Naruszenie / incydent bezpieczeństwa informacji

2

Naruszenie / incydent bezpieczeństwa informacji

Przepisy ustawy o ochronie danych osobowych nie definiują wprost terminu incydent bezpieczeństwa informacji bądź naruszenie zasad ochrony danych osobowych. Wyjaśnienie tych pojęć znajduje się w normie PN-ISO/ IEC 27001. Poprzez incydent bezpieczeństwa informacji należy rozumieć pojedyncze zdarzenie lub serię niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. Naruszeniem zasad ochrony danych osobowych / incydentem bezpieczeństwa informacji będą przykładowo: przesłanie poufnej korespondencji do niewłaściwego adresata, przekazanie rozdzielnika do pisma zawierającego dane osobowe wszystkim adresatom korespondencji, niewłaściwe ustawienie monitora komputerowego umożliwiające wgląd osobom postronnym w przetwarzane dane osobowe, stosowanie zabezpieczeń technicznych sprzętu i oprogramowania nieadekwatnych do rodzaju przetwarzanych danych, niechowanie dokumentów zawierających dane osobowe do zamykanych szaf/ sejfów/ kas pancernych, itd.

Poza wskazaną w rozdziale ósmym ustawy o ochronie danych osobowych, odpowiedzialnością karną na naruszenia zasad ochrony danych osobowych, a także odpowiedzialnością cywilnoprawną czy administracyjnoprawną, RODO przewiduje wysokie kary finansowe do 20 mln euro, alternatywnie do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa.

Jednocześnie obecnie obowiązujące przepisy nakładają na administratora bezpieczeństwa informacji (w przypadku jego niepowołania na administratora danych) obowiązek przeprowadzenia tzw. sprawdzenia doraźnego. Sprawdzenie doraźne przeprowadza się w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia.

Ponadto dobrą praktyką stosowaną przez wielu administratorów jest prowadzenie rejestru incydentów oraz np. wprowadzanie do obowiązującej dokumentacji instrukcji postępowania w przypadku naruszenia zasad ochrony danych osobowych, tzw. instrukcji awaryjnej.

Jakie obowiązki będą ciążyły na administratorze od maja 2018 r.?

Administrator będzie musiał dokonać zgłoszenia naruszenia bezpieczeństwa informacji bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W przypadku przekazania informacji o naruszeniu organowi nadzorczemu po upływie 72 godzin, administrator zobowiązany będzie wyjaśnić pisemnie przyczyny opóźnienia. Do Administratora będzie tak naprawdę należała ocena, czy zaistniała sytuacja objęta jest obowiązkiem zgłoszenia naruszenia organowi nadzorczemu, ponieważ incydent nie musi skutkować ryzykiem naruszenia praw lub wolności osób fizycznych (a w takich okolicznościach zgłoszenie nie jest wymagane).

Zgłoszenie naruszenia ochrony danych osobowych, kierowane do organu nadzorczego, będzie zawierało opis charakteru naruszenia ochrony danych osobowych (kategorie i przybliżoną liczbę osób, których dane dotyczą; kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; możliwe konsekwencje naruszenia ochrony danych osobowych oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków).

Od 25 maja 2018 r. Administrator będzie miał wynikający z przepisów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym:

1) okoliczności naruszenia ochrony danych osobowych;

2) skutków;

3) podjętych działań zaradczych.