Sprawdzenia doraźne – zasady postępowania

Sprawdzenie doraźne jest prowadzone w sytuacji powzięcia przez administratora bezpieczeństwa informacji o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia. Sam przebieg sprawdzenia doraźnego nie różni się zasadniczo od przebiegu sprawdzenia prowadzonego zgodnie z planem sprawdzeń. Najważniejsze różnice to:

• Sprawdzenie doraźne jest przeprowadzane niezwłocznie po powzięciu wiadomości przez administratora bezpieczeństwa informacji o naruszeniu ochrony lub uzasadnionym podejrzeniu naruszenia.
• Jeszcze przed podjęciem pierwszej czynności w toku sprawdzenia doraźnego ABI zawiadamia administratora danych o jego rozpoczęciu.
• Jeżeli niezwłoczne rozpoczęcie sprawdzenia doraźnego jest niezbędne do przywrócenia stanu zgodnego z prawem lub weryfikacji, czy naruszenie miało miejsce, administrator bezpieczeństwa informacji nie jest zobowiązany do wcześniejszego zawiadomienia kierownika jednostki organizacyjnej objętej sprawdzeniem o zakresie planowanych czynności.

Prowadzący sprawdzenie ABI dokumentuje przeprowadzone czynności w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania. Nie różni się to zasadniczo od działań podejmowanych w czasie sprawdzenia prowadzonego zgodnie z planem.

Ponieważ jednak sprawdzenie doraźne będzie niejednokrotnie wszczynane w związku z poważnym incydentem, który może wiązać się nawet z ewentualnym przestępstwem, ABI powinien zbierać dowody audytowe wyjątkowo skrupulatnie. Jeżeli uzna on, że nie posiada wystarczających kwalifikacji do np. analizy naruszenia bezpieczeństwa systemu informatycznego, powinien wziąć pod uwagę skorzystanie z usług kompetentnej osoby lub zewnętrznego podmiotu posiadającego odpowiednie kwalifikacje (eksperta technicznego).

Dokumentując sprawdzenie, ABI może uwzględnić:

• Notatki z czynności, zebranych wyjaśnień, przeprowadzonych oględzin.
• Wyjaśnienia osoby, której czynności objęto sprawdzeniem.
• Kopie dokumentów. Dobrą praktyką będzie zbieranie kopii wszystkich dokumentów, w miarę możliwości jednak nie powinny one zawierać danych osobowych.
• Zrzuty ekranów.
• Rejestry systemu (logi, dzienniki zdarzeń), konfiguracje systemu.

Jednocześnie ABI podejmuje działania niezbędne do usunięcia nieprawidłowości. I w tym wypadku działania mogą znacząco różnić się od tych podejmowanych w trakcie sprawdzenia planowego. Sprawdzenie doraźne będzie często podejmowane w razie wystąpienia nieoczekiwanego incydentu o dużej skali i istotnym znaczeniu dla organizacji.

Część z nich będzie wiązała się z koniecznością zaangażowania najwyższego kierownictwa organizacji oraz współdziałania z innymi osobami, np. odpowiedzialnymi za przekazywanie informacji opinii publicznej lub osobom, których prywatność mogła być naruszona. Od administratora bezpieczeństwa informacji będą tu wymagane działania chroniące interes organizacji, bez naruszania interesu osób, których ochrona danych została naruszona.

Istotne wydaje się wdrożenie procedur, które zapewnią, że ABI jak najszybciej otrzyma informację, na podstawie której będzie mógł rozpocząć sprawdzenie. Należy również opracować procedury pozwalające administratorowi bezpieczeństwa informacji bez zbędnej zwłoki poinformować administratora danych o rozpoczęciu sprawdzenia.

Na podstawie zebranych informacji, po zakończeniu sprawdzenia, administrator bezpieczeństwa informacji przygotowuje sprawozdanie. Odmiennie niż w wypadku sprawdzenia planowego sprawozdanie musi być przekazane niezwłocznie po zakończeniu sprawdzenia.