ZGŁASZANIE NARUSZEŃ

Wszyst­kie oso­by prze­twa­rza­ją­ce dane oso­bo­we w WAT mają obo­wią­zek infor­mo­wa­nia o zauwa­żo­nych incy­den­tach naru­sze­nia bez­pie­czeń­stwa

Załącz­nik nr 1 do „Poli­ty­ki bez­pie­czeń­stwa danych oso­bo­wych w Woj­sko­wej Aka­de­mii Tech­nicz­nej”

INSTRUKCJA
POSTĘPOWANIA W SYTUACJACH NARUSZENIA
ZASAD OCHRONY DANYCH OSOBOWYCH

  1. Celem niniej­szej instruk­cji jest okre­śle­nie pro­ce­dur postę­po­wa­nia w przy­pad­ku, gdy:
    1. stwier­dzo­no naru­sze­nie zasad zabez­pie­cze­nia w obsza­rze prze­twa­rza­nia danych oso­bo­wych;
    2. stan urzą­dzeń, zawar­tość zbio­ru danych oso­bo­wych, ujaw­nio­ne meto­dy pra­cy, spo­sób dzia­ła­nia pro­gra­mu lub jakość komu­ni­ka­cji w sie­ci kom­pu­te­ro­wej mogą wska­zy­wać na naru­sze­nie bez­pie­czeń­stwa danych oso­bo­wych.
  2. Instruk­cja okre­śla zasa­dy postę­po­wa­nia wszyst­kich osób mają­cych dostęp do prze­twa­rza­nia danych oso­bo­wych zarów­no w sys­te­mach infor­ma­tycz­nych oraz w wer­sji papie­ro­wej.
  3. Naru­sze­nie ochro­ny danych oso­bo­wych ozna­cza takie naru­sze­nie zasad bez­pie­czeń­stwa, któ­re pro­wa­dzi do przy­pad­ko­we­go lub nie­zgod­ne­go z pra­wem znisz­cze­nia, utra­ce­nia, zmo­dy­fi­ko­wa­nia, nie­upraw­nio­ne­go ujaw­nie­nia lub nie­upraw­nio­ne­go dostę­pu do prze­twa­rza­nych danych oso­bo­wych, a w szcze­gól­no­ści:
    1. nie­au­to­ry­zo­wa­ny dostęp do danych;
    2. nie­au­to­ry­zo­wa­ne mody­fi­ka­cje lub znisz­cze­nie danych;
    3. udo­stęp­nie­nie danych nie­au­to­ry­zo­wa­nym lub nie­upraw­nio­nym pod­mio­tom;
    4. nie­le­gal­ne ujaw­nie­nie danych;
    5. pozy­ski­wa­nie danych z nie­le­gal­nych źró­deł.
  4. W przy­pad­ku stwier­dze­nia lub podej­rze­nia naru­sze­nia zabez­pie­cze­nia sys­te­mu lub zaist­nie­nia zda­rzeń, któ­re mogą wska­zy­wać na naru­sze­nie zabez­pie­cze­nia danych oso­bo­wych, każ­da oso­ba prze­twa­rza­ją­ca dane oso­bo­we w WAT jest zobo­wią­za­na prze­rwać prze­twa­rza­nie tych danych i nie­zwłocz­nie powia­do­mić o zaist­nia­łym zda­rze­niu bez­po­śred­nie­go prze­ło­żo­ne­go, któ­ry poin­for­mu­je spe­cja­li­stę ds. ochro­ny danych lub wyzna­czo­ne­go przez nie­go LABI, a następ­nie powi­nien postę­po­wać sto­sow­nie do ich decy­zji.
  5. Spe­cja­li­sta ds. ochro­ny danych lub wyzna­czo­ny przez nie­go LABI ana­li­zu­je zgło­sze­nie i w przy­pad­ku stwier­dze­nia naru­sze­nia ma 12 godzin od momen­tu stwier­dze­nia naru­sze­nia na jego zgło­sze­nie bez­po­śred­nio do IOD.
