Nowa strona 1 » Raportowanie wycieków i incydentów

RAPORTOWANIE WYCIEKÓW, INCYDENTÓW I NARUSZEŃ DANYCH OSOBOWYCH

1. Podstawa prawna

Najważniejsze przepisy:

Art. 33 RODO – obowiązek zgłoszenia naruszenia do organu nadzorczego
Art. 34 RODO – obowiązek powiadomienia osób, których dane dotyczą
Art. 5 ust. 2 RODO – zasada rozliczalności (administrator musi wykazać działania)

Kluczowe wymogi:

zgłoszenie naruszenia do organu (w Polsce: Urząd Ochrony Danych Osobowych) w ciągu 72 godzin od wykrycia
jeśli ryzyko jest wysokie → obowiązek poinformowania osób, których dane dotyczą
prowadzenie rejestru naruszeń (nawet jeśli nie zgłaszasz do organu)

2. Czym jest incydent / naruszenie danych?

Zgodnie z RODO to:

każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:

zniszczenia,
utraty,
modyfikacji,
nieuprawnionego ujawnienia,
dostępu do danych osobowych.

Przykłady:

wysłanie maila do złego odbiorcy
zgubienie laptopa z danymi
atak ransomware
udostępnienie hasła
wyrzucenie dokumentów bez zniszczenia

3. Metodologia postępowania (krok po kroku)

Krok 1: Wykrycie incydentu

Źródła:

pracownik (najczęstsze),
system IT,
klient/osoba, której dane dotyczą,
audyt lub kontrola.

Kluczowy obowiązek pracownika: natychmiastowe zgłoszenie (bez analizy „czy to poważne”).

Krok 2: Zgłoszenie wewnętrzne

Pracownik powinien:

zgłosić incydent do:
- przełożonego lub
- Inspektora Ochrony Danych (IOD)
podać:
- co się stało,
- kiedy,
- jakie dane mogły zostać ujawnione,
- ilu osób dotyczy problem.

Czas reakcji: niezwłocznie (najlepiej natychmiast)

Krok 3: Klasyfikacja incydentu

Organizacja ocenia:

rodzaj danych (np. zwykłe vs. wrażliwe),
skalę (liczba osób),
łatwość identyfikacji osoby,
potencjalne skutki (np. kradzież tożsamości).

Stosuje się często analizę ryzyka:

niskie ryzyko → brak zgłoszenia do organu
średnie/wysokie → zgłoszenie wymagane

Krok 4: Ocena ryzyka dla osób

Ocena obejmuje:

czy dane mogą zostać wykorzystane przeciwko osobie,
czy możliwa jest szkoda:
- finansowa,
- reputacyjna,
- prawna.

Jeśli wysokie ryzyko → obowiązek powiadomienia osób.

Krok 5: Zgłoszenie do organu nadzorczego

Do Urząd Ochrony Danych Osobowych zgłasza się:

W ciągu 72 godzin od wykrycia

Zgłoszenie musi zawierać:

opis incydentu,
kategorie i liczbę osób,
możliwe konsekwencje,
zastosowane środki zaradcze,
dane kontaktowe IOD.

Krok 6: Powiadomienie osób, których dane dotyczą

Wymagane, gdy ryzyko jest wysokie.

Powiadomienie powinno być:

jasne i zrozumiałe,
bez zbędnego opóźnienia,
zawierać:
- opis zdarzenia,
- możliwe konsekwencje,
- zalecenia (np. zmiana hasła).

Krok 7: Działania naprawcze

Organizacja powinna:

zabezpieczyć systemy,
zmienić hasła / dostępy,
przywrócić dane z backupu,
wdrożyć dodatkowe zabezpieczenia.

Krok 8: Dokumentacja incydentu

Obowiązkowe elementy:

data i opis zdarzenia,
przyczyna,
skutki,
podjęte działania,
decyzja o zgłoszeniu (lub jej brak).

To realizuje zasadę rozliczalności (art. 5 ust. 2 RODO)

4. Najczęstsze błędy w raportowaniu

zbyt późne zgłoszenie (przekroczenie 72h),
„ukrywanie” incydentu przez pracownika,
brak dokumentacji,
błędna ocena ryzyka,
brak procedur wewnętrznych.

5. Dobre praktyki (rekomendowane)

wdrożenie procedury zarządzania incydentami,
szkolenia pracowników (rozpoznawanie incydentów),
gotowe formularze zgłoszeń,
testy (symulacje incydentów),
wyznaczenie jasnej ścieżki eskalacji.

Kluczowa zasada

Najważniejsze w praktyce: lepiej zgłosić za dużo niż za mało

Brak zgłoszenia może skutkować wysokimi karami administracyjnymi, podczas gdy samo wystąpienie incydentu – już niekoniecznie.

Powrót do strony głównej KURSU

poprzednia strona

+48 602 597 030

goreckiwoj.biz@gmail.com

Ulica Ogrodowa 4/7, 44-238 Czerwionka-Leszczyny

Świadczymy kompleksowe usługi Inspektora Ochrony Danych Osobowych, zapewniając zgodność z RODO, KSC, NIS2. Przygotowujemy dokumentację i prowadzimy szkolenia, dostosowując Twoje procesy do wymogów prawnych i rynkowych.

Firma

Usługi

Społeczności

KONTAKT

Masz pytania?