Postępowanie ADO w przypadku wycieku danych

Jak powinien postąpić profesjonalny administrator bezpieczeństwa informacji, gdy zostanie ujawniony wyciek danych? Przepisy rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji zobowiązują ABI do dokonywania sprawdzeń.

Chodzi o czynności, których celem jest zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. ABI dokonuje sprawdzeń:

• planowych (według planu sprawdzeń),
• doraźnych (w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji gdy administrator bezpieczeństwa informacji ma wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia) oraz takich, o dokonanie których zwraca się GIODO.

Administrator bezpieczeństwa informacji powinien przeprowadzić sprawdzenie doraźne niezwłocznie po tym, jak dowie się o naruszeniu ochrony danych osobowych lub będzie miał uzasadnione podejrzenie takiego naruszenia. Zanim jednak dokona pierwszej czynności w toku sprawdzenia, o jego rozpoczęciu powinien powiadomić administratora danych. Sprawdzeniem powinny być objęte zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych.

ABI zobowiązany jest dokumentować wszystkie czynności podjęte podczas sprawdzenia, które są niezbędne do dokonania oceny zgodności przetwarzania danych z przepisami oraz do opracowania sprawozdania ze sprawdzenia. ABI musi sporządzić i przekazać administratorowi danych sprawozdanie ze sprawdzenia niezwłocznie po zakończeniu sprawdzenia.

Administrator bezpieczeństwa informacji może dokumentować czynności prowadzone w toku sprawdzenia w postaci papierowej lub elektronicznej. Zgodnie z treścią § 4 ust. 2 przedmiotowego rozporządzenia dokumentowanie czynności w toku sprawdzenia może polegać, w szczególności, na utrwaleniu danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych na informatycznym nośniku danych lub dokonaniu wydruku tych danych oraz na:

• sporządzeniu notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych,
• odebraniu wyjaśnień osoby, której czynności objęto sprawdzeniem,
• sporządzeniu kopii otrzymanego dokumentu,
• sporządzeniu kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych,
• sporządzeniu kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.

Do rzetelnego wykonywania czynności sprawdzenia bardzo pomocne dla administratora bezpieczeństwa informacji są atrybuty zagwarantowane mu przez przepisy uodo, tj. niezależność i organizacyjna odrębność w wykonywaniu swoich zadań. ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych.

Niezależność ABI znalazła swój wyraz m.in. w § 5 cytowanego wyżej rozporządzenia, zgodnie z którym osoba odpowiedzialna za przetwarzanie danych, której dotyczy sprawdzenie, bierze udział w sprawdzeniu lub umożliwia administratorowi bezpieczeństwa informacji przeprowadzenie czynności w toku sprawdzenia.

Oznacza to obowiązek współpracy z administratorem bezpieczeństwa informacji wszystkich osób odpowiedzialnych za przetwarzanie danych, niezależnie od zajmowanego stanowiska i pełnionej funkcji.