Video


Ochrona danych i działania w momencie incydentu, czyli krótkie wprowadzenie do obowiązujących procedur zaradczych.

Opublikowano: 6 październik 2017 przez Jan Nawrot

Kategoria: rodo

Lemlock Lemlock logo

Zarządzanie danymi według RODO

Pozyskiwanie, zarządzanie, przeformowywanie i składowanie danych powinno opierać się na decyzjach, w których uwzględnia się wystąpienie ewentualnego ryzyka. Ryzyko to może być związane ze złymi warunkami przetwarzania informacji, nieodpowiednim usunięciem, utratą, kradzieżą, niekontrolowaną modyfikacją, nieuprawnionym udostępnieniem czy niedostosowanym przechowywaniem.

Środki służące zachowaniu bezpieczeństwa danych

W Rozporządzeniu Ogólnym o Ochronie Danych (RODO), które zacznie obowiązywać 25 maja 2018 roku zostały uwzględnione środki techniczne oraz organizacyjne, mające na celu zapewnienie właściwego stopnia bezpieczeństwa informacji osobowych. Wśród środków organizacyjnych (w określonych okolicznościach obowiązkowych) wyróżnia się ocenę skutków dla ochrony danych, audyty bezpieczeństwa, przeglądy polityk, rejestry zdarzeń i (opcjonalnie) powołanie Data Protection Officera (DPO). Natomiast środkami technicznymi jest m.in. zasada ochrony, która polega na nałożeniu na Administratora Danych obowiązku dokonywania regularnych przeglądów oraz ocen procesów przetwarzania danych, w celu zachowania zgodność ze standardami; procedury podejmowane w momencie incydentu, dzięki którym Administrator będzie mógł sprawniej reagować oraz powiadamiać o sytuacji kryzysowej.

Ponadto Rozporządzenie wprowadza:

  • pseudonimizację
  • sposoby szyfrowania danych osobowych

Wymienione punkty to narzędzia służące zachowaniu poufności, nienaruszalności, dostępności oraz niepodatności systemów skupionych wokół danych; zdolność do formułowania podstawowych założeń, które (w momencie incydentu) posłużą przywróceniu prawidłowej dostępności do przechowywanych danych. Podstawowym celem dobrania adekwatnych środków technicznych oraz organizacyjnych jest zachowanie bezpieczeństwa danych osobowych o różnym charakterze i stopniu poufności. Warto przeanalizować sposoby na ich implementację oraz koszty ich zastosowania w swojej działalności. Wspomniane środki - aby spełniały swoją ochronną funkcję - powinny być poddawane testom oraz obiektywnej ocenie ze strony działu/partnera zewnętrznego zajmującego się bezpieczeństwem.

Ważne jest określenie możliwych scenariuszy utraty danych - ustalenie prawdopodobieństwa i częstotliwości ich wystąpienia, stopnia szkodliwości, a w kolejnym etapie zaplanowanie działań mających na celu niwelację sytuacji kryzysowej. Należy pamiętać, że wchodzące w życie w maju 2018 roku Rozporządzenie 680/2016 nie jest zbiorem gotowych do zastosowania rozwiązań. Nie generuje ono jednoznacznych metod pozbycia się problemów jakie mogą pojawić się w ramach ochrony danych osobowych, a pozwala dostosować wymogi Rozporządzenia do skali i ważności wspomnianych danych.

Postępowanie w sytuacjach naruszenia danych

W momencie wykrycia i stwierdzenia nieprawidłowości w systemach zarządzających danymi, Administrator danych osobowych, Generalny Administrator Ochrony czy inna osoba powołana na podobne stanowisko jest zobligowana do zgłoszenia niepokojącej sytuacji właściwemu organowi nadzorczemu w ciągu 72 godzin. Takie zgłoszenie powinno przede wszystkim opisywać charakter naruszenia, czyli wskazywać na obszar, którego dotyczy; określać typ przechwyconych/utraconych informacji, ich wagi, a także ilość osób z nimi powiązanych. Dodatkowo należy zamieścić wszelkie konsekwencje zjawiska (materialne i niematerialne) zarówno dla podmiotu zarządzającego danymi, jak i dla osoby, która je udostępniła.

Administrator Ochrony Danych powinien zastosować (przygotowaną wcześniej) strategię kryzysową, uwzględniającą środki zaradcze, a następnie rozpocząć w jej ramach odpowiednie czynności minimalizujące negatywne skutki powstałego zakłócenia. Bardzo ważne jest, aby w kryzysowych sytuacjach dokumentować podejmowane kroki. Nie tylko po to, aby organ nadzorczy mógł je zweryfikować, ale także, aby przyszła osoba na stanowisku Administratora mogła się nią posługiwać. W dokumentacji powinno się także wziąć pod uwagę, czy naruszone dane osobowe były w jakiś sposób zabezpieczone przed różnymi rodzajami nadużyć. Jeżeli tak, Administrator Ochrony Danych musi zbadać przyczynę nieskuteczności środków ochrony i po ich dokładnej analizie wprowadzić udoskonalenia.

Obowiązek zawiadamiania dotkniętego otoczenia o incydencie

Mogą zdarzyć się sytuacje, w których wyciek danych stwarza szczególne niebezpieczeństwo oraz naraża osobę na nieodwracalne szkody. Wówczas do obowiązków Administratora należy jak najszybsze zawiadomienie poszkodowanego i - unikając języka specjalistycznego - objaśnienie mu, na czym polegało zakłócenie. Powinien on także przedstawić rozwiązania dla sytuacji, a także nieustannie informować o dokonanych krokach naprawczych. Osoba poszkodowana musi mieć zapewniony komfort psychiczny, ponieważ jej zaufanie zostało nadwyrężone.

Reasumując:

Zadania podejmowane w momencie wystąpienia zakłócenia różnią się od siebie. Wszystko zależy od jakości oraz ilości akcji w ramach nielegalnej ingerencji w systemy zarządzania danymi. Działania naprawcze (niewynikające z przemyślanej strategii bezpieczeństwa) wymagają nagłego poświęcenia zasobów czasowych czy finansowych oraz dokonywania szybkich ustaleń pod presją otoczenia. Wobec tego warto być przygotowanym na ewentualne naruszenia danych, kontrolować posiadane systemy czy środki oraz zaprojektować program przywrócenia poprawnego stanu. Więcej na temat RODO znajdziesz na blogu Lemlocka

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Udostępnij
CZYTAJ WIĘCEJ:
Przygotowanie do RODO krok po kroku
RODO

Przygotowanie do RODO krok po kroku - checklista
Ogólny wygląd Rozporządzenia oraz najczęściej poruszane zagadnienia w jego ramach
RODO

Ogólny wygląd Rozporządzenia oraz najczęściej poruszane zagadnienia w jego ramach
Jak doszło do wprowadzenia RODO? Fakty
RODO

Jak doszło do wprowadzenia RODO? Fakty.
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej [email protected]. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: [email protected].

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: