Praktyczny i szczegółowy przewodnik dla dyrekcji, IOD i pracowników instytucji kultury — kiedy zgłosić naruszenie ochrony danych osobowych do Prezesa UODO, a kiedy przesłać informację o incydencie do CSIRT NASK. Zawiera terminy, kryteria oceny ryzyka i przykłady postępowania.

Wprowadzenie — dlaczego zgłaszać naruszenia

Zdarzenia takie jak wysłanie e‑maila z listą uczestników na niewłaściwy adres, zainfekowanie komputera złośliwym oprogramowaniem, czy próby wyłudzeń (phishing, fałszywe faktury) to sytuacje powszechne w instytucjach kultury. Zgłaszanie naruszeń do Prezesa UODO i CSIRT NASK pomaga ograniczyć skutki prawne, finansowe i reputacyjne oraz zwiększa ogólne bezpieczeństwo ekosystemu publicznego.

Do kogo zgłaszać — UODO a CSIRT NASK

W praktyce mamy do czynienia z dwoma równoległymi ścieżkami zgłoszeń:

  • (Obligatoryjnie) Prezes UODO — zgłaszamy naruszenia ochrony danych osobowych, zgodnie z definicją zawartą w RODO oraz szczegółowo opisanej w art. 33 i 34 RODO.
  • (Fakultatywnie) CSIRT NASK (incydent.cert.pl) — zgłaszamy incydenty związane z cyberbezpieczeństwem: phishing, złośliwe oprogramowanie, próby włamania, podejrzane załączniki i linki. Strona zgłoszeń: incydent.cert.pl.

Czy to jest naruszenie danych osobowych?

Podstawowym warunkiem rozważania zgłoszenia do UODO jest to, czy zdarzenie dotyczy danych osobowych — informacji, które pozwalają na identyfikację osoby fizycznej. Jeśli tak, stosujemy definicję z RODO (art. 4 ust. 12): naruszenie ochrony danych osobowych to zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, modyfikacji, ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Trzy warianty reakcji — jak klasyfikować zdarzenie

Praktyczna klasyfikacja opiera się na trzech wariantach postępowania:

  • Wariant I — nie zgłaszamy zdarzenia, ponieważ jest mało prawdopodobne, by skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  • Wariant II — zgłaszamy do Prezesa UODO, ale nie informujemy osób, których dane dotyczą (ryzyko istnieje, ale nie jest wysokie).
  • Wariant III — zgłaszamy do Prezesa UODO i informujemy zainteresowane osoby (wysokie ryzyko naruszenia praw lub wolności).

Ocena powinna być dokonana przez dyrekcję wraz z IOD (inspektorem ochrony danych). Jeżeli istnieją wątpliwości co do skutków naruszenia — bezpieczniej przyjąć wariant zgłoszeniowy.

Termin zgłoszenia do Prezesa UODO i forma komunikacji

Administrator ma 72 godziny od stwierdzenia naruszenia na dokonanie zgłoszenia do Prezesa UODO. Zgłoszenie można przesłać:

  • elektronicznie — formularz i instrukcje dostępne na stronie UODO;
  • pocztą tradycyjną — wypełnionym formularzem udostępnionym przez Urząd.

W praktyce przygotujcie wewnętrzny szablon zgłoszenia — szybka identyfikacja okoliczności, zakresu danych i przewidywanych skutków ułatwia dotrzymanie terminu i rzetelne wypełnienie formularza.

Co oceniać przy szacowaniu ryzyka

UODO podkreśla, że ryzyko naruszenia praw lub wolności występuje, gdy naruszenie może doprowadzić do:

  • dyskryminacji użytkownika,
  • kradzieży tożsamości lub oszustwa tożsamościowego,
  • nadużyć finansowych lub strat majątkowych,
  • utraty poufności danych objętych tajemnicą zawodową,
  • naruszenia dobrego imienia lub znaczących skutków gospodarczych czy społecznych.

Ryzyko uznajemy za wyższe, gdy naruszeniu ulegają dane szczególnych kategorii (np. zdrowotne, przekonania religijne, poglądy polityczne, pochodzenie etniczne).

Narzędzia i poradniki — jak ułatwić sobie decyzję

W sieci dostępne są kalkulatory i aplikacje pomagające ocenić wagę naruszenia. Najbardziej wiarygodnym punktem startowym jest oficjalny poradnik UODO — bezpłatne opracowanie, które warto udostępnić kadrze kierowniczej i IOD w instytucji.

Jeśli w Twojej instytucji działają procedury wewnętrzne lub narzędzia oceny ryzyka — uzgodnijcie je z IOD i wpiszcie do instrukcji postępowania przy incydentach.

Zgłaszanie incydentów cyberbezpieczeństwa — praktyka dla bibliotek i instytucji kultury

Choć instytucje kultury nie są prawnie zobowiązane do zgłaszania incydentów na mocy ustawy o krajowym systemie cyberbezpieczeństwa, zgłaszanie takich zdarzeń do CSIRT NASK jest zalecane. Daje to wymierne korzyści: monitorowanie zagrożeń, ostrzeganie innych podmiotów i budowanie odporności całego sektora. Formularz zgłoszeniowy CSIRT NASK dostępny jest pod adresem incydent.cert.pl.

Kiedy równolegle powiadomić Policję

Jeżeli incydent ma znamiona przestępstwa (np. faktyczne wyłudzenie pieniędzy, nieautoryzowany dostęp do systemów, kradzież tożsamości), należy równolegle lub niezwłocznie powiadomić Policję. Dokumentujcie wszystkie kroki: logi, kopie wiadomości e‑mail, zrzuty ekranów i komunikaty błędów — będą one potrzebne służbom i przy ewentualnych postępowaniach administracyjnych.

Praktyczne wskazówki operacyjne dla instytucji kultury

  • Ustalcie wewnętrzną procedurę reagowania na incydenty (kto odpowiada, jak zbierać dowody, jak komunikować się wewnętrznie i zewnętrznie).
  • Przeszkolcie pracowników z rozpoznawania prób phishingu i bezpiecznego postępowania z załącznikami.
  • Wprowadźcie prosty szablon zgłoszenia do UODO i checklistę dowodów (co zebrać przed zgłoszeniem).
  • Zadbajcie o politykę kopii zapasowych i procedury odtworzeniowe po awarii lub ataku ransomware.
  • Współpracujcie z IOD i działem IT lub zewnętrznym dostawcą usług IT.

Wzór krótkiego komunikatu dla osób, których dane dotyczą (jeśli wymagane)

Przykładowy, uproszczony komunikat:

„Szanowna Pani / Szanowny Panie