Wykrywanie i raportowanie naruszeń bezpieczeństwa

Od kilku lat przedsiębiorcy telekomunikacyjni w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych mają obowiązek powiadamiać o takim zdarzeniu GIODO, a w niektórych sytuacjach – abonenta lub użytkownika końcowego. Przepisy RODO wprowadzają podobny obowiązek wobec każdego, kto przetwarza dane osobowe.

W sytuacji, w której naruszenie ochrony danych osobowych prawdopodobnie będzie skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, zgłasza się je do Prezesa Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, ale nie później niż w ciągu 72 godzin. Motyw 75 rozporządzenia opisuje stosunkowo wyczerpująco i dość dokładnie, w jakich przypadkach takie ryzyko może występować:

Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane gene­tyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prog­nozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

 

To, które naruszenia należy zgłaszać do organu nadzorczego, należy oceniać przez pryzmat wpływu na prawa i wolności osób, których dane dotyczą. Warto przyjrzeć się Wytycznym WP2501 przygotowanym przez Grupę Roboczą Art. 29.
Stanowią one doskonałą podpowiedź, jak postępować.

 

Przykłady sytuacji, w których trzeba będzie zgłaszać naruszenie do Prezesa Urzędu:

  • zgubienie nośnika USB lub płyty CD-ROM z danymi osobowymi,
  • utrata lub kradzież laptopa, w którym nie zastosowano szyfrowania,
  • kradzież komputera z biura,
  • włamanie do sieci komputerowej,
  • wysłanie danych osobowych pocztą elektroniczną osobie nieuprawnionej,
  • przypadkowe udostępnienie danych osobowych na stronie internetowej.

 

W następujących sytuacjach naruszenia nie trzeba będzie zgłaszać:

  • zgubienie lub kradzież nośnika, na którym dane były zaszyfrowane,
  • zgubienie lub kradzież laptopa,
  • zagubienie spseudoanonimizowanych wydruków,
  • nieskuteczna próba ataku na sieć komputerową,
  • wykrycie i usunięcie wirusa komputerowego.
     

Wykrywanie naruszeń

 

Aby móc informować o naruszeniach, trzeba umieć je wykrywać. Artykuł 33 ust. 1 podkreśla, że trzeba je zgłaszać po stwierdzeniu naruszenia (ang. after having become aware). Administrator musi mieć uzasadnione przekonanie co do tego, czy naruszenie wystąpiło, czy nie.
 

W preambule rozporządzenia (motyw 87) można przeczytać, że: należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych.

 

Bez wątpienia potrzebne będą techniczne mechanizmy pozwalające wykrywać naruszenia, takie jak:

  • systemy monitorowania i korelowania zdarzeń w systemach komputerowych (SIEM),
  • rozwiązania do wykrywania i zatrzymywania zagrożeń w sieciach komputerowych (IDS/IPS),
  • programy wykrywające potencjalne „wycieki” informacji (DLP).

 

Każdy z nas zna pewnie numer alarmowy 112, pod który należy dzwonić w przypadkach, gdy niezbędna jest pomoc podmiotów i służb, do których zadań należy ochrona życia, zdrowia, bezpieczeństwa i porządku publicznego. Dlatego w przypadku naruszenia ochrony danych bardzo ważne jest, aby posiadać wewnętrzny odpowiednik numeru alarmowego. Każdy pracownik (w tym także IT) i każdy podmiot współpracujący powinien wiedzieć, do kogo i jak zgłaszać naruszenia bezpieczeństwa.