Jakie elementy zawrzeć w procedurze postępowania na wypadek wycieku danych

Sebastian Kryczka

Autor: Sebastian Kryczka

Dodano: 13 lutego 2019
  • Drukuj
  • A-AA+
Kradzież danych osobowych

Każdy administrator musi zagwarantować, by proces przetwarzania danych osobowych był realizowany w warunkach zapewniających odpowiedni poziom bezpieczeństwa. Jednak nawet najlepszy system nie gwarantuje absolutnego bezpieczeństwa. Dlatego tak istotne jest opracowanie właściwej procedury na wypadek naruszenia ochrony danych osobowych.

Zakres przedmiotowy procedury

Uzasadnione jest przyjęcie, że procedura na wypadek naruszenia ochrony danych osobowych winna w szczególności następujące postanowienia:

  • określenie celu procedury i zakresu jej stosowania

  • wskazanie katalogu potencjalnych zagrożeń i naruszeń jakie mogą mieć miejsce w związku z przetwarzaniem danych - u konkretnego administratora,

  • opis postępowania osób działających w imieniu administratora w sytuacji wystąpienia naruszenia ochrony danych.

Przykładowe zapisy w procedurze

Zakres przedmiotowy

Przykładowy zapis

Katalog potencjalnych naruszeń

Do przypadków, kiedy zachodzi podejrzenie naruszenia ochrony danych osobowych zaliczają się w szczególności:

  1. ślady wskazujące na próbę włamania do pomieszczenia w którym przetwarzane są dane osobowe,

  2. nieprawidłowości w zakresie funkcjonowania zabezpieczeń miejsc w których przetwarzane są dane osobowe,

  3. brak wylogowania się z systemu osoby przetwarzającej dane osobowe przed opuszczeniem komputerowego stanowiska pracy,

  4. wynoszenie bez upoważnienia na zewnątrz formy danych osobowych niezależnie od nośnika na którym zostały one zapisane,

  5. kradzież lub zagubienie przenośnych narzędzi pracy związanych z przetwarzaniem danych – laptopów, tabletów, przenośnych pamięci,

  6. ujawnienie podejrzanego oprogramowania powodującego niestandardowe zachowanie się komputerów na których przetwarzane są dane osobowe.

Opis postepowania w sytuacji wystąpienia naruszenia

Każdy pracownik, który stwierdzi lub podejrzewa fakt naruszenia ochrony danych osobowych, ma obowiązek niezwłocznie zgłosić to bezpośredniemu przełożonemu. Przełożony niezwłocznie przekazuje informację Inspektorowi ochrony danych.

Pracownik, który stwierdzi fakt naruszenia lub podejrzenia naruszenia danych osobowych ma obowiązek podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony oraz zabezpieczyć dowody umożliwiające ustalenie przyczyn oraz skutków naruszenia.

Osoby odpowiedzialne za funkcjonowanie systemów informatycznych, w ramach których przetwarzane są dane osobowe mają obowiązek niezwłocznego informowania inspektora ochrony danych o każdych nieprawidłowościach w pracy nadzorowanych urządzeń które mogą być przyczyną lub skutkiem incydentu w zakresie ochrony danych osobowych.

Przede wszystkim szybkość i prawidłowa kwalifikacja zdarzenia

Administrator danych osobowych powinien zastosować odpowiednie środki bezpieczeństwa mające na celu minimalizację ryzyka wystąpienia naruszenia ochrony danych osobowych. Natomiast w razie ich wystąpienia konieczna jest niezwłoczna reakcja, której efektem powinno być terminowe zgłoszenie naruszenia. Dlatego najistotniejsze jest wprowadzenie w procedurze takich regulacji, które zapewnią odpowiednie tempo działania. Nie mniej istotna jest jednak właściwa ocena naruszeń w kontekście wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jest to niezwykle istotne nie tylko w kwestii obowiązków wobec osób których dane dotyczą ale i organu nadzorczego.

Uwaga

Sposób wprowadzenia w życie procedury zależy od rozwiązań przyjętych u danego administratora. Nie obowiązują żadne przepisy – inaczej niż choćby w przypadku monitoringu – przewidujące obowiązki związane w wprowadzeniem tego dokumentu. Z drugiej strony jest oczywiste, że aby zapewnić przestrzeganie procedury, administrator musi zapoznać z nią osoby, które będą jej podlegały. Wybór sposobu takiego zapoznania zależy jednak od uznania administratora.

Podstawa prawna: 
Sebastian Kryczka

Autor: Sebastian Kryczka

Prawnik, absolwent Wydziału Prawa Administracji i Ekonomii (Zakład Prawa Pracy) Uniwersytetu Wrocławskiego. Od 2002 r. zawodowo zajmuje się problematyką prawa pracy, jak również w zagadnieniami związanymi z działalnością kontrolno-nadzorczą sprawowaną przez Państwową Inspekcję Pracy. Ekspert współpracujący z największymi i najbardziej opiniotwórczymi podmiotami w kraju, zajmującymi się problematyką prawa pracy. Ma na swoim koncie współpracę m.in. z Ministerstwem Pracy i Polityki Społecznej, Dolnośląską Komisją Ochrony Pracy oraz czołowymi firmami wydawniczymi. Jest m.in. współautorem komentarza do Kodeksu pracy, autorem komentarza do ustawy o PIP, jak również komentarzy do kilkunastu rozporządzeń wykonawczych do Kodeksu pracy.

WIDEOSZKOLENIA »

Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych

Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych

Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.

08.12.2022 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x