu urządzeń technicznych,

2)     zawartości zbiorów danych osobowych,

3)     zasad zabezpieczenia i przetwarzania danych osobowych,

4)     stwierdzenia ujawnienia przetwarzanych danych osobowych osobom lub podmiotom nieuprawnionym,

5)     sposobu działania programu lub jakości komunikacji w sieci teleinformatycznej,

6)     metod pracy (w tym obiegu dokumentów).

3.     Każdy pracownik administratora w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych zobowiązany jest bezzwłocznie powiadomić o tym inspektora ochrony danych osobowych lub bezpośredniego przełożonego.

4.     Do typowych zagrożeń bezpieczeństwa danych osobowych należą:

1)     niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,

2)     niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,

3)     nieprawidłowe obchodzenie się z danymi osobowymi, a przede wszystkim niestosowanie właściwych zabezpieczeń i pomijanie procedur bezpieczeństwa,

4)     brak kontroli ze strony osób funkcyjnych i nadzoru nad procesami przetwarzania danych osobowych,

5)     nieprzestrzeganie procedur przetwarzania danych osobowych określonych w polityce,

6)     zbieranie danych osobowych niezgodne z celem oraz podstawami prawnymi,

7)     nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).

5.     Do typowych incydentów zagrażających bezpieczeństwu danych osobowych należą:

1)     zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),

2)     zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników utrata/zagubienie danych),

3)     umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania),

4)     próby wyłudzenia danych osobowych oraz wykorzystywania ich niezgodnie z celem gromadzenia.

6.     W przypadku stwierdzenia wystąpienia zagrożenia bezpieczeństwa danych inspektor ochrony danych osobowych prowadzi postępowanie wyjaśniające, w toku którego:

1)     ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,

2)     inicjuje ewentualne działania dyscyplinarne,

3)     rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości,

4)     prowadzi proces szacowania ryzyka dla przetwarzanych danych osobowych,

5)     dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu z zagrożenia bezpieczeństwa danych osobowych,

6)     podejmuje działania zapobiegawcze.

7.     W przypadku stwierdzenia naruszenia bezpieczeństwa danych lub zaistnienia incydentu mającego wpływ na bezpieczeństwo przetwarzanych danych inspektor ochrony danych osobowych prowadzi postępowanie wyjaśniające, w toku którego dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu o naruszeniu ochrony danych osobowych wg załączonych wzorów do niniejszej polityki, który co najmniej:

1)     ustala rodzaj lub formę naruszenia bezpieczeństwa przetwarzanych danych osobowych,

2)     ustala datę, czas, miejsce wystąpienia naruszenia, jego zakres, przyczyny ujawnienia, skutki oraz wielkość zaistniałych szkód,

3)     zabezpiecza ewentualne dowody winy,

4)     ustala osoby odpowiedzialne za naruszenia,

5)     podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),

6)     inicjuje działania dyscyplinarne,

7)     rekomenduje działania prewencyjne (korekcyjne, korygujące, zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości.

8.     Inspektor sporządza raporty z incydentów bezpieczeństwa i ewidencjonuje je w „Rejestrze incydentów i zagrożeń”.

9.     W przypadku stwierdzenia naruszenia ochrony danych osobowych mającego wpływ na prawa lub wolności osoby, której dane dotyczą, administrator zgłasza ten fakt organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz powiadamia o tym fakcie osoby, których dane zostały ujawnione lub nad których danymi stracono kontrolę.

 10. W przypadku stwierdzenia naruszenia, o którym mowa w pkt 9, administrator jest zobowiązany do wdrożenia procedury działań korygujących i zapobiegawczych.

 11. Celem procedury, o której mowa w pkt 10, jest uporządkowanie i przedstawienie czynności związanych z inicjowaniem oraz realizacją działań korygujących i zapobiegawczych wynikających z zaistnienia naruszeń lub zagrożeń bezpieczeństwa danych oraz zagrożeń systemu ochrony danych osobowych.

 12. Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność z wymaganiami RODO i ustawy o ochronie danych osobowych, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych.

 13. Procedury działań korygujących i zapobiegawczych obejmują:

1)     incydenty, naruszenia bezpieczeństwa informacji mające wpływ na poufność, dostępność i integralność przetwarzanych danych osobowych,

2)     zagrożenia wynikające z potencjalnej możliwości wystąpienia incydentu,

3)     skorygowanie działań mających na celu wyeliminowanie skutków incydentu,

4)     działania przeprowadzone w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji,

5)     działania zapobiegawcze, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądanej,

6)     kontrolę i ocenę skuteczności systemu ochrony danych osobowych na podstawie wymagań ustawowych, polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz polityki bezpieczeństwa.

 14. Osobą odpowiedzialną za nadzór nad procedurami jest inspektor ochrony danych osobowych.

 15. Inspektor ochrony danych osobowych jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych.

 16. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach w systemie ochrony danych osobowych są:

1)     zgłoszenia od kierowników komórek organizacyjnych lub pracowników,

2)     zgłoszenia od osób, których dane osobowe są przetwarzane przez administratora,

3)     wyniki kontroli, w tym ustalone przyczyny i okoliczności naruszenia bezpieczeństwa danych osobowych.

 17. W przypadku gdy inspektor ochrony danych osobowych stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa:

1)     źródło powstania incydentu lub zagrożenia,

2)     zakres działań korygujących lub zapobiegawczych,

3)     termin realizacji działań korygujących oraz osobę lub osoby odpowiedzialne za ich wprowadzenie.

 18. Bezpośredni przełożony pracownika po stwierdzeniu naruszenia bezpieczeństwa danych osobowych jest zobowiązany niezwłocznie powiadomić inspektora ochrony danych osobowych, chyba że zrobił to pracownik, który stwierdził naruszenie.

 19. Na stanowisku, na którym stwierdzono naruszenie zabezpieczenia danych, inspektor ochrony danych osobowych lub osoba przełożona pracownika przejmują nadzór nad pracą w systemie, odsuwając jednocześnie od stanowiska pracownika, który dotychczas na nim pracował, aż do czasu wydania odmiennej decyzji.

 20. Inspektor ochrony danych osobowych zobowiązany jest do powiadomienia o zaistniałej sytuacji administratora, który podejmuje decyzje o wykonaniu czynności zmierzających do przywrócenia poprawnej pracy systemu oraz o ponownym przystąpieniu do pracy w systemie.

 21. Inspektor ochrony danych osobowych zobowiązany jest do sporządzenia „Raportu z przeglądu incydentów i zdarzeń” i przedstawienia go do zatwierdzenia administratorowi.

22. Za naruszania dotyczące ochrony danych osobowych obowiązują kary przewidziane przepisami prawa.