ZGŁASZANIE NARUSZEŃ

Wszyst­kie oso­by prze­twa­rza­ją­ce dane oso­bo­we w WAT mają obo­wią­zek infor­mo­wa­nia o zauwa­żo­nych incy­den­tach naru­sze­nia bez­pie­czeń­stwa

Załącz­nik nr 12 do „Poli­ty­ki bez­pie­czeń­stwa danych oso­bo­wych w Woj­sko­wej Aka­de­mii Tech­nicz­nej”

Instruk­cja postę­po­wa­nia w sytu­acji naru­sze­nia zasad ochro­ny danych oso­bo­wych

  1. Celem niniej­szej instruk­cji jest okre­śle­nie zasad postę­po­wa­nia w przy­pad­ku, gdy:
    1) stwier­dzo­no naru­sze­nie zasad ochro­ny danych oso­bo­wych w obsza­rze prze­twa­rza­nia danych oso­bo­wych,
  2. 2) stan urzą­dzeń, zawar­tość zbio­ru danych oso­bo­wych, ujaw­nio­ne meto­dy pra­cy, spo­sób dzia­ła­nia pro­gra­mu lub jakość komu­ni­ka­cji w sie­ci kom­pu­te­ro­wej mogą wska­zy­wać na naru­sze­nie ochro­ny danych oso­bo­wych.

