Incydent ODO i co dalej?

ABI powinien w pierwszej kolejności zabezpieczyć dane osobowe, które zostały udostępnione. Robimy wszystko, by do niego nie doszło, ale co wówczas, kiedy incydent jednak się wydarzy? Co powinien zrobić Administrator Bezpieczeństwa Informacji?

Przede wszystkim ABI musi być na miejscu. Sprawa jest prosta, gdy administratorem jest pracownik danej firmy czy instytucji. Jeśli jednak funkcję ABI pełni firma zewnętrzna i nie zostanie odpowiednio szybko poinformowana, albo nie zostanie o tym poinformowana wcale, incydent może się przerodzić w prawdziwy koszmar.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

Czym może być taki incydent? Przykładowo, może to być przypadek znalezienia w kontenerze ze śmieciami umów firmy z klientami sprzed 5 lat.

Załóżmy, że osoby, które dokonały takiego odkrycia informują o tym recepcję w danej firmie. Przy założeniu, że pracownicy firmy zostali odpowiednio przeszkoleni, recepcjonistka powinna natychmiast zawiadomić o sytuacji ABI lub kogoś z kierownictwa. ABI zabezpiecza dane osobowe, które zostały udostępnione – osobiście lub przy pomocy innych pracowników zbiera wszystkie znalezione dokumenty. Następnie należy sporządzić odpowiedni protokół z opisem incydentu, podaniem źródła zgłoszenia, daty rozpoczęcia i zakończenia, określeniem, czy zagrożenie dla danych minęło czy też nie. W protokole, po przeanalizowaniu przypadku, powinny się znaleźć również dane osoby odpowiedzialnej za incydent, jego przyczyna oraz opis działań podjętych w celu przywrócenia bezpieczeństwa i ocena skuteczności tych działań.

Co by się jednak mogło stać, gdyby zewnętrzny ABI nie został poinformowany lub został poinformowany zbyt późno (przez niewłaściwe szkolenia, nigdy nieprzeczytane procedury bezpieczeństwa, itp.)? Co by się mogło stać, gdyby ABI nie mógł od razu przyjechać (np. jest na szkoleniu)? Wówczas możemy mieć tylko nadzieję, że nikt tych danych nie zabierze do czasu przybycia ABI z odsieczą lub, co gorsze, nikt nie poinformuje o znalezisku policji lub mediów.

ABI nie potrzebuje niczyjego pozwolenia, ani polecenia do wykonania powyższych działań. Wykonuje je, ponieważ są to standardowe obowiązki wynikające z pełnionej przez niego funkcji. Przy incydencie związanym z naruszeniem zabezpieczeń fizycznych czy organizacyjnych relatywnie łatwo jest ponownie zapewnić bezpieczeństwo – oczywiście przy założeniu, że informacja o zagrożeniu dotrze do ABI. Dużo niebezpieczniejsze są incydenty związane z systemami informatycznymi, szczególnie podłączonymi do internetu.

Przykładowo, przy aktualizacji strony internetowej zostanie załączony niewłaściwy plik i pod linkiem kierującym do „Referencji” znajdzie się zbiór danych osobowych współpracowników. Sytuacja pozostała niezauważona do czasu, gdy jeden ze współpracowników zaczął otrzymywać mnóstwo telefonów akwizycyjnych. Po znalezieniu źródła wycieku swoich danych osobowych, współpracownik firmy zwraca się do niej z zapytaniem o podstawę publicznego udostępnienia danych. W takim przypadku procedura działania ABI jest analogiczna do poprzedniego przypadku z tą tylko różnicą, że doszło już do nieodwracalnego wycieku danych i nie można w żaden sposób zagwarantować, że osoby, które pobrały plik przestaną z niego korzystać (nawet nie wiemy, kto jest w jego posiadaniu). Szkoda już powstała.

W tej sytuacji ABI rejestruje incydent i zabezpiecza dane osobowe z pomocą ASI. Jedyne, co można zrobić w sytuacji powstania szkody, to wystosować oficjalne przeprosiny do osób poszkodowanych wraz z zapewnieniem, że sytuacja się więcej nie powtórzy. Być może to wystarczy, ale może się też okazać, że ktoś z poszkodowanych zawiadomi o sytuacji GIODO, a nawet wystąpi z powództwem cywilnym o odszkodowanie. To, co jeszcze firmie grozi w takiej sytuacji, to oczywiście zła opinia, która będzie się za nią ciągnęła dużo dłużej niż dopełnienie wszystkich wymogów formalnych.

Praca dobrymi narzędziami RODO to nie praca!

Aplikacje, kalkulatory, RODOmigawki - wszystko, co może ułatwić Ci zarządzanie systemem ochrony danych osobowych.
ZOBACZ WIĘCEJ

Niezależnie jednak od skutków, Administrator Bezpieczeństwa Informacji musi wdrożyć dodatkowe procedury zabezpieczające, by sytuacja więcej się nie powtórzyła.

Podsumowując, działania prewencyjne ABI w zakresie szkoleń, wdrożonych procedur oraz codziennej rzetelnej pracy, są kluczowym czynnikiem by uniknąć incydentu. Kiedy jednak, mimo wszystko, do niego dojdzie, musi być na to odpowiednia procedura. Incydent zawsze będzie największym koszmarem ABI ale, z drugiej strony, będzie też bardzo dobrym testem jego samego i wdrożonych przez niego zabezpieczeń.

Czytaj także:

-
4.48/5 (42) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>