Co zawrzeć w procedurze reagowania na incydenty
Procedura reagowania na incydenty nie jest obowiązkowa, niemniej jednak bardzo przydatna. Pozwala bowiem usprawnić proces oceny i zgłaszania naruszeń ochrony danych do Prezesa UODO. Wszak administrator ma na to jedynie 72 godziny. Za przekroczenie terminu grozi zaś kara pieniężna.
Czynności ADO
Procedura winna przede wszystkim regulować zadania administratora na wypadek wystąpienia incydentu, który może być kwalifikowany jako naruszenie ochrony danych.
Administrator po przybyciu na miejsce naruszenia prawidłowego przetwarzania danych osobowych bądź podejrzenia takiego naruszenia powinien podjąć następujące czynności:
-
zapoznać się z okolicznościami zdarzenia;
-
ocenić, czy występuje ryzyko naruszenia praw lub wolności osób fizycznych na skutek zaistniałego zdarzenia;
-
dokumentować zaistniałą sytuację zgodnie z przyjętą dokumentacją na wypadek zaistnienia naruszenia;
-
podjąć odpowiednie działania zaradcze;
-
w przypadku naruszenia praw i wolności osób lub realnego prawdopodobieństwa wystąpienia takiego ryzyka następuje zgłoszenie zaistniałej sytuacji do organu nadzorczego w terminie 72 godzin od stwierdzenia naruszenia.
Jak powinno wyglądać zgłoszenie incydentu
Warto, aby przyjęcie zgłoszenia od administratora powinno mieć formę pisemną z uwagi na późniejsze znaczenie dowodowe.
Zgłoszenie o naruszeniu powinno zawierać określenie takich informacji, jak:
-
opis zdarzenia ze wskazaniem miejsca i czasu,
-
wskazanie osób odpowiedzialnych za zdarzenie,
-
wskazanie osoby zgłaszającej,
-
określenie wstępnej oceny zdarzenia przez administratora,
-
wskazanie, jakie dalsze kroki poczyni administrator.
Z kolei opis samego przebiegu zdarzenia będącego naruszeniem lub w stosunku do którego zachodzi podejrzenie wystąpienia naruszenia, powinien zawierać co najmniej informacje o:
-
okolicznościach i przebiegu zdarzenia,
-
przewidywanych skutkach,
-
kategorii danych, których dotyczy naruszenie,
-
osobach odpowiedzialnych za zdarzenie,
-
pierwszych podjętych działaniach zaradczych lub naprawczych.
Kryteria oceny naruszenia
Oceny zdarzenia pod kątem konieczności jego zgłoszenia do Prezesa UODO i podmiotów danych należy dokonać na bazie obiektywnych kryteriów i przy uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych.
W trakcie dokonywania oceny, czy występuje ryzyko ich naruszenia, administrator powinien brać pod uwagę wszelkie negatywne skutki, jak też krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych, np. utrata kontroli nad własnymi danymi osobowymi, utrata zaufania społecznego, negatywne konsekwencje wizerunkowe, kradzież tożsamości, straty finansowe, negatywny odbiór w społeczeństwie.
Do zaistnienia ryzyka nie jest konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych.
Inne obowiązki personelu
Zanim informacja o zdarzeniu zagrażającym prawidłowemu przetwarzaniu danych osobowych trafi do ADO, warto przestrzegać kilku zasad, które także powinny znaleźć się w omawianej procedurze.
Wśród podstawowych zasad można wymienić:
-
powstrzymanie się od rozpoczętej lub od kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności mogących spowodować zatarcie śladów naruszenia bądź innych dowodów;
-
zabezpieczenie elementów systemu informatycznego lub dokumentacji;
-
podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych oraz innymi naruszeniami;
-
bez wyraźnego wskazania nie opuszczać miejsca zdarzenia do czasu przybycia administratora danych.
Jak zminimalizować skutki ewentualnego naruszenia
Administrator powinien mieć na uwadze, że w przypadku stwierdzenia naruszenia w zakresie ochrony danych osobowych administrator powinien podjąć odpowiednie kroki. Plan działania dotyczący reakcji na wypadek naruszenia powinien także zostać spisany. Jest to bowiem dużym ułatwieniem dla samego administratora, który po zasięgnięciu lektury będzie w stanie szybko i adekwatnie podjąć skuteczne działania. Wszystko po to, aby minimalizować dalsze naruszenia i eskalację negatywnych skutków. Katalog działań, jakie może lub jakie powinien podjąć administrator, zawsze będzie miał charakter otwarty. Niełatwo bowiem przewidzieć wszystkie zdarzenia i okoliczności ich wystąpienia. Ważne, aby usystematyzować pewne minimalne czynności usprawniające działanie.
Chodzi tu przede wszystkim o:
-
zabezpieczenie danych osobowych na informatycznym nośniku danych lub dokonanie wydruku tych danych;
-
sporządzenie notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych;
-
odebranie wyjaśnienia od osoby, której czynności ujawniono jako naruszenie;
-
sporządzenie kopii otrzymanych dokumentów;
-
sporządzenie kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych;
-
sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.
- Ochrona sygnalistów a RODO - czy IOD może obsługiwać zgłoszenia naruszeń prawa
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
- Jakie zmiany w krajowych przepisach wprowadza Akt o usługach cyfrowych
- Wyższa kara UODO za wyciek danych w spółce Morele.net
- Anonimizacja dokumentów udostępnianych jako informacja publiczna
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
