Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Zarządzanie incydentami IT zgodnie z prawem polskim

Data publikacji: 22-03-2019 Autor: Tomasz Cygan

Zarządzanie incydentami informatycznymi w ujęciu prawnym powinno być oceniane przez pryzmat co najmniej trzech regulacji prawnych – wytycznych rozporządzenia rodo, regulacji o krajowym systemie cyberbezpieczeństwa oraz przepisów kodeksu postępowania karnego.

 

Po pierwsze, przepisy rodo regulują sposób postępowania w przypadku naruszenia ochrony danych osobowych. Jednak nie każdy incydent informatyczny musi być jednocześnie takim naruszeniem. Co więcej, nie każdy incydent IT będący naruszeniem ochrony danych osobowych wymaga notyfikacji w trybie art. 33 i 34 rodo. Przepisy te bowiem zawierają w swojej treści liczne wyjątki zwalniające z obowiązku zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania o nich osób, których dane dotyczą. Przeprowadzenie ustaleń zwalniających z obowiązków określonych we wspomnianych artykułach rodo każdorazowo wymaga jednak zainicjowania określonych działań w ramach organizacji.

Po drugie, stosownych regulacji dotyczących zarządzania incydentami informatycznymi dostarczają przepisy ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. Co istotne i pomocne, przepisy te zawierają bardzo bogaty słowniczek pojęć dotyczących różnych aspektów incydentów. W końcu – last but not least – wskazać i uwzględnić należy przepisy kodeksu postępowania karnego – incydent informatyczny może bowiem mieć dodatkowo znamiona czynu zabronionego.

> OBOWIĄZEK INFORMACYJNY

Ogólne rozporządzenie o ochronie danych wprowadza do powszechnie stosowanych przepisów prawa obowiązek informowania organu nadzorczego oraz osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. W obecnie obowiązującym stanie prawnym regulacja taka zawarta jest w przepisach prawa telekomunikacyjnego i obowiązuje wyłącznie przedsiębiorców telekomunikacyjnych. Zgodnie z treścią art. 174a dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia. Naruszenie danych osobowych w rozumieniu prawa telekomunikacyjnego stanowi przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych. Przepis ten jest bardzo zbliżony do art. 33 i 34 rodo, które przewidują szczególny obowiązek informacyjny – obowiązek zawiadamiania o naruszeniu danych osobowych organu nadzorczego oraz osoby, której dane dotyczą.

Obowiązek informacyjny określony we wspomnianych artykułach rodo powstaje dopiero w przypadku naruszenia ochrony danych osobowych. Przez to pojęcie zgodnie z art. 4 punkt 12 rozporządzenia rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zgodnie z treścią art. 33 rodo w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Do zgłoszenia przekazywanego organowi nadzorczemu dołącza się wyjaśnienie przyczyn opóźnienia. Ratio legis tego przepisu wskazuje motyw 85 rodo, zgodnie z którego treścią: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

> FORMA ZGŁOSZENIA

Co istotne, zwolnieniem z obowiązku określonego w art. 33 rodo jest ustalenie, że mało prawdopodobne jest, aby zdarzenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Przykładem naruszenia bezpieczeństwa niebędącego jednocześnie naruszeniem ochrony danych osobowych mogą być:
 

  • omyłkowe przesłanie zaszyfrowanego maila,
  • zagubienie zaszyfrowanego pendrive'a,
  • kradzież zaszyfrowanego komputera.


W każdej z tych sytuacji doszło do naruszenia ochrony danych osobowych polegającego na utracie danych lub ich nieuprawnionym udostępnieniu, natomiast nie spowodowało to (większego niż mało prawdopodobne) ryzyka naruszenia praw lub wolności osób fizycznych.

Artykuł 33 ust. 3 rodo określa minimalną zawartość zgłoszenia. Musi ono co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

W sytuacji gdy wskazanych powyżej informacji nie da się w pełnym zakresie udzielić w tym samym czasie, można ich udzielać sukcesywnie bez zbędnej zwłoki.

Artykuł 33 ust. 5 rodo wprowadza dodatkowy obowiązek dokumentacyjny po stronie administratora. Ma on dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

> ZAWIADAMIANIE OSÓB, KTÓRYCH DANE DOTYCZĄ

Jako dodatkową gwarancję praw osoby, której dane dotyczą, art. 34 rodo wprowadza obowiązek zawiadamiania tej osoby o naruszeniu ochrony danych osobowych. Motyw 86 rodo stanowi, że: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych”.


[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"