Jak zachować się w przypadku naruszenia danych?

Przede wszystkim nie panikuj i zawsze miej przy sobie ręcznik.

W końcu to się stało. W twoim systemie była luka i ktoś to wykorzystał do przeprowadzenia czegoś, co w żargonie nazywa się naruszenie danych. Naruszenie danych osobowych. Nie martw się, to nie jest niezwykłe zjawisko. Najszczęśliwsi spotykają się z taką ewentualnością rzadziej niż raz w roku, ale w świecie, który ewoluuje tak szybko jak internet, zdarza się, że taka ewentualność staje się znacznie częstsza. Chociaż starasz się nie panikować, zachęcamy do trzymania się praktycznej zasady: aby poradzić sobie z naruszeniem, musisz postępuj zgodnie ze wskazaniami Rozporządzenia Europejskiego 16/679 (RODO), który zawiera wskazówki, co zrobić w przypadku naruszenia ochrony danych.

Co to jest naruszenie danych?

Naruszenia danych osobowych są 6 rodzajów, a każdy z nich może być dobrowolny lub przypadkowy na podstawie przyczyny, dla której to nastąpiło:

• Nieautoryzowany dostęp. Ktoś nie mógł mieć dostępu do pewnych informacji, a jednak miał. Jeśli to był błąd, być może wysłałeś ważny dokument do jednej osoby, a nie do drugiej. To był wypadek, ale nadal jest to naruszenie bezpieczeństwa danych. Jednak w przypadku, gdy dokonałeś nieautoryzowanego dostępu do czyichś danych, zdarzenie to może się stać szpiegostwo.
• Nieautoryzowana kopia. Ktoś wziął dane, które do niego nie należały, i skopiował je dla siebie. Może to być przypadek, jeśli współpracownik zdecydował się wydrukować dokument, którego nie powinien mieć, aby lepiej skompilować dokument służbowy. W przypadku dobrowolnego kopiowania w mniej jasnych celach może tak być kradzież.
• Nieoczekiwane ujawnienie. Ktoś przypadkowo ujawnia dane, które z jakiegokolwiek powodu nie powinny być online. Na przykład zdjęcie ważnego klienta jest publikowane na firmowym profilu na Facebooku. W przypadku oszustwa operacja ta jest nazywana rozpiętość.
• Nieautoryzowana modyfikacja. Ktoś zmienił niektóre dane, mimo że nie mógł tego zrobić. Jeśli stało się to przez pomyłkę, to tak. Inaczej mogłoby być wyzwolenie przez hakera lub atakującego.
• Utrata dostępu. Ktoś gubi informacje i nie są one już dostępne. Zapomnienie hasła do komputera jest naruszeniem, czy wiesz o tym? A jeśli zostało to zrobione celowo, staje się szyfrowanie.
• Usuwanie danych. Ktoś usuwa poufne dane. Jeśli stało się to przez pomyłkę, jest to naruszenie. Ale w przypadku anulowania jest dobrowolne, to ponosi zniszczenie danych.

Naruszenie danych osobowych: jak się zachować?

Proszę zapoznać się z artykułami 33 i 34 RODO. Te dwa artykuły odnoszą się do rozporządzenia europejskiego, które ma na celu wskazanie procedur postępowania w przypadku naruszenia bezpieczeństwa danych. Artykuł 33 dotyczy wewnętrznego zarządzania firmą i relacji z Gwarantem, natomiast artykuł 34 dotyczy zarządzania z zainteresowanymi stronami, czyli osobami, których dane osobowe posiadamy.

Określenie tego jest niezbędne naruszenie ochrony danych musi być zawsze rejestrowane e, w przypadku zgłoszenia do Gwaranta zgodnie z art. 33. Stanowi on również, że w przypadku naruszenia administrator danych musi zawiadomić o nim organy nadzorcze w ciągu 72 godzin od powzięcia wiedzy o tym fakcie, w szczególności jeżeli stanowi to zagrożenie dla praw i wolności osób fizycznych. Podmioty przetwarzające dane (firma płacowa, księgowi, analitycy systemów…) muszą powiadomić administratora danych.

Jeśli zdecydujesz się powiadomić Gwaranta, potrzebuje on informacji: charakteru naruszenia, liczby osób zaangażowanych, danych kontraktowych inspektora ochrony danych, możliwych konsekwencji naruszenia oraz wszelkich podjętych lub planowanych działań.

Firma ma jednak obowiązek komunikować wszystko, co się dzieje, niezależnie od tego, czy naruszenia są niezamierzone, czy umyślne, i przyjąć odpowiedzialność (rozliczalność).

Odpowiedzialność?

firma musi być odpowiedzialny, kompetentny i świadomy tego, co się dzieje w jego środowiskach i systemach. Firma musi wykazać się zdolnością do proaktywnego rozwiązania problemu i wykazać, że dysponuje narzędziami do powstrzymania konsekwencji naruszenia bezpieczeństwa danych. Odbywa się to poprzez dostarczenie dowodów i danych – oraz zaproponowanie Państwu złożenia Gwarantowi pewności, że to, co się stało, już nigdy się nie powtórzy. W przypadku braku „rozliczenia” naliczana jest kara pieniężna.

Jakie naruszenia należy zgłosić Gwarantowi?

Gwarantowi zgłaszane są wyłącznie naruszenia dobrowolne, a nie przypadkowe. Administrator danych musi zdecydować, czy powiadomić, kierując się logiką odpowiedzialności, czy naruszenie ochrony danych może spowodować naruszenie praw i wolności osób fizycznych. L'ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) stworzyła metodyka obliczania ryzyka w sprawie wolności osób w obliczu naruszenia. Metodologię tę można zastosować również w firmie.

Skąd wiesz, czy doszło do naruszenia?

Naruszenie musi zostać zrozumiane, aby zostało rzeczywiście wykryte. Jest to wykonalne, jeśli firma prowadzi odpowiednie szkolenia w celu oszacowania ryzyka i zrozumienia ewentualnych szkód. Krótko mówiąc, nie potrzebujesz inżyniera, który pojawia się na miejscu przez dwa miesiące, próbując oszacować możliwe uszkodzenia utraconego dysku flash: potrzebujesz szkolenia, które pomoże dostępnemu personelowi zrozumieć zakres uszkodzeń bez dodawania do kosztów już ważnego zarządzania. Mówiąc najprościej, personel musi zostać przeszkolony w zakresie tego, co pociąga za sobą naruszenie, oraz w terminowym informowaniu o procedurze osób, których dane dotyczą.

Artykuł 34 mówi nam, że administrator danych nie może zawiadomić osoby, której dane dotyczą, o naruszeniu Kiedy:

• Wprowadzone są odpowiednie środki techniczne i organizacyjne, ale z zawiadomieniem Gwaranta i dowodem odpowiedzialności.
• Przyjęła środki mające na celu uniknięcie wysokiego ryzyka naruszenia ochrony danych.
• Ujawnienie można pominąć, jeśli wymaga to nieproporcjonalnego wysiłku – w takim przypadku musi to zostać publicznie zadeklarowane!

Wycieki danych się zdarzają. Ale jak myślisz, jak sobie z tym poradzisz?