Poradnik Przedsiębiorcy

Czym jest incydent w ochronie danych osobowych?

W ochronie danych osobowych szczególnie ważne są dwie kwestie - występowanie zagrożeń bezpieczeństwa danych osobowych oraz incydenty związane z ich ochroną. Każda z osób zatrudnionych w firmie ma obowiązek poinformowania ABI-ego o stwierdzeniu zagrożenia lub naruszenia ochrony danych osobowych. Na czym polega incydent w ochronie danych osobowych oraz jak mu przeciwdziałać? Wyjaśniamy poniżej.

Zagrożenia bezpieczeństwa danych osobowych

Do podstawowych zagrożeń związanych z bezpieczeństwem danych osobowych należy zaliczyć:

 

  1. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł itd.),

  2. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,

  3. nieodpowiednie zabezpieczenie sprzętu IT czy oprogramowania przed wyciekiem lub utratą danych osobowych.

Walka z zagrożeniami bezpieczeństwa danych osobowych

W przypadku, gdy w firmie zostaną stwierdzone zagrożenia bezpieczeństwa danych osobowych, ABI (Administrator Bezpieczeństwa Informacji) ma obowiązek przeprowadzenia postępowania wyjaśniającego, w trakcie którego należy:

  1. ustalić zakres i przyczyny zagrożenia oraz jego ewentualne skutki,

  2. zainicjować ewentualne działania dyscyplinarne,

  3. zarekomendować działania zmierzające do eliminacji podobnych zagrożeń w przyszłości,

  4. udokumentować prowadzone postępowania.

Incydent w ochronie danych osobowych - definicja

Ustawa o ochronie danych osobowych nie definiuje wprost, czym jest incydent w ochronie danych osobowych. Szczegółowe wyjaśnienie tego pojęcia można odnaleźć w normie PN-ISO/ IEC 27001. Zgodnie z jej treścią przez incydent związany z bezpieczeństwem informacji należy rozumieć pojedyncze zdarzenie lub serię niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.

Można wyróżnić trzy zasadnicze grupy incydentów w ochronie danych osobowych:

  • umyślne incydenty (np. kradzież danych i sprzętu, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie danych, włamanie do systemu informatycznego lub pomieszczeń),

  • zdarzenia losowe wewnętrzne (np. awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych),

  • zdarzenia losowe zewnętrzne (np. pożar, zalanie wodą, utrata zasilania, utrata łączności).

Incydent w ochronie danych osobowych - praktyczne przykłady

Nieprawidłowe zaadresowanie korespondencji elektronicznej

Skrzynki mailowe obecnie są wyposażone w możliwość zapisywania adresów. Jest to bardzo przydatna funkcjonalność, która jednak może spowodować, że powstanie incydent w ochronie danych osobowych. Bowiem podczas przygotowywania maila do wysyłki korzysta się z funkcji podpowiadania adresów mailowych, co często usypia czujność nadawcy, który nie weryfikuje ich poprawności.

Nieukrywanie adresów mailowych przy wysyłce masowej

Podczas masowej wysyłki elektronicznych listów (maili) należy pamiętać, by korzystać z funkcji ukrywania poszczególnych odbiorców (poza głównym). Bowiem ich upublicznienie może się wiązać się z przykrymi konsekwencjami i z naruszeniem wizerunku firmy, która te dane udostępniła. 

Utrata nośników danych

Telefony, smartfony, laptopy, przenośne dyski czy chociażby zwykłe teczki z papierowymi dokumentami są nośnikami danych osobowych. Ich utrata, czyli kradzież lub zgubienie należy zakwalifikować jako incydent w ochronie danych osobowych. Na tego typu nośnikach znajduje się wiele wrażliwych informacji, które o ile nie są dobrze zaszyfrowane, mogą trafić w niepowołane ręce. Najdoskonalszym tego przykładem może być prywatny smartfon pracownika, skonfigurowany z jego firmową pocztą, na której znajdują się adresy mailowe, dane kontrahentów itp.

Każdą utratę nośników danych osobowych należy zgłosić Administratorowi Bezpieczeństwa Informacji.

Nieprawidłowe usunięcie danych

Często w firmach pracownicy niszczą dokumenty w wersji papierowej poprzez ich przedarcie i wyrzucenie do kosza na śmieci, znajdującego się pod biurkiem. Nie jest to dobre rozwiązanie, bowiem wbrew pozorom tego typu dokumenty można odzyskać. W celu prawidłowego usunięcia danych osobowych, mających postać wersji papierowej, należy skorzystać z niszczarki.

Natomiast w przypadku elektronicznych nośników należałoby skorzystać ze specjalistycznego oprogramowania do usuwania danych.

Co zrobić gdy wykryto incydent w ochronie danych osobowych?

W przypadku stwierdzenia incydentu w ochronie danych osobowych ABI przeprowadza postępowanie wyjaśniające, w toku którego musi:

  1. ustalić czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,

  2. zabezpieczyć ewentualne dowody,

  3. ustalić osoby odpowiedzialne za naruszenie,

  4. podjąć działania naprawcze (usunięcie skutków incydentu i ograniczenie szkody),

  5. zainicjować działania dyscyplinarne,

  6. wyciągnąć wnioski i rekomendować działania korygujące, które będą zmierzać do wyeliminowania prawdopodobieństwa, że w przyszłości wystąpi podobny incydent w ochronie danych osobowych,

  7. udokumentować prowadzone postępowanie.

Reasumując, każda firma (lub inny podmiot) przetwarzająca dane osobowe powinna wyczulić swoich pracowników na kwestie związane z ochroną danych osobowych tak, by w razie wystąpienia zagrożeń lub incydentów związanych z ochroną danych osobowych, byli w stanie prawidłowo je zidentyfikować i zgłosić swojemu przełożonemu lub ABI-emu.