ZGŁASZANIE NARUSZEŃ

Wszystkie osoby przetwarzające dane osobowe w WAT mają obowiązek informowania o zauważonych incydentach naruszenia bezpieczeństwa

Załącznik nr 1 do „Polityki bezpieczeństwa danych osobowych w Wojskowej Akademii Technicznej”

INSTRUKCJA
POSTĘPOWANIA W SYTUACJACH NARUSZENIA
ZASAD OCHRONY DANYCH OSOBOWYCH

  1. Celem niniejszej instrukcji jest określenie procedur postępowania w przypadku, gdy:
    1. stwierdzono naruszenie zasad zabezpieczenia w obszarze przetwarzania danych osobowych;
    2. stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej mogą wskazywać na naruszenie bezpieczeństwa danych osobowych.
  2. Instrukcja określa zasady postępowania wszystkich osób mających dostęp do przetwarzania danych osobowych zarówno w systemach informatycznych oraz w wersji papierowej.
  3. Naruszenie ochrony danych osobowych oznacza takie naruszenie zasad bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych, a w szczególności:
    1. nieautoryzowany dostęp do danych;
    2. nieautoryzowane modyfikacje lub zniszczenie danych;
    3. udostępnienie danych nieautoryzowanym lub nieuprawnionym podmiotom;
    4. nielegalne ujawnienie danych;
    5. pozyskiwanie danych z nielegalnych źródeł.
  4. W przypadku stwierdzenia lub podejrzenia naruszenia zabezpieczenia systemu lub zaistnienia zdarzeń, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każda osoba przetwarzająca dane osobowe w WAT jest zobowiązana przerwać przetwarzanie tych danych i niezwłocznie powiadomić o zaistniałym zdarzeniu bezpośredniego przełożonego, który poinformuje specjalistę ds. ochrony danych lub wyznaczonego przez niego LABI, a następnie powinien postępować stosownie do ich decyzji.
  5. Specjalista ds. ochrony danych lub wyznaczony przez niego LABI analizuje zgłoszenie i w przypadku stwierdzenia naruszenia ma 12 godzin od momentu stwierdzenia naruszenia na jego zgłoszenie bezpośrednio do IOD.
  6. AD zgłasza naruszenia organowi nadzorczemu w ciągu 72 godzin, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  7. Jeżeli zgłoszenie naruszenia do organu nadzorczego nastąpi po upływie 72 godzin, AD zobowiązany jest wraz ze zgłoszeniem naruszenia przesłać przyczynę opóźnienia zgłoszenia.
  8. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, AD bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie powinno być napisane jasnym i prostym językiem oraz opisywać charakter naruszenia według Formularza nr 1 Instrukcji postępowania w sytuacjach naruszenia zasad ochrony danych osobowych.
  9. Jeżeli naruszenie dotyczy danych jednej lub kilku osób IOD udziela tym osobom wszelkich informacji dotyczącym naruszenia telefonicznie bądź mailowo.
  10. Jeżeli naruszenie dotyczy danych wielu osób, AD ogłasza naruszenie do wiadomości publicznej poprzez komunikat w mediach/na stronie www/w Biuletynie Informacji Publicznej. Ogłoszenie zawiera informację o kategorii osób, których dane zostały naruszone oraz o ich zakresie.
  11. Zgłoszenie naruszenia procedur ochrony danych osobowych powinno zawierać:
    1. opis symptomów naruszenia procedur ochrony danych osobowych;
    2. określenie sytuacji i czasu zajścia zdarzenia;
    3. identyfikację rodzaju zaistniałego zdarzenia, w tym określenie skali zniszczeń, metody dostępu do danych osoby nieupoważnionej itp.;
    4. przedstawienie wszelkich istotnych informacji i dokumentów (wydruków, raportów, innych), mogących wskazywać na przyczynę naruszenia;
    5. określenie znanych danej osobie możliwości zabezpieczenia systemu oraz wszelkich działań podjętych po ujawnieniu zdarzenia w celu uniemożliwienia lub ograniczenia dostępu osób nieuprawnionych, minimalizacji szkód i zabezpieczenia śladów naruszenia ochrony danych.
  12. Po stwierdzeniu naruszenia specjalista ds. ochrony danych lub wyznaczony przez niego LABI we współpracy z IOD podejmuje działania zmierzające do wyjaśnienia zgłoszonego zdarzenia. W zależności od rodzaju zgłoszonego zdarzenia może on dokonać w szczególności:
    1. wizji lokalnej w zakresie adekwatnym do rodzaju zgłoszonego zdarzenia;
    2. przeprowadzenia wywiadów z pracownikami w celu ustalenia okoliczności faktycznych;
    3. przeprowadzenia analizy poprawności funkcjonowania systemu informatycznego, jeżeli zgłoszone zdarzenie było związane z nieprawidłowym jego funkcjonowaniem;
    4. przeprowadzenia analizy zapisu zdarzeń w systemie informatycznym, z uwzględnieniem zapisu operacji realizowanych przez użytkowników;
    5. przeprowadzenia analizy danych przetwarzanych w systemie informatycznym, jeżeli zgłoszone zdarzenie mogło być spowodowane utratą dostępności lub integralności przetwarzanych danych;
    6. sporządzenia dokumentacji fotograficznej lub filmowej (w razie potrzeby);
    7. zabezpieczenia danych przetwarzanych w systemie informatycznym dotkniętym zdarzeniem, w szczególności danych konfiguracyjnych tego systemu;
    8. zebrania innych materiałów pozwalających na wyjaśnienie przyczyn zaistnienia zdarzenia, jego charakteru i potencjalnych skutków.
  13. Specjalista ds. ochrony danych lub wyznaczony przez niego LABI przy współpracy z ASI podejmują wszelkie działania mające na celu:
    1. minimalizację negatywnych skutków zdarzenia;
    2. wyjaśnienie przyczyn i okoliczności zdarzenia;
    3. zabezpieczenie dowodów zdarzenia;
    4. zapewnienie możliwości dalszego bezpiecznego przetwarzania danych.
  14. W celu realizacji zadań wynikających z niniejszej Instrukcji IOD, w porozumieniu ze specjalistą ds. ochrony danych oraz LABI, ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności:
    1. żądania wyjaśnień od pracowników;
    2. korzystania z pomocy konsultantów;
    3. wnioskowania o wydanie zakazu wykonywania pracy w zakresie przetwarzania danych osobowych do czasu przywrócenia pożądanego bezpieczeństwa przetwarzania danych i zapewnienia przestrzegania procedur bezpieczeństwa;
    4. nakazania wprowadzenia dodatkowych środków bezpieczeństwa.
  15. Polecenia IOD wydawane w czasie realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi, zapewniając ochronę danych osobowych.
  16. Specjalista ds. ochrony danych lub wyznaczony przez niego LABI prowadzi rejestr naruszeń (incydentów) stanowiący Formularz nr 2 Instrukcji postępowania w sytuacjach naruszenia zasad ochrony danych osobowych.
  17. Specjalista ds. ochrony danych lub wyznaczony przez niego LABI przesyła IOD rejestr zaistniałych incydentów.
  18. IOD odpowiedzialny jest za przeprowadzanie przynajmniej raz w roku analizy zaistniałych incydentów w celu:
    1. określenia skuteczności podejmowanych działań wyjaśniających i naprawczych;
    2. określenia wymaganych działań zwiększających bezpieczeństwo systemu informatycznego i minimalizujących ryzyko zaistnienia incydentów;
    3. określenia potrzeb w zakresie szkoleń z ochrony danych osobowych.
  19. Odmowa udzielenia wyjaśnień lub współpracy z IOD w obszarze ochrony danych osobowych traktowana będzie jako naruszenie obowiązków pracowniczych.
  20. IOD przy współdziałaniu z ASI oraz specjalistą ds. ochrony danych/LABI każdorazowo prowadzi szczegółową analizę i opracowuje w terminie 7 dni od daty zaistnienia zdarzenia raport, w którym przedstawia Rektorowi przyczyny i skutki zdarzenia oraz wnioski ograniczające możliwości wystąpienia podobnych zdarzeń w przyszłości wraz z propozycją konkretnych działań. Wzór raportu stanowi Formularz nr 3 Instrukcji postępowania w sytuacjach naruszenia zasad ochrony danych osobowych.
  21. Nieprzestrzeganie zasad postępowania określonych w niniejszej Instrukcji stanowi naruszenie obowiązków pracowniczych i może być podstawą odpowiedzialności dyscyplinarnej określonej w ustawie z dnia 26 czerwca 1974 r., Kodeks Pracy (Dz. U. z 2018 r., poz. 108 z późn. zm).
  22. Jeżeli skutkiem działania jest ujawnienie danych osobowych nieuprawnionej osobie lub podmiotowi, sprawca może zostać pociągnięty do odpowiedzialności karnej wynikającej z przepisów Kodeksu Karnego.

Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

Rejestr naruszeń (incydentów)

Raport o incydencie bezpieczeństwa informacji