Autor: Fundacja Centrum Bezpieczeństwa

Rekomendacje do aktualizacji poradnika UODO dotyczącego naruszeń ochrony danych opracowane przez Fundację Centrum Bezpieczeństwa.

Wstęp

W związku z ogłoszeniem przez Urząd Ochrony Danych Osobowych (UODO) konsultacji społecznych dotyczących aktualizacji poradników, w tym „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych”, przedstawiamy poniżej szczegółowe rekomendacje dotyczące możliwych zmian i ulepszeń tego dokumentu. Konsultacje te mają na celu dostosowanie poradników do obecnych wyzwań i obowiązujących przepisów prawa, uwzględniając dynamicznie zmieniające się otoczenie technologiczne i regulacyjne.

Rekomendowany zakres aktualizacji poradnika:

  1. Atrybuty naruszenia

Zawężenie naruszenia do skutku wynikającego z działania człowieka: „naruszenie jest skutkiem złamania zasad bezpieczeństwa danych”.

Źródłem incydentu (w tym również wywołującym ryzyko) jest człowiek (jego działanie bądź zaniechanie), natura (w postaci gwałtownych zjawisk pogodowych na które człowiek nie ma wpływu) oraz technika (systemy i urządzenia). Taka klasyfikacja pojawia się w normie ISO 27005, która mówi o źródłach ryzyka. Zawężenie naruszenia TYLKO do działania człowieka jest niepoprawne, ponieważ nie uwzględnia innych źródeł. Naruszenie ochrony danych, to sytuacja, która powinna być rozpatrywana z punktu widzenia ochrony danych osobowych, a nie działania człowieka.

  1. 2. Typy naruszeń

Jest to nieprawidłowe określenie, ponieważ w Poradniku jest to wskazanie, które atrybuty bezpieczeństwa informacji (tutaj danych osobowych, które również stanowią informację o osobie) zostają naruszone i w związku z tym dochodzi do ujawnienia, zniekształcenia czy też utraty dostępności do danych.

Każdy incydent może naruszyć więcej niż jeden atrybut bezpieczeństwa informacji. Zawężanie i próba klasyfikacji naruszenia (wprowadzenie typologii) opartej na atrybucie jest błędem. RODO zawiera swoje własne klasyfikacje, które powinny być używane. Przepis dokonuje gradacji, nie wyrażonej wprost na

  • Naruszenia zwykłe, podstawowe – które nie generują poważnego ryzyka dla osób, których dane dotyczą (te, które nie wymagają powiadomienia osoby, której dane dotyczą czy organu).
  • Naruszenia poważne – które generują wysokie ryzyko naruszenia praw i wolności.

Jest to klasyczna gradacja incydentów z punktu widzenia powagi incydentu i jako taka wskazująca na ścieżkę eskalacji (podniesienie poziomu ważności, istotności incydentu nakazuje wdrażać kolejne, dodatkowe środki mitygujące).

Sugerowane zmiany:

Wprowadzenie nazewnictwa oraz definicji zgodnych z aktualnym rozwojem nauki o bezpieczeństwie w tym zarządzania incydentami, a więc:

Zdarzenie – każde zdarzenie, które dotyczy danych osobowych (każdy incydent, a następnie naruszenie danych jest ZDARZENIEM. Zdarzenie jest źródłem wiedzy do szacowania i oceny ryzyka ex-post).

Incydent – incydent fizyczny lub techniczny, powodujący brak dostępności lub dostępu do danych (na podstawie RODO, art. 32.1.c)

SUGESTIA: poszerzenie o pozostałe atrybuty, poufność i integralność, przy czym przywrócenie integralności danych osobowych jest możliwe, incydent związany z utratą poufności jest nieodwracalny (konieczne właściwe sparametryzowanie rodzajów incydentów, wychodząc poza obszar RODO).

