RAPORTOWANIE WYCIEKÓW, INCYDENTÓW I NARUSZEŃ DANYCH OSOBOWYCH
1. Podstawa prawna
Najważniejsze przepisy:
- Art. 33 RODO – obowiązek zgłoszenia naruszenia do organu nadzorczego
- Art. 34 RODO – obowiązek powiadomienia osób, których dane dotyczą
- Art. 5 ust. 2 RODO – zasada rozliczalności (administrator musi wykazać działania)
Kluczowe wymogi:
- zgłoszenie naruszenia do organu (w Polsce: Urząd Ochrony Danych Osobowych) w ciągu 72 godzin od wykrycia
- jeśli ryzyko jest wysokie → obowiązek poinformowania osób, których dane dotyczą
- prowadzenie rejestru naruszeń (nawet jeśli nie zgłaszasz do organu)
2. Czym jest incydent / naruszenie danych?
Zgodnie z RODO to:
każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:
- zniszczenia,
- utraty,
- modyfikacji,
- nieuprawnionego ujawnienia,
- dostępu do danych osobowych.
Przykłady:
- wysłanie maila do złego odbiorcy
- zgubienie laptopa z danymi
- atak ransomware
- udostępnienie hasła
- wyrzucenie dokumentów bez zniszczenia
3. Metodologia postępowania (krok po kroku)
Krok 1: Wykrycie incydentu
Źródła:
- pracownik (najczęstsze),
- system IT,
- klient/osoba, której dane dotyczą,
- audyt lub kontrola.
Kluczowy obowiązek pracownika: natychmiastowe zgłoszenie (bez analizy „czy to poważne”).
Krok 2: Zgłoszenie wewnętrzne
Pracownik powinien:
- zgłosić incydent do:
- przełożonego lub
- Inspektora Ochrony Danych (IOD)
- podać:
- co się stało,
- kiedy,
- jakie dane mogły zostać ujawnione,
- ilu osób dotyczy problem.
Czas reakcji: niezwłocznie (najlepiej natychmiast)
Krok 3: Klasyfikacja incydentu
Organizacja ocenia:
- rodzaj danych (np. zwykłe vs. wrażliwe),
- skalę (liczba osób),
- łatwość identyfikacji osoby,
- potencjalne skutki (np. kradzież tożsamości).
Stosuje się często analizę ryzyka:
- niskie ryzyko → brak zgłoszenia do organu
- średnie/wysokie → zgłoszenie wymagane
Krok 4: Ocena ryzyka dla osób
Ocena obejmuje:
- czy dane mogą zostać wykorzystane przeciwko osobie,
- czy możliwa jest szkoda:
- finansowa,
- reputacyjna,
- prawna.
Jeśli wysokie ryzyko → obowiązek powiadomienia osób.
Krok 5: Zgłoszenie do organu nadzorczego
Do Urząd Ochrony Danych Osobowych zgłasza się:
W ciągu 72 godzin od wykrycia
Zgłoszenie musi zawierać:
- opis incydentu,
- kategorie i liczbę osób,
- możliwe konsekwencje,
- zastosowane środki zaradcze,
- dane kontaktowe IOD.
Krok 6: Powiadomienie osób, których dane dotyczą
Wymagane, gdy ryzyko jest wysokie.
Powiadomienie powinno być:
- jasne i zrozumiałe,
- bez zbędnego opóźnienia,
- zawierać:
- opis zdarzenia,
- możliwe konsekwencje,
- zalecenia (np. zmiana hasła).
Krok 7: Działania naprawcze
Organizacja powinna:
- zabezpieczyć systemy,
- zmienić hasła / dostępy,
- przywrócić dane z backupu,
- wdrożyć dodatkowe zabezpieczenia.
Krok 8: Dokumentacja incydentu
Obowiązkowe elementy:
- data i opis zdarzenia,
- przyczyna,
- skutki,
- podjęte działania,
- decyzja o zgłoszeniu (lub jej brak).
To realizuje zasadę rozliczalności (art. 5 ust. 2 RODO)
4. Najczęstsze błędy w raportowaniu
- zbyt późne zgłoszenie (przekroczenie 72h),
- „ukrywanie” incydentu przez pracownika,
- brak dokumentacji,
- błędna ocena ryzyka,
- brak procedur wewnętrznych.
5. Dobre praktyki (rekomendowane)
- wdrożenie procedury zarządzania incydentami,
- szkolenia pracowników (rozpoznawanie incydentów),
- gotowe formularze zgłoszeń,
- testy (symulacje incydentów),
- wyznaczenie jasnej ścieżki eskalacji.
Kluczowa zasada
Najważniejsze w praktyce: lepiej zgłosić za dużo niż za mało
Brak zgłoszenia może skutkować wysokimi karami administracyjnymi, podczas gdy samo wystąpienie incydentu – już niekoniecznie.
+48 602 597 030
goreckiwoj.biz@gmail.com
Ulica Ogrodowa 4/7, 44-238 Czerwionka-Leszczyny
Świadczymy kompleksowe usługi Inspektora Ochrony Danych Osobowych, zapewniając zgodność z RODO, KSC, NIS2. Przygotowujemy dokumentację i prowadzimy szkolenia, dostosowując Twoje procesy do wymogów prawnych i rynkowych.
Firma
Usługi
Społeczności
KONTAKT
Masz pytania?