Procedura zgłaszania incydentów

Co jakiś czas słychać o wyciekach danych osobowych, o przypadkowym ich udostępnieniu czy nawet kradzieży, zarówno w kraju, jak i na całym świecie. Przypadki te obejmują rozmaite sytuacje, takie jak:

  • kradzież lub zagubienie laptopa, tabletu, smartfona, firmowych dokumentów,
  • włamanie do systemu komputerowego, w tym także tego dostępnego przez Internet,
  • udostępnienie danych w Internecie z powodu błędu w konfiguracji,
  • kradzież danych przez pracownika,
  • wyciek lub usunięcie danych przez wirusa komputerowego,
  • udostępnienie danych w wyniku omyłki (np. przesłanie mailem do innej osoby, niż się zamierzało).

 

Lista takich przykładowych zdarzeń mogłaby być bardzo długa. Każdy taki przypadek zwykło się określać mianem incydentu.

 

  • Skutki incydentu dotyczącego danych osobowych mogą być m.in. następujące:
  • naruszenie przepisów prawa (ochrona danych osobowych, inne regulacje),
  • negatywny wpływ na reputację firmy,
  • narażenie prywatności osób,
  • zakłócenie czynności biznesowych,
  • straty finansowe,
  • odpowiedzialność prawna lub administracyjna,
  • odpowiedzialność cywilna (pozwy od osób poszkodowanych lub pokrzywdzonych).

 

Czasami incydent może przerodzić się w poważny kryzys stanowiący zagrożenie dla organizacji. W przypadku poważnych sytuacji każda chwila ma decydujące znaczenie, a szczególnie ważna jest odpowiednia komunikacja z otoczeniem firmy. Dlatego warto dobrze przygotować się na wypadek wystąpienia incydentów, by w takiej sytuacji rea­gować sprawnie, jak najmniej ryzykując.                                                                   

 

 

 

 

Wymagania prawne

Leszek Kępa

 

Od kilku lat przedsiębiorcy telekomunikacyjni w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych mieli obowiązek powiadamiać o takim zdarzeniu Generalnego Inspektora Ochrony Danych Osobowych (GIODO), a w niektórych sytuacjach – abonenta lub użytkownika końcowego (art. 174a ustawy Prawo telekomunikacyjne). Powiadomienie ma nastąpić niezwłocznie, jednak nie później niż w ciągu 3 dni.

 

Nowe przepisy unijne wprowadzają podobny obowiązek wobec każdego, kto przetwarza dane osobowe – art. 33 ust. 1:

W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

 

 

Przez naruszenie ochrony danych osobowych rozumie się w RODO naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Administrator ma zgłaszać naruszenia organowi nadzorczemu. Jeśli dane osobowe zostały powierzone innemu podmiotowi do przetwarzania, to w przypadku naruszenia bezpieczeństwa ten podmiot informuje o naruszeniu administratora (zleceniodawcę). Robi to „bez zbędnej zwłoki” – art. 33 ust. 2:

Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza
je administratorowi.

 

 

Zgłaszanie incydentów

Leszek Kępa

 

Kto z nas nie zna numeru alarmowego 112? W przypadku incydentów ochrony danych osobowych niezmiernie ważne jest, aby posiadać wewnętrzny odpowiednik takiego numeru alarmowego. Każdy pracownik i każdy podmiot przetwarzający (zleceniobiorca przetwarzający dane osobowe) powinien wiedzieć, do kogo i jak zgłaszać naruszenia ochrony danych osobowych. Nie ma bowiem nic gorszego niż niepewność komunikacyjna – komu przekazać informację, bo przy incydentach czas ma duże znaczenie i im szybciej ktoś zajmie się incydentem, tym mniejsze straty zanotuje przedsiębiorstwo. Ponadto trzeba zadbać o to, by procedury nie były skomplikowane.

 

Typowe incydenty, o jakich należy informować, to:

  • kradzież albo zagubienie sprzętu lub nośników zawierających informacje (np. zgubienie lub kradzież laptopa,
  • pendrive’a, smartfona, tabletu),
  • nieuprawnione użycie systemu informatycznego (np. włamanie do systemu informatycznego, korzystanie z konta innego użytkownika, wszelkie podejrzane operacje, których osoba nie wykonywała, włamanie się do poczty elektronicznej innej osoby),
  • niestosowanie się do istotnych zasad bezpieczeństwa (np. zapisanie hasła do systemu na kartce i przyklejenie na monitorze; gdy osoby wymieniają się hasłami),
  • wykrycie informatycznego urządzenia lub programu służącego do podsłuchu haseł, danych (np. tzw. keyloggera),
  • kradzież (bazy) danych osobowych i próba ich sprzedaży na rynku,
  • porzucone (szczególnie w dużych ilościach) wydruki dokumentów,
  • nieprawidłowo zniszczone dokumenty lub nośniki danych (pendrive, płyty CD-ROM), np. wyrzucone do śmieci,
  • niedziałające zabezpieczenia, np. puste hasło do aplikacji, brak programu antywirusowego,
  • działania inżynierii społecznej, szpiegostwo (np. namawianie do udzielenia poufnych informacji o firmie,
  • telefoniczne lub mailowe próby wyłudzenia haseł).

 

Oczywiście, taka lista powinna być dopasowana do działalności firmy, bez wątpienia jednak warto podawać przykłady, aby nie było wątpliwości, co należy zgłaszać, a czego nie.

 

Często powtarza się, że człowiek jest najsłabszym ogniwem bezpieczeństwa, ale przeszkolony i zmotywowany pracownik w kwestii bezpieczeństwa może znaczyć więcej niż najlepsze systemy bezpieczeństwa, dlatego warto zgłoszenia doceniać i premiować.