SUGESTIA 2: incydentem też może być naruszenie zasad bezpieczeństwa, ale nie wpływające na ochronę (bezpieczeństwo) danych osobowych, a więc nie wyczerpujące definicji. Utrata integralności danych osobowych, po przywróceniu backupu czy po działaniach aktualizujących z osobami, których dane dotyczą będzie nadal incydentem, ponieważ nie wypełnia definicji, a więc nie „prowadzi do (…)”

Naruszenie – definicja podstawowa z RODO

Naruszenie poważne – definicja podstawowa z RODO, z dodaniem elementów, że jest to naruszenie skutkujące poważnym ryzykiem (wysokim prawdopodobieństwem wystąpienia poważnego skutku dla osoby). Zgodnie z RODO jest to naruszenie, które skutkuje zgłoszeniem naruszenia do organu oraz powiadomienia osób, których dane dotyczą.

Uzasadnienie

Definicje powyżej są już zarysem procesu zarządzania zdarzeniami, incydentami i naruszeniami ochrony danych osobowych. Pozwalają na gradację, która jest wyrażona w RODO, w tym art. 32.1.c), który wskazuje, że nawet naruszenie zasad bezpieczeństwa, ale skutkujące chwilowym brakiem dostępu i/lub dostępności do danych osobowych nie jest naruszeniem.

Gradacja naruszeń wynika również z przepisów dotyczących prowadzenia rejestrów. Każde naruszenie, nawet nie zgłaszane do organu musi być zarejestrowane i obsłużone.

  1. 3. Proces a procedura

Poradnik wskazuje na wagę procedury. Warto rozważyć, aby zmienić opis – na właściwie opracowany sposób postępowania (proces), który będzie zawarty w procedurze.

Istotą poprawnego obsłużenia naruszenia ochrony danych jest zaplanowanie działań, a nie napisanie dokumentu.

Sugerowane zmiany:

Opisanie procesu obsługi zdarzenia, które będzie naruszeniem ochrony danych (z etapami eskalacji).

  1. 4. Zgłoszenie naruszenia do PUODO - Uaktualnienie procedur zgłaszania naruszeń

Poradnik wskazuje na to, w jaki sposób zgłaszać naruszenie, aby organ mógł działać. Jest to niewłaściwa koncepcja, ponieważ zgłoszenie naruszenia nie jest dokonywane w celu procedowania go przez organ właściwie proceduralnie, a w celu zrozumienia powagi naruszenia i potencjalnych skutków dla osób, których dane dotyczą. Na tej podstawie dopiero powinny być podejmowane dalsze działania.

Ta część poradnika wymaga gruntownej przebudowy, aby uzyskać efekt, który jest celem RODO. Ochronę osoby fizycznej, której dane dotyczą.

W przypadku naruszeń, jak we wcześniejszych uwagach, konieczna jest gradacja naruszeń i odpowiedniej odpowiedzi na nie (eskalacji). Organ nadzorczy według wymagań RODO, co wynika również z innych zagadnień (np. DPIA) jest dedykowany do współpracy przy obsłudze obsługi naruszenia wspierając administratora w tych najważniejszych zdarzeniach o największym wpływie na osoby, których dane dotyczą.

  • Kontekst: Zmiany w sposobie zgłaszania naruszeń oraz nowe wytyczne EDPB dotyczące zarządzania incydentami wymagają aktualizacji procedur, aby były zgodne z najnowszymi standardami.
  • Rekomendacja: Uaktualnienie procedur zgłaszania naruszeń z uwzględnieniem najnowszych technologii i platform komunikacyjnych oraz wytycznych EDPB (European Data Protection Board).
  • Przykładowe pytania do odpowiedzi w poradniku:
  1. 1.  Jakie są aktualne wytyczne EDPB dotyczące zgłaszania naruszeń ochrony danych osobowych?

2. Jakie technologie i platformy mogą być używane do zgłaszania naruszeń ochrony danych zgodnie z najnowszymi standardami?