  3. Instruk­cja okre­śla zasa­dy postę­po­wa­nia wszyst­kich osób mają­cych dostęp do prze­twa­rza­nia danych oso­bo­wych zarów­no w sys­te­mach infor­ma­tycz­nych oraz w wer­sji papie­ro­wej.
  4. Naru­sze­nie ochro­ny danych oso­bo­wych ozna­cza takie naru­sze­nie zasad bez­pie­czeń­stwa, któ­re pro­wa­dzi do przy­pad­ko­we­go lub nie­zgod­ne­go z pra­wem znisz­cze­nia, utra­ce­nia, zmo­dy­fi­ko­wa­nia, nie­upraw­nio­ne­go ujaw­nie­nia lub nie­upraw­nio­ne­go dostę­pu do prze­twa­rza­nych danych oso­bo­wych, a w szcze­gól­no­ści:
    1) nie­au­to­ry­zo­wa­ny dostęp do danych;
    2) nie­au­to­ry­zo­wa­ne mody­fi­ka­cje lub znisz­cze­nie danych;
    3) udo­stęp­nie­nie danych nie­au­to­ry­zo­wa­nym lub nie­upraw­nio­nym pod­mio­tom;
    4) nie­le­gal­ne ujaw­nie­nie danych;
    5) pozy­ski­wa­nie danych z nie­le­gal­nych źró­deł.
  5. W przy­pad­ku stwier­dze­nia lub podej­rze­nia naru­sze­nia zabez­pie­cze­nia sys­te­mu lub zaist­nie­nia zda­rzeń, któ­re mogą wska­zy­wać na naru­sze­nie ochro­ny danych oso­bo­wych, każ­da oso­ba prze­twa­rza­ją­ca dane oso­bo­we w WAT jest zobo­wią­za­na prze­rwać prze­twa­rza­nie tych danych i nie­zwłocz­nie powia­do­mić o  zaist­nia­łym zda­rze­niu bez­po­śred­nie­go prze­ło­żo­ne­go, któ­ry poin­for­mu­je LADO lub wyzna­czo­ne­go przez nie­go ODO, a następ­nie powi­nien postę­po­wać sto­sow­nie do ich decy­zji.
  6. Po stwier­dze­niu naru­sze­nia LADO lub wyzna­czo­ny przez nie­go ODO we współ­pra­cy z IOD i ASI podej­mu­ją dzia­ła­nia zmie­rza­ją­ce do wyja­śnie­nia przy­czyn i oko­licz­no­ści zgło­szo­ne­go zda­rze­nia. W zależ­no­ści od rodza­ju zda­rze­nia nale­ży w  szcze­gól­no­ści:
    1) pod­jąć dzia­ła­nia mają­ce na celu mini­ma­li­za­cję nega­tyw­nych skut­ków zda­rze­nia;
    2) doko­nać wizji lokal­nej w zakre­sie ade­kwat­nym do rodza­ju zgło­szo­ne­go zda­rze­nia;
    3) prze­pro­wa­dzić wywia­dy z pra­cow­ni­ka­mi w celu usta­le­nia oko­licz­no­ści zda­rze­nia;
    4) prze­pro­wa­dzić ana­li­zy popraw­no­ści funk­cjo­no­wa­nia sys­te­mu infor­ma­tycz­ne­go, jeże­li zgło­szo­ne zda­rze­nie było zwią­za­ne z nie­pra­wi­dło­wym jego funk­cjo­no­wa­niem;
    5) prze­pro­wa­dzić ana­li­zy zapi­su zda­rzeń w sys­te­mie infor­ma­tycz­nym, z uwzględ­nie­niem zapi­su ope­ra­cji reali­zo­wa­nych przez użyt­kow­ni­ków;
    6) spo­rzą­dzić doku­men­ta­cję foto­gra­ficz­ną lub fil­mo­wą (w razie potrze­by);
    7) zabez­pie­czyć dowo­dy zda­rze­nia;
    8) zebrać inne mate­ria­ły pozwa­la­ją­ce na wyja­śnie­nie przy­czyn zaist­nie­nia zda­rze­nia, jego cha­rak­te­ru i poten­cjal­nych skut­ków;
    9) zapew­nić moż­li­wość dal­sze­go bez­piecz­ne­go prze­twa­rza­nia danych.
  7. LADO lub wyzna­czo­ny przez nie­go ODO w cią­gu 24 godzin od zaist­nie­nia zda­rze­nia prze­ka­zu­je infor­ma­cję o tym fak­cie do  IOD (wzór).
  8. IOD nie­zwłocz­nie ana­li­zu­je sytu­ację i prze­ka­zu­je infor­ma­cje ‑reko­men­da­cje do AD.
  9. AD zgła­sza fakt naru­sze­nia ochro­ny danych oso­bo­wych orga­no­wi nad­zor­cze­mu w  cią­gu 72 godzin od stwier­dze­nia naru­sze­nia, chy­ba, że jest mało praw­do­po­dob­ne, by naru­sze­nie to skut­ko­wa­ło ryzy­kiem naru­sze­nia praw lub wol­no­ści osób fizycz­nych.
  10. W celu reali­za­cji zadań wyni­ka­ją­cych z niniej­szej Instruk­cji IOD, w poro­zu­mie­niu ze LADO oraz ODO, ma pra­wo do podej­mo­wa­nia wszel­kich dzia­łań dopusz­czo­nych przez pra­wo, a w szcze­gól­no­ści:
    1) żąda­nia wyja­śnień od pra­cow­ni­ków;
    2) korzy­sta­nia z pomo­cy kon­sul­tan­tów;
    3) wnio­sko­wa­nia o wyda­nie zaka­zu wyko­ny­wa­nia pra­cy w zakre­sie prze­twa­rza­nia danych oso­bo­wych do cza­su przy­wró­ce­nia pożą­da­ne­go bez­pie­czeń­stwa prze­twa­rza­nia danych i zapew­nie­nia prze­strze­ga­nia pro­ce­dur bez­pie­czeń­stwa;
    4) naka­za­nia wpro­wa­dze­nia dodat­ko­wych środ­ków bez­pie­czeń­stwa.
  11. Pole­ce­nia IOD wyda­wa­ne w cza­sie reali­za­cji zadań wyni­ka­ją­cych z niniej­szej instruk­cji są prio­ry­te­to­we i win­ny być wyko­ny­wa­ne przed inny­mi, zapew­nia­jąc ochro­nę danych oso­bo­wych.
  12. LADO lub wyzna­czo­ny przez nie­go ODO pro­wa­dzi rejestr naru­szeń i incy­den­tów (zał. nr 14) w for­mie papie­ro­wej lub elek­tro­nicz­nej. Kopię reje­stru prze­ka­zu­je do IOD w  for­mie elek­tro­nicz­nej.
  13. IOD odpo­wie­dzial­ny jest za prze­pro­wa­dza­nie przy­naj­mniej raz w roku ana­li­zy zaist­nia­łych incy­den­tów w celu:
    1) okre­śle­nia sku­tecz­no­ści podej­mo­wa­nych dzia­łań wyja­śnia­ją­cych i napraw­czych;
    2) okre­śle­nia wyma­ga­nych dzia­łań zwięk­sza­ją­cych bez­pie­czeń­stwo sys­te­mu infor­ma­tycz­ne­go i mini­ma­li­zu­ją­cych ryzy­ko zaist­nie­nia incy­den­tów;
    3) okre­śle­nia potrzeb w zakre­sie szko­leń z ochro­ny danych oso­bo­wych.
  14. Odmo­wa udzie­le­nia wyja­śnień lub współ­pra­cy z IOD w obsza­rze ochro­ny danych oso­bo­wych trak­to­wa­na będzie jako naru­sze­nie obo­wiąz­ków pra­cow­ni­czych.
  15. Nie­prze­strze­ga­nie zasad postę­po­wa­nia okre­ślo­nych w niniej­szej Instruk­cji sta­no­wi naru­sze­nie obo­wiąz­ków pra­cow­ni­czych i może być pod­sta­wą odpo­wie­dzial­no­ści dys­cy­pli­nar­nej.

Raport z naru­sze­nia bez­pie­czeń­stwa danych oso­bo­wych

Rejestr naru­szeń