Postępowanie w przypadku incydentu bezpieczeństwa

Incydent – sytuacja lub zdarzenie, które wiąże się z co najmniej jednym z następujących skutków:

1. utrata dostępności danych osobowych. Może być stała a może być czasowa (np. zniszczenie dysku, który nie ma kopii zapasowej, kilkugodzinna utrata dostępu do bazy danych);
2. utrata poufności wyciek danych osobowych (uzyskanie dostępu do danych osobowych przez osobę nieuprawnioną);
3. utrata integralności danych (doszło do nieautoryzowanych zmian w danych, które np. skutkują brakiem możliwości stwierdzenia prawidłowości danych).

W przypadku podejrzenia wystąpienia incydentu przyjmuje się następujące reguły działania:

Krok 1 – pracownik, który stwierdzi ryzyko incydentu:

• niezwłocznie zabezpiecza dane przed dalszym wyciekiem/zniszczeniem przy jednoczesnym zachowaniu danych dot. zdarzenia (tj. należy zabezpieczyć dane przed dalszym dostępem osób nieuprawnionych);
• jednocześnie należy zachować informacje o tym jakie dane wyciekły, w celu umożliwienia działania w kolejnych krokach; przykładowo w przypadku włamania na serwer i wykradzenia danych, odłączamy serwer od Internetu ale nie kasujemy danych zawartych na serwerze – będą potrzebne do zidentyfikowania jaka była skala naruszenia i jakich danych naruszenie dotyczyło.

Krok 2 – pracownik, który stwierdził ryzyko incydentu, po wykonaniu działań z kroku 1 niezwłocznie informuje przełożonego oraz Inspektora Ochrony Danych o zdarzeniu.

Informacja powinna zawierać i opisywać wszelkie fakty związane z incydentem, w szczególności: kto dokonał naruszenia, jaka była przyczyna naruszenia, jakich konkretnie danych dotyczy naruszenie, ilu osób dotyczy (przynajmniej w przybliżeniu), jakich kategorii osób dotyczy (pracowników, uczniów, kontrahentów),  wzory bądź kopie dokumentów (np. załączniki do wiadomości e-mail).

Krok 3 – Inspektor Ochrony Danych we współpracy z Dyrekcją oraz osobą odpowiedzialną za systemy IT (o ile incydent wiąże się z obszarem IT) dokonują wtórnej weryfikacji bezpieczeństwa danych osobowych.

Krok 4 – w przypadku incydentu większej wagi zostaje powołana wewnętrzna Komisja w celu zbadania okoliczności sprawy i określenia jej przebiegu, przyczyn naruszenia, potencjalnych konsekwencji naruszenia.

Krok 5 – następuje podjęcie decyzji o konieczności zawiadomienia o naruszeniu:

• Prezesa Urzędu Ochrony Danych Osobowych (PUODO);
• osób, których dane dotyczą.

Decyzje podejmuje Dyrekcja po zasięgnięciu opinii Inspektora Ochrony Danych.

*Krok 6 – w razie zapadnięcia decyzji o konieczności zgłoszenia naruszenia do PUODO Inspektor Ochrony Danych opracowuje zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych o incydencie.

Krok 7 – opracowanie przez Inspektora Ochrony Danych Raportu ze zdarzenia – raport zawiera:

1. wskazanie możliwych skutków dla osób, których danych dane dotyczą;
2. wskazanie zaleceń, które powinny zostać wdrożone w celu uniknięcia podobnych naruszeń w przyszłości, w zakresie zabezpieczeń organizacyjnych, fizycznych lub technicznych oraz konsekwencji personalnych (jeżeli dotyczy).

Krok 8 – wpisanie incydentu do Rejestru naruszeń.

UWAGA: zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach, które wiążą się z ryzykiem naruszenia praw lub wolności osób, których dane dotyczą powinno być dokonane niezwłocznie, nie później jednak niż w terminie 72 godzin po stwierdzeniu naruszenia. Nie są to „godziny robocze”, więc działania w tym obszarze powinny być podejmowane bez zbędnej zwłoki.