  6. AD zgła­sza naru­sze­nia orga­no­wi nad­zor­cze­mu w cią­gu 72 godzin, chy­ba, że jest mało praw­do­po­dob­ne, by naru­sze­nie to skut­ko­wa­ło ryzy­kiem naru­sze­nia praw lub wol­no­ści osób fizycz­nych.
  7. Jeże­li zgło­sze­nie naru­sze­nia do orga­nu nad­zor­cze­go nastą­pi po upły­wie 72 godzin, AD zobo­wią­za­ny jest wraz ze zgło­sze­niem naru­sze­nia prze­słać przy­czy­nę opóź­nie­nia zgło­sze­nia.
  8. Jeże­li naru­sze­nie ochro­ny danych oso­bo­wych może powo­do­wać wyso­kie ryzy­ko naru­sze­nia praw i wol­no­ści osób fizycz­nych, AD bez zbęd­nej zwło­ki zawia­da­mia oso­bę, któ­rej dane doty­czą, o takim naru­sze­niu. Zawia­do­mie­nie powin­no być napi­sa­ne jasnym i pro­stym języ­kiem oraz opi­sy­wać cha­rak­ter naru­sze­nia według For­mu­la­rza nr 1 Instruk­cji postę­po­wa­nia w sytu­acjach naru­sze­nia zasad ochro­ny danych oso­bo­wych.
  9. Jeże­li naru­sze­nie doty­czy danych jed­nej lub kil­ku osób IOD udzie­la tym oso­bom wszel­kich infor­ma­cji doty­czą­cym naru­sze­nia tele­fo­nicz­nie bądź mailo­wo.
  10. Jeże­li naru­sze­nie doty­czy danych wie­lu osób, AD ogła­sza naru­sze­nie do wia­do­mo­ści publicz­nej poprzez komu­ni­kat w mediach/na stro­nie www/w Biu­le­ty­nie Infor­ma­cji Publicz­nej. Ogło­sze­nie zawie­ra infor­ma­cję o kate­go­rii osób, któ­rych dane zosta­ły naru­szo­ne oraz o ich zakre­sie.
  11. Zgło­sze­nie naru­sze­nia pro­ce­dur ochro­ny danych oso­bo­wych powin­no zawie­rać:
    1. opis symp­to­mów naru­sze­nia pro­ce­dur ochro­ny danych oso­bo­wych;
    2. okre­śle­nie sytu­acji i cza­su zaj­ścia zda­rze­nia;
    3. iden­ty­fi­ka­cję rodza­ju zaist­nia­łe­go zda­rze­nia, w tym okre­śle­nie ska­li znisz­czeń, meto­dy dostę­pu do danych oso­by nie­upo­waż­nio­nej itp.;
    4. przed­sta­wie­nie wszel­kich istot­nych infor­ma­cji i doku­men­tów (wydru­ków, rapor­tów, innych), mogą­cych wska­zy­wać na przy­czy­nę naru­sze­nia;
    5. okre­śle­nie zna­nych danej oso­bie moż­li­wo­ści zabez­pie­cze­nia sys­te­mu oraz wszel­kich dzia­łań pod­ję­tych po ujaw­nie­niu zda­rze­nia w celu unie­moż­li­wie­nia lub ogra­ni­cze­nia dostę­pu osób nie­upraw­nio­nych, mini­ma­li­za­cji szkód i zabez­pie­cze­nia śla­dów naru­sze­nia ochro­ny danych.
  12. Po stwier­dze­niu naru­sze­nia spe­cja­li­sta ds. ochro­ny danych lub wyzna­czo­ny przez nie­go LABI we współ­pra­cy z IOD podej­mu­je dzia­ła­nia zmie­rza­ją­ce do wyja­śnie­nia zgło­szo­ne­go zda­rze­nia. W zależ­no­ści od rodza­ju zgło­szo­ne­go zda­rze­nia może on doko­nać w szcze­gól­no­ści:
