Incydent – sytuacja lub zdarzenie, które wiąże się z co najmniej jednym z następujących skutków:
- utrata dostępności danych osobowych. Może być stała a może być czasowa (np. zniszczenie dysku, który nie ma kopii zapasowej, kilkugodzinna utrata dostępu do bazy danych);
- utrata poufności wyciek danych osobowych (uzyskanie dostępu do danych osobowych przez osobę nieuprawnioną);
- utrata integralności danych (doszło do nieautoryzowanych zmian w danych, które np. skutkują brakiem możliwości stwierdzenia prawidłowości danych).
W przypadku podejrzenia wystąpienia incydentu przyjmuje się następujące reguły działania:
Krok 1 – pracownik, który stwierdzi ryzyko incydentu:
- niezwłocznie zabezpiecza dane przed dalszym wyciekiem/zniszczeniem przy jednoczesnym zachowaniu danych dot. zdarzenia (tj. należy zabezpieczyć dane przed dalszym dostępem osób nieuprawnionych);
- jednocześnie należy zachować informacje o tym jakie dane wyciekły, w celu umożliwienia działania w kolejnych krokach; przykładowo w przypadku włamania na serwer i wykradzenia danych, odłączamy serwer od Internetu ale nie kasujemy danych zawartych na serwerze – będą potrzebne do zidentyfikowania jaka była skala naruszenia i jakich danych naruszenie dotyczyło.
Krok 2 – pracownik, który stwierdził ryzyko incydentu, po wykonaniu działań z kroku 1 niezwłocznie informuje przełożonego oraz Inspektora Ochrony Danych o zdarzeniu.
Informacja powinna zawierać i opisywać wszelkie fakty związane z incydentem, w szczególności: kto dokonał naruszenia, jaka była przyczyna naruszenia, jakich konkretnie danych dotyczy naruszenie, ilu osób dotyczy (przynajmniej w przybliżeniu), jakich kategorii osób dotyczy (pracowników, uczniów, kontrahentów), wzory bądź kopie dokumentów (np. załączniki do wiadomości e-mail).
Krok 3 – Inspektor Ochrony Danych we współpracy z Dyrekcją oraz osobą odpowiedzialną za systemy IT (o ile incydent wiąże się z obszarem IT) dokonują wtórnej weryfikacji bezpieczeństwa danych osobowych.
Krok 4 – w przypadku incydentu większej wagi zostaje powołana wewnętrzna Komisja w celu zbadania okoliczności sprawy i określenia jej przebiegu, przyczyn naruszenia, potencjalnych konsekwencji naruszenia.
Krok 5 – następuje podjęcie decyzji o konieczności zawiadomienia o naruszeniu:
- Prezesa Urzędu Ochrony Danych Osobowych (PUODO);
- osób, których dane dotyczą.
Decyzje podejmuje Dyrekcja po zasięgnięciu opinii Inspektora Ochrony Danych.
*Krok 6 – w razie zapadnięcia decyzji o konieczności zgłoszenia naruszenia do PUODO Inspektor Ochrony Danych opracowuje zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych o incydencie.
Krok 7 – opracowanie przez Inspektora Ochrony Danych Raportu ze zdarzenia – raport zawiera:
- wskazanie możliwych skutków dla osób, których danych dane dotyczą;
- wskazanie zaleceń, które powinny zostać wdrożone w celu uniknięcia podobnych naruszeń w przyszłości, w zakresie zabezpieczeń organizacyjnych, fizycznych lub technicznych oraz konsekwencji personalnych (jeżeli dotyczy).
Krok 8 – wpisanie incydentu do Rejestru naruszeń.
UWAGA: zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach, które wiążą się z ryzykiem naruszenia praw lub wolności osób, których dane dotyczą powinno być dokonane niezwłocznie, nie później jednak niż w terminie 72 godzin po stwierdzeniu naruszenia. Nie są to „godziny robocze”, więc działania w tym obszarze powinny być podejmowane bez zbędnej zwłoki.
![Klauzula informacyjna jednostki samorządowej [case study]](https://coreconsulting.pl/wp-content/uploads/2020/10/xaudits_GDPR-770x510-1-768x509.webp)
