Browse By

Calendar

Kwiecień 2024
P W Ś C P S N
« Mar    
1234567
891011121314
15161718192021
22232425262728
2930  

Czym jest incydent bezpieczeństwa?

by Alex in Prawo

Ogólne rozporządzenie o ochronie danych (RODO) miało na celu ujednolicić prawo w ramach wspólnoty Unii Europejskiej oraz zapewnić jej mieszkańcom pełniejszą kontrolę ich danych osobowych. Było to posunięcie niejako wymuszone przez wpływ nowych technologii, które rozpowszechniły się w XXI wieku na bezpieczeństwo informacji. Zostało ono narażone na wiele zagrożeń w skali jaka nigdy wcześniej nie miała miejsca. Ustawodawca miał jednak świadomość, że pomimo tak precyzyjnych i określających różne aspekty przepisów, nadal mogą i będą zdarzać się sytuacje niebezpieczne. Dotyczy to zabezpieczenia interesów osób udostępniających informacje na swój temat w różnych celach.

RODO a przedsiębiorca

Na przedsiębiorcy leży obowiązek przeanalizowania jakie dane posiada, w jakim celu i zakresie je przetwarza. Wynikiem tego musi być zastosowanie zabezpieczeń, które będą najodpowiedniejsze do zapewnienia prawidłowego, w pełni bezpiecznego przetwarzania i zabezpieczania danych. Niestety, przy obecnym poziomie zaawansowania technologicznego, żadne systemy nie są w stanie zapewnić całkowitego zabezpieczenia przed naruszeniem danych osobowych. Przedsiębiorstwa przetwarzające informacje muszą być tego świadome i przygotowane na taką sytuację.

Bezpieczeństwo informacji

Czym jest incydent bezpieczeństwa?

Ustawa o ochronie danych osobowych nie definiuje dokładnie czym jest incydent bezpieczeństwa, jednak z jej zapisów wynika, że jest to każde pojedyncze zdarzenie lub ich seria związana z zagrożeniem bezpieczeństwa informacji.

Tym samym można mówić o sytuacji której następstwem jest:

  • utrata,
  • modyfikacja,
  • ujawnienie,
  • zniszczenie,
  • udostępnienie innemu podmiotowi danych osobowych.

Zdarzają się różne sytuacje, w których dane ulegają zagrożeniu. Można podzielić je na trzy grupy:

1) Wewnętrzne zdarzenia losowe – za taką sytuację należy rozumieć awarię sprzętów, oprogramowania, utratę danych czy również pomyłki pracowników np. nieprawidłowe zaadresowanie korespondencji i dostarczenie jej do nieupoważnionego podmiotu.

2) Zewnętrzne zdarzenia losowe – mieszczą się tutaj wszystkie te sytuacje, których nie da się przewidzieć i są niezależne od osób ponoszących odpowiedzialność za dane np. przerwa w dostawie prądu lub Internetu, zalanie wodą lub pożar.

3) Umyślne incydenty –  są to wszystkie te sytuacje, w których zdarzenie powstało w wyniku przemyślanego działania innej osoby lub grupy osób. Będą to zatem ujawnienie danych nieupoważnionym podmiotom, włamanie do pomieszczeń lub systemów informacyjnych, kradzież sprzętu i danych, lub też celowe zniszczenie danych.

Postępowanie po ujawnieniu incydentu bezpieczeństwa

W sytuacji wystąpienia którejkolwiek z wymienionych nieprawidłowości administrator danych musi zawiadomić o ich naruszeniu dwa podmioty:

  • organ nadzorczy,
  • osobę, której dane zostały naruszone.

O ile w przypadku organu nadzorczego procedura zgłoszenia incydentu bezpieczeństwa jest uregulowana przez art. 33 rozporządzenia RODO, o tyle w przypadku właściciela danych obowiązek ten nie ma bezwzględnego charakteru. Osoba ta musi zostać powiadomiona w sytuacji, gdy naruszenie ochrony danych może spowodować naruszenie praw lub wolności.

Administrator nie musi informować o incydencie osoby fizycznej jeżeli zastosował np. pseudonimizację danych lub naruszenie dotyczy dużej liczby poszkodowanych. W takiej sytuacji powinien on wydać komunikat lub poinformować o tym przy użyciu innego środka o dużym zasięgu oddziaływania. Istotne jest jednak, aby był to sposób na skuteczne poinformowanie właścicieli danych.

Bezpieczeństwo informacji

Informacje niezbędne do zgłoszenia incydentu organowi nadzorczemu

Wspomniane wcześniej zgłoszenie incydentu zagrażającego bezpieczeństwu informacji do organu nadzorczego musi zawierać kilka kluczowych informacji:

  • dane kontaktowe inspektora danych osobowych,
  • opis incydentu zawierający szczegóły takie jak liczba osób, których dane zostały naruszone wraz z informacją o kategorii i liczbie danych,
  • zastosowane lub proponowane sposoby ochrony, których celem jest zmniejszenie niedogodności związanych z naruszeniem,
  • możliwe konsekwencje zdarzenia.

Administrator musi dokonać zgłoszenia incydentu w ciągu 72 godzin od jego wykrycia. W przypadku opóźnienia musi także podać jego przyczynę. Ciąży na nim również obowiązek dokumentowania wszystkich naruszeń ochrony danych, nawet tych, które nie muszą być zgłaszane.

Zgodnie z zasadą stosowaną w medycynie mówiącą, iż lepiej zapobiegać niż leczyć warto, aby każdy administrator danych osobowych dokładnie zapoznał się z RODO. Wdrożenie proponowanych zabezpieczeń może zminimalizować skutki, a niekiedy całkowicie wykluczyć wystąpienie incydentu bezpieczeństwa. Jeśli jednak nie da się uniknąć zagrożenia, należy pamiętać o prawidłowym postępowaniu wskazanym przez ustawodawcę.