Naruszenie ochrony danych: Procedura zgłaszania i postępowania
Co robić w przypadku naruszenia ochrony danych osobowych? Terminy zgłaszania do UODO i informowania osób poszkodowanych.
Naruszenie ochrony danych osobowych to jedno z najbardziej stresujących wydarzeń dla organizacji. RODO nakłada surowe terminy i wymagania dotyczące postępowania z naruszeniami. Przygotowana procedura i szybka reakcja mogą zminimalizować szkody i konsekwencje prawne.
Czym jest naruszenie ochrony danych według RODO?
Naruszenie to (art. 4 pkt 12) przypadkowe lub niezgodne z prawem zniszczenie, utrata, zmiana, nieuprawnione ujawnienie lub dostęp do danych osobowych. Obejmuje: włamania i wycieki danych, zgubienie urządzeń z danymi, błędne wysłanie emaila, nieautoryzowany dostęp pracownika, ransomware. Nie każdy incydent bezpieczeństwa to naruszenie danych osobowych.
Kiedy i jak zgłaszać naruszenie do organu nadzorczego?
Zgłoszenie do UODO wymagane jest gdy naruszenie może powodować ryzyko dla praw i wolności osób. Termin: 72 godziny od momentu stwierdzenia naruszenia. Zgłoszenie zawiera: opis naruszenia, kategorie i liczbę osób/rekordów, dane IOD, prawdopodobne konsekwencje, podjęte środki. Formularz dostępny na biznes.gov.pl.
Kiedy informować osoby poszkodowane?
Poinformowanie osób wymagane jest gdy naruszenie może powodować WYSOKIE ryzyko dla ich praw (art. 34). Komunikat musi być jasny, zrozumiały i zawierać: opis naruszenia, dane IOD, prawdopodobne konsekwencje, podjęte środki, rekomendowane działania dla osób. Można uniknąć informowania gdy zastosowano skuteczne środki ochronne (np. szyfrowanie).
Jak przygotować procedurę obsługi naruszeń?
Procedura powinna zawierać: definicję naruszenia i kanały zgłaszania incydentów, zespół reagowania i role, proces oceny ryzyka dla osób, szablony zgłoszeń i komunikatów, eskalację do kierownictwa i IOD, dokumentację wszystkich naruszeń (art. 33 ust. 5). Regularne szkolenia i testy procedury są niezbędne.
W przypadku naruszenia kluczowa jest szybka identyfikacja zakresu. **Revelio** i **Detecto** umożliwiają błyskawiczne zlokalizowanie, jakie dane osobowe znajdowały się w naruszonym systemie. Precyzyjna ocena zakresu wpływa na klasyfikację ryzyka i wymagane działania.
Naruszenia się zdarzają - kluczowe jest przygotowanie. Dobra procedura, przeszkolony zespół i narzędzia do szybkiej oceny zakresu minimalizują szkody i ryzyko kar.