3. Jakie są kroki do podjęcia w przypadku zgłaszania transgranicznego naruszenia ochrony danych osobowych?

  1. 5. Włączenie zapisów dotyczących identyfikacji zdarzeń/anomalii/nieprawidłowości

Kontekst: Identyfikacja zdarzeń/anomalii/nieprawidłowości jest kluczowa dla skutecznego zarządzania incydentami i naruszeniami. Wzrost liczby cyberataków oraz zmiana modelu pracy z powodu pandemii COVID-19 wymaga aktualizacji procesów identyfikacji, aby były bardziej realistyczne i odpowiadały współczesnym zagrożeniom. Szczególnie istotne jest rozszerzenie identyfikacji zdarzeń oraz na ich podstawie rozpoczęcie procesu identyfikacji, czy jest to incydent czy naruszenie. Powinno się stosować jedną, spójną metodologię dla wszystkich podmiotów, zapewniając ujednoliconą komunikację oraz standard zgłoszeń i propagacji/powiadomień o zagrożeniach.

Rekomendacje

  1. 1. Wstępna Identyfikacja Zdarzenia
    • Zgłoszenie Zdarzenia: Usprawnienie procesu przyjmowania zgłoszeń od pracowników, systemów monitorujących lub zewnętrznych źródeł, zapewniając jednocześnie anonimowość zgłoszeń.
    • Wstępna Analiza: Wdrożenie dokładnych procedur oceny zgłoszeń w celu określenia podstawowych cech zdarzenia, takich jak miejsce wystąpienia i potencjalny wpływ.
  2. 2. Definiowanie Obszarów Wystąpienia
    • Kategoryzacja: Dokładne określenie czy zdarzenie dotyczy ochrony danych osobowych, cyberbezpieczeństwa, IT, obszaru fizycznego czy compliance. Każdy z tych obszarów powinien mieć zdefiniowane konkretne procedury postępowania.
  3. 3. Klasyfikacja i Definicja Skali Zagrożenia
    • Ocena Zagrożenia: Wykorzystanie wytycznych ENISA oraz zdefiniowanie podstawowych czynników naruszenia, takich jak prywatność, niezaprzeczalność, integralność i poufność. Ustalenie krytyczności zasobu/aktywa/obiektu oraz ilości danych i klasy informacji.
    • Skala Zagrożenia: Opracowanie skali zagrożeń, która pozwoli na szybkie i efektywne określenie poziomu ryzyka i priorytetów działania.
  4. 4. Budowanie Narracji i Określanie Sekwencji
    • Identyfikacja Sekwencji: Jasne określenie czy zdarzenie jest incydentem, naruszeniem lub oboma jednocześnie. Identyfikacja powinna obejmować wszystkie potencjalnie dotknięte obszary.
    • Budowanie Narracji: Utworzenie spójnej narracji, która pomoże w komunikacji wewnętrznej i zewnętrznej dotyczącej zaistniałego zdarzenia.
  5. 5. Eskalacja i Wymiana Informacji
    • Ścieżka Eskalacji: Ustalenie procedur eskalacji do urzędu nadzorującego w przypadku trudności w samodzielnym określeniu skali zdarzenia.
    • Kanały Wymiany Informacji: Ustanowienie i utrzymanie skutecznych kanałów komunikacji między PUODO, CSIRT, organami ścigania i innymi aktorami. Regularne ćwiczenia i testy tych kanałów komunikacyjnych.

