Sprawdzenia doraźne – kiedy je przeprowadzić

Zgodnie z wymaganiami rozporządzenia wykonawczego z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, ABI ma wykonywać sprawdzenia doraźne w sytuacji powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia. Takie sprawdzenia mają być przeprowadzane niezwłocznie po otrzymaniu informacji o naruszeniu.

Z praktycznego punktu widzenia rodzi się pytanie czy każdy incydent naruszenia ochrony danych lub jego podejrzenie wymaga przeprowadzenia sprawdzenia doraźnego przez ABI? Czy nie wystarczy w tym wypadku postępowanie zgodnie z przyjętą przez administratora danych instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych?

Wielu administratorów danych osobowych przyjęło do stosowania „instrukcje postępowania w sytuacji naruszenia ochrony danych osobowych” stworzone na podstawie przepisów § 6 rozporządzenia ministra spraw wewnętrznych i administracji z 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 1998 r. nr 80, poz. 521).

Ten akt obowiązywał do 1 maja 2004 r. Obecne przepisy o ochronie danych osobowych nie wymagają posiadania takiego dokumentu, co nie oznacza, że nie jest on potrzebny i przydatny.

Zgodnie z wymaganiami wspomnianego rozporządzenia, instrukcja odnosiła się jedynie do naruszenia zabezpieczenia systemu informatycznego i wskazywała, że osobą, którą należy powiadomić o naruszeniu, jest ABI.

Do czasu pojawienia się przepisów rozporządzenia wykonawczego dotyczącego wykonywania sprawdzeń, to właśnie zasady postępowania określone w instrukcji były podstawą wyjaśniania zaistniałych naruszeń przy przetwarzaniu danych osobowych w organizacji.

Zazwyczaj w instrukcji, z którą zapoznawane były wszystkie osoby upoważnione do przetwarzania danych osobowych, były zdefiniowane i wyspecyfikowane różne sytuacje, które określały naruszenie zasad ochrony. W swoich opracowaniach standardowo przyjmowałem podział na trzy rodzaje sytuacji, które dotyczyły: systemu informatycznego; obszaru przetwarzania danych (pomieszczeń) oraz przyjętych w polityce bezpieczeństwa zasad wykonywania poszczególnych obowiązków wynikających z ustawy.

Bardzo istotnym elementem tej procedury jest sposób powiadamiania ABI lub innych osób, np. ASI, o zaistniałym zdarzeniu, tak aby w odpowiednim czasie mogli podjąć właściwe działania zapobiegające czy wyjaśniające daną sytuację.

Decyzja o przeprowadzeniu sprawdzenia doraźnego należy do ABI i w zasadzie powinna zależeć od skali naruszenia. ABI po otrzymaniu informacji powinien przeanalizować czy dana sytuacja wymaga podjęcia takich działań, czy wystarczy postępowanie wyjaśniające zgodnie z przyjętą instrukcją.

Jest to istotne szczególnie w dużych instytucjach, gdzie różnego rodzaju incydenty zdarzają się bardzo często i nie da się ich uniknąć. Już sama pomyłka w pakowaniu korespondencji do klientów, przy której myli się adresatów, powoduje naruszenie ochrony danych, zagrożone odpowiedzialnością z art. 51 uodo. Jeżeli zdarza się to raz na rok, to możemy mówić, że jest szczególnym wydarzeniem, ale jak zdarza się w dużych firmach, np. telekomunikacyjnych czy ubezpieczeniowych, kilka razy w miesiącu, to w zasadzie jest normą. Podobnie jest z pozostawianiem danych bez nadzoru, przesyłaniem ich pocztą elektroniczną przez internet bez zabezpieczenia czy wyrzucaniem danych do śmieci bez odpowiedniego zniszczenia.

Czy w tych sytuacji za każdym razem ABI ma rozpoczynać sprawdzenie zakończone sprawozdaniem dla ADO zgodnie z art. 36c? Aby pojawiające się naruszenie zwymiarować, dobrze jest stworzyć wcześniej wykaz takich sytuacji oraz oszacować ryzyko ich konsekwencji i od tego uzależniać podjęcie decyzji o każdorazowym przeprowadzaniu sprawdzenia doraźnego.

ABI powinien prowadzić na bieżąco rejestr wszystkich incydentów dotyczących naruszenia ochrony danych. Jest on dobrą podstawą do podejmowania różnego rodzaju działań mających na celu minimalizację ryzyka wystąpienia danego rodzaju incydentów w przyszłości, w tym: podnoszenia świadomości dotyczącej zagrożeń przez włączenie odpowiednich informacji do materiałów szkoleniowych oraz ich eliminacji przez wprowadzanie różnych procedur, np. wymogu zabezpieczania hasłem dokumentów z danymi przesyłanymi w załącznikach do poczty elektronicznej.