    1. wizji lokal­nej w zakre­sie ade­kwat­nym do rodza­ju zgło­szo­ne­go zda­rze­nia;
    2. prze­pro­wa­dze­nia wywia­dów z pra­cow­ni­ka­mi w celu usta­le­nia oko­licz­no­ści fak­tycz­nych;
    3. prze­pro­wa­dze­nia ana­li­zy popraw­no­ści funk­cjo­no­wa­nia sys­te­mu infor­ma­tycz­ne­go, jeże­li zgło­szo­ne zda­rze­nie było zwią­za­ne z nie­pra­wi­dło­wym jego funk­cjo­no­wa­niem;
    4. prze­pro­wa­dze­nia ana­li­zy zapi­su zda­rzeń w sys­te­mie infor­ma­tycz­nym, z uwzględ­nie­niem zapi­su ope­ra­cji reali­zo­wa­nych przez użyt­kow­ni­ków;
    5. prze­pro­wa­dze­nia ana­li­zy danych prze­twa­rza­nych w sys­te­mie infor­ma­tycz­nym, jeże­li zgło­szo­ne zda­rze­nie mogło być spo­wo­do­wa­ne utra­tą dostęp­no­ści lub inte­gral­no­ści prze­twa­rza­nych danych;
    6. spo­rzą­dze­nia doku­men­ta­cji foto­gra­ficz­nej lub fil­mo­wej (w razie potrze­by);
    7. zabez­pie­cze­nia danych prze­twa­rza­nych w sys­te­mie infor­ma­tycz­nym dotknię­tym zda­rze­niem, w szcze­gól­no­ści danych kon­fi­gu­ra­cyj­nych tego sys­te­mu;
    8. zebra­nia innych mate­ria­łów pozwa­la­ją­cych na wyja­śnie­nie przy­czyn zaist­nie­nia zda­rze­nia, jego cha­rak­te­ru i poten­cjal­nych skut­ków.
  13. Spe­cja­li­sta ds. ochro­ny danych lub wyzna­czo­ny przez nie­go LABI przy współ­pra­cy z ASI podej­mu­ją wszel­kie dzia­ła­nia mają­ce na celu:
    1. mini­ma­li­za­cję nega­tyw­nych skut­ków zda­rze­nia;
    2. wyja­śnie­nie przy­czyn i oko­licz­no­ści zda­rze­nia;
    3. zabez­pie­cze­nie dowo­dów zda­rze­nia;
    4. zapew­nie­nie moż­li­wo­ści dal­sze­go bez­piecz­ne­go prze­twa­rza­nia danych.
  14. W celu reali­za­cji zadań wyni­ka­ją­cych z niniej­szej Instruk­cji IOD, w poro­zu­mie­niu ze spe­cja­li­stą ds. ochro­ny danych oraz LABI, ma pra­wo do podej­mo­wa­nia wszel­kich dzia­łań dopusz­czo­nych przez pra­wo, a w szcze­gól­no­ści:
    1. żąda­nia wyja­śnień od pra­cow­ni­ków;
    2. korzy­sta­nia z pomo­cy kon­sul­tan­tów;
    3. wnio­sko­wa­nia o wyda­nie zaka­zu wyko­ny­wa­nia pra­cy w zakre­sie prze­twa­rza­nia danych oso­bo­wych do cza­su przy­wró­ce­nia pożą­da­ne­go bez­pie­czeń­stwa prze­twa­rza­nia danych i zapew­nie­nia prze­strze­ga­nia pro­ce­dur bez­pie­czeń­stwa;
    4. naka­za­nia wpro­wa­dze­nia dodat­ko­wych środ­ków bez­pie­czeń­stwa.
  15. Pole­ce­nia IOD wyda­wa­ne w cza­sie reali­za­cji zadań wyni­ka­ją­cych z niniej­szej instruk­cji są prio­ry­te­to­we i win­ny być wyko­ny­wa­ne przed inny­mi, zapew­nia­jąc ochro­nę danych oso­bo­wych.
  16. Spe­cja­li­sta ds. ochro­ny danych lub wyzna­czo­ny przez nie­go LABI pro­wa­dzi rejestr naru­szeń (incy­den­tów) sta­no­wią­cy For­mu­larz nr 2 Instruk­cji postę­po­wa­nia w sytu­acjach naru­sze­nia zasad ochro­ny danych oso­bo­wych.
  17. Spe­cja­li­sta ds. ochro­ny danych lub wyzna­czo­ny przez nie­go LABI prze­sy­ła IOD rejestr zaist­nia­łych incy­den­tów.
  18. IOD odpo­wie­dzial­ny jest za prze­pro­wa­dza­nie przy­naj­mniej raz w roku ana­li­zy zaist­nia­łych incy­den­tów w celu:
    1. okre­śle­nia sku­tecz­no­ści podej­mo­wa­nych dzia­łań wyja­śnia­ją­cych i napraw­czych;
    2. okre­śle­nia wyma­ga­nych dzia­łań zwięk­sza­ją­cych bez­pie­czeń­stwo sys­te­mu infor­ma­tycz­ne­go i mini­ma­li­zu­ją­cych ryzy­ko zaist­nie­nia incy­den­tów;
    3. okre­śle­nia potrzeb w zakre­sie szko­leń z ochro­ny danych oso­bo­wych.
  19. Odmo­wa udzie­le­nia wyja­śnień lub współ­pra­cy z IOD w obsza­rze ochro­ny danych oso­bo­wych trak­to­wa­na będzie jako naru­sze­nie obo­wiąz­ków pra­cow­ni­czych.
  20. IOD przy współ­dzia­ła­niu z ASI oraz spe­cja­li­stą ds. ochro­ny danych/LABI każ­do­ra­zo­wo pro­wa­dzi szcze­gó­ło­wą ana­li­zę i opra­co­wu­je w ter­mi­nie 7 dni od daty zaist­nie­nia zda­rze­nia raport, w któ­rym przed­sta­wia Rek­to­ro­wi przy­czy­ny i skut­ki zda­rze­nia oraz wnio­ski ogra­ni­cza­ją­ce moż­li­wo­ści wystą­pie­nia podob­nych zda­rzeń w przy­szło­ści wraz z pro­po­zy­cją kon­kret­nych dzia­łań. Wzór rapor­tu sta­no­wi For­mu­larz nr 3 Instruk­cji postę­po­wa­nia w sytu­acjach naru­sze­nia zasad ochro­ny danych oso­bo­wych.
  21. Nie­prze­strze­ga­nie zasad postę­po­wa­nia okre­ślo­nych w niniej­szej Instruk­cji sta­no­wi naru­sze­nie obo­wiąz­ków pra­cow­ni­czych i może być pod­sta­wą odpo­wie­dzial­no­ści dys­cy­pli­nar­nej okre­ślo­nej w usta­wie z dnia 26 czerw­ca 1974 r., Kodeks Pra­cy (Dz. U. z 2018 r., poz. 108 z późn. zm).
  22. Jeże­li skut­kiem dzia­ła­nia jest ujaw­nie­nie danych oso­bo­wych nie­upraw­nio­nej oso­bie lub pod­mio­to­wi, spraw­ca może zostać pocią­gnię­ty do odpo­wie­dzial­no­ści kar­nej wyni­ka­ją­cej z prze­pi­sów Kodek­su Kar­ne­go.

Zawia­do­mie­nie oso­by, któ­rej dane doty­czą o naru­sze­niu ochro­ny danych oso­bo­wych

Rejestr naru­szeń (incy­den­tów)

Raport o incy­den­cie bez­pie­czeń­stwa infor­ma­cji