Pytania do Odpowiedzi w Poradniku

          1. Jakie kroki należy podjąć podczas wstępnej identyfikacji zdarzenia?

    • Jak przyjąć zgłoszenie od pracowników, systemów monitorujących lub zewnętrznych źródeł?
    • Jak przeprowadzić wstępną analizę zgłoszenia, aby określić miejsce wystąpienia i potencjalny wpływ zdarzenia?
  1. 2. W jaki sposób definiować obszary wystąpienia zdarzenia?
    • Jak określić, czy zdarzenie dotyczy ochrony danych osobowych, cyberbezpieczeństwa, IT, obszaru fizycznego czy compliance?
  2. 3. Jak przeprowadzić klasyfikację i definicję skali zagrożenia?
    • Jak wykorzystać wytyczne ENISA do oceny zagrożenia?
    • Jak zdefiniować podstawowe czynniki naruszenia, takie jak prywatność, niezaprzeczalność, integralność i poufność?
    • Jak ocenić krytyczność zasobu/aktywa/obiektu oraz ilość danych i klasę informacji?
  3. 4. Jak budować narrację i określać sekwencje zdarzeń?
    • Jakie kroki podjąć, aby zidentyfikować, czy zdarzenie jest incydentem, naruszeniem lub oboma jednocześnie?
    • Jak zidentyfikować obszary, których dotyczy zdarzenie (fizyczny, IT, compliance)?
  4. 5. Jakie są warunki eskalacji i wymiany informacji?
    • Jak ustalić procedury eskalacji do urzędu nadzorującego w przypadku trudności w samodzielnym określeniu skali zdarzenia?
    • Jakie kanały wymiany informacji należy ustanowić między PUODO, CSIRT, organami ścigania i innymi aktorami?

 Podsumowanie

  • Wstępna Identyfikacja Zdarzenia
  • Definiowanie Obszarów Wystąpienia
  • Klasyfikacja i Definicja Skali Zagrożenia
  • Budowanie Narracji i Określanie Sekwencji
  • Eskalacja i Wymiana Informacji

 Proces identyfikacji i klasyfikacji zdarzeń/anomalii/nieprawidłowości jest kluczowy dla skutecznego zarządzania incydentami i naruszeniami, a także dla ochrony zasobów i zapewnienia ciągłości działania organizacji. Regularne aktualizacje tych procedur są niezbędne, aby nadążać za zmieniającymi się zagrożeniami i nowymi wyzwaniami w zakresie cyberbezpieczeństwa.

  1. 6. Aktualizacja przykładów naruszeń
  • Kontekst: Wzrost liczby cyberataków oraz zmiana modelu pracy z powodu pandemii COVID-19 wymaga aktualizacji przykładów naruszeń danych, aby były bardziej realistyczne i odpowiadały współczesnym zagrożeniom.
  • Rekomendacja: Dodanie nowych przykładów naruszeń uwzględniających aktualne zagrożenia, takie jak ataki ransomware, phishing, oraz naruszenia związane z pracą zdalną.
  • Przykładowe pytania do odpowiedzi w poradniku:
  1. 1. Jakie kroki należy podjąć, jeśli dane osobowe zostaną ujawnione w wyniku ataku ransomware?

2. W jaki sposób administrator powinien zareagować na przypadkowe ujawnienie danych osobowych przez pracownika podczas pracy zdalnej?

3. Jakie działania naprawcze należy podjąć w przypadku wycieku danych spowodowanego przez phishing?

  1. 7. Rozszerzenie sekcji dotyczącej oceny ryzyka
  • Kontekst: Konieczność dokładnej oceny ryzyka w celu podjęcia odpowiednich działań naprawczych wymaga bardziej szczegółowych wytycznych i metodologii takich jak DPIA (Data Protection Impact Assessment).
  • Rekomendacja: Wprowadzenie bardziej szczegółowych wytycznych dotyczących oceny ryzyka naruszenia praw i wolności osób fizycznych, uwzględniając metodologie takie jak DPIA (Data Protection Impact Assessment).
  • Przykładowe pytania do odpowiedzi w poradniku:
  1. 1. Jakie są kroki do przeprowadzenia oceny ryzyka DPIA w przypadku naruszenia danych osobowych?

2. Jakie czynniki należy uwzględnić podczas oceny ryzyka naruszenia danych osobowych w kontekście nowych technologii?

3. Jakie narzędzia mogą być używane do skutecznej oceny ryzyka naruszenia praw i wolności osób fizycznych?

  1. 8. Rola Inspektora Ochrony Danych (IOD) w zakresie obsługi naruszenia
  • Kontekst: IOD odgrywa kluczową rolę w zapewnieniu zgodności z RODO i skutecznej reakcji na naruszenia.
  • Rekomendacja: Wyraźne określenie roli IOD w procesie obsługi naruszeń, w tym monitorowanie przestrzegania RODO, doradztwo dla administratora i pracowników oraz współpraca z organem nadzorczym.
  • Przykładowe pytania do odpowiedzi w poradniku:
  1. Jakie są główne obowiązki IOD w przypadku stwierdzenia naruszenia ochrony danych?
  2. W jaki sposób IOD może wspierać administratora danych w zarządzaniu incydentami?
  3. Jak IOD powinien współpracować z organem nadzorczym podczas dochodzenia w sprawie naruszenia?
  1. 9. Możliwości dokonywania zgłoszeń przez IOD w imieniu administratora
  • Kontekst: Ułatwienie procesu zgłaszania naruszeń poprzez delegowanie tego zadania do IOD.
  • Rekomendacja: Doprecyzowanie procedur, które pozwalają IOD na dokonywanie zgłoszeń naruszeń w imieniu administratora, wraz z określeniem zakresu odpowiedzialności.
  • Przykładowe pytania do odpowiedzi w poradniku:
  1. Jakie warunki muszą być spełnione, aby IOD mógł dokonywać zgłoszeń w imieniu administratora?
  2. Jakie informacje musi zawierać zgłoszenie dokonywane przez IOD?
  3. Jakie są korzyści z delegowania zgłoszeń naruszeń do IOD?

 

  1. 10. Rozbudowanie wytycznych w zakresie informowania osób o potencjalnych skutkach naruszenia
  • Kontekst: Zwiększenie transparentności i zapewnienie odpowiednich działań ochronnych dla osób, których dane dotyczą.
  • Rekomendacja: Rozszerzenie wytycznych dotyczących komunikacji z osobami, których dane zostały naruszone, w tym sposób i treść informacji o potencjalnych skutkach naruszenia.
  • Przykładowe pytania do odpowiedzi w poradniku:
  1. Jakie informacje powinny być zawarte w komunikacie do osób, których dane zostały naruszone?
  2. Jakie są najlepsze praktyki dotyczące formy i kanału komunikacji z osobami poszkodowanymi?
  3. Jakie są możliwe konsekwencje braku odpowiedniego informowania osób o naruszeniu?
  1. 11. Retencja danych dotyczących naruszeń i określenie czasu ich przetwarzania
  • Kontekst: Zapewnienie zgodności z zasadą minimalizacji danych i bezpieczeństwa przechowywania informacji.
  • Rekomendacja: Wprowadzenie wytycznych dotyczących okresu przechowywania danych związanych z naruszeniami oraz procedur ich bezpiecznego usuwania.
  • Przykładowe pytania do odpowiedzi w poradniku:
  1. Jak długo należy przechowywać dane dotyczące naruszeń ochrony danych?
  2. Jakie procedury powinny być stosowane do bezpiecznego usuwania tych danych po upływie okresu retencji?
  3. Jakie są wymogi prawne dotyczące retencji danych związanych z naruszeniami?
  1. 12. Wytyczne dotyczące dokumentowania naruszenia
  • Kontekst: Ułatwienie audytów i zapewnienie kompletnej dokumentacji dla organu nadzorczego.
  • Rekomendacja: Uzupełnienie wytycznych dotyczących szczegółowego dokumentowania naruszeń, w tym okoliczności, przebiegu, podjętych działań i wyników analizy ryzyka.
  • Przykładowe pytania do odpowiedzi w poradniku:
  1. Jakie elementy powinny być uwzględnione w dokumentacji każdego naruszenia?
  2. Jakie są korzyści z prowadzenia szczegółowej dokumentacji naruszeń?
  3. W jaki sposób dokumentacja naruszeń może wspierać procesy audytowe i kontrolne?

Podsumowanie:

W odpowiedzi na konsultacje społeczne zainicjowane przez Urząd Ochrony Danych Osobowych (UODO), Fundacja Centrum Bezpieczeństwa przygotowała szczegółowe rekomendacje dotyczące aktualizacji poradnika „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych”. Proponowane zmiany mają na celu dostosowanie poradnika do aktualnych wyzwań i obowiązujących przepisów prawnych, biorąc pod uwagę dynamicznie zmieniające się otoczenie technologiczne i regulacyjne.

W naszych rekomendacjach podkreślamy konieczność rozszerzenia definicji naruszenia ochrony danych, aby obejmowała ona nie tylko działania człowieka, ale również inne źródła, takie jak natura i technika, zgodnie z normą ISO 27005. Uważamy, że zawężenie definicji do działań człowieka jest niepoprawne i nie uwzględnia pełnego spektrum potencjalnych zagrożeń.

Wskazujemy również na potrzebę poprawnego określenia typów naruszeń, proponując wprowadzenie nazewnictwa i definicji zgodnych z aktualnym rozwojem nauki o bezpieczeństwie oraz zarządzania incydentami. Proponujemy wprowadzenie terminów takich jak zdarzenie, incydent oraz naruszenie, z uwzględnieniem gradacji naruszeń, co pozwoli na lepszą klasyfikację i zarządzanie incydentami.

Kolejnym istotnym elementem naszych rekomendacji jest uaktualnienie procedur zgłaszania naruszeń do organu nadzorczego. Sugerujemy, aby procedury te były zgodne z najnowszymi wytycznymi EDPB (European Data Protection Board) oraz aby uwzględniały nowe technologie i platformy komunikacyjne. Ważne jest, aby zgłoszenie naruszenia nie było jedynie formalnością, ale narzędziem do zrozumienia powagi naruszenia i jego potencjalnych skutków dla osób, których dane dotyczą.

Podkreślamy również znaczenie włączenia zapisów dotyczących identyfikacji zdarzeń, anomalii i nieprawidłowości. Wzrost liczby cyberataków oraz zmiana modelu pracy z powodu pandemii COVID-19 wymagają aktualizacji procesów identyfikacji, aby były bardziej realistyczne i odpowiadały współczesnym zagrożeniom. Proponujemy usprawnienie procesu przyjmowania zgłoszeń, wdrożenie dokładnych procedur oceny zgłoszeń oraz ustalenie skutecznych kanałów komunikacji między PUODO, CSIRT, organami ścigania i innymi aktorami.

Ponadto, rekomendujemy aktualizację przykładów naruszeń, aby były bardziej realistyczne i odpowiadały współczesnym zagrożeniom, takim jak ataki ransomware, phishing oraz naruszenia związane z pracą zdalną. Zwiększenie transparentności i zapewnienie odpowiednich działań ochronnych dla osób, których dane dotyczą, jest kluczowe. Dlatego proponujemy rozszerzenie wytycznych dotyczących komunikacji z osobami, których dane zostały naruszone, oraz wprowadzenie bardziej szczegółowych wytycznych dotyczących oceny ryzyka naruszenia praw i wolności osób fizycznych.

Rola Inspektora Ochrony Danych (IOD) w procesie obsługi naruszeń również wymaga wyraźnego określenia. Sugerujemy, aby wytyczne jasno definiowały obowiązki IOD, w tym monitorowanie przestrzegania RODO, doradztwo dla administratora i pracowników oraz współpracę z organem nadzorczym.

Na koniec, podkreślamy konieczność wprowadzenia wytycznych dotyczących retencji danych związanych z naruszeniami oraz procedur ich bezpiecznego usuwania. Ważne jest również uzupełnienie wytycznych dotyczących szczegółowego dokumentowania naruszeń, co ułatwi audyty i zapewni kompletną dokumentację dla organu nadzorczego.

Mamy nadzieję, że nasze rekomendacje przyczynią się do stworzenia bardziej praktycznego i zgodnego z RODO poradnika, który będzie lepiej służył zarówno administratorom danych, jak i osobom, których dane dotyczą, zapewniając skuteczną ochronę danych osobowych.

  

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-07-02
Wprowadził informację:
user Edyta Madziar
date 2024-07-02 13:07:10
Ostatnio modyfikował:
user Edyta Madziar
date 2024-07-04 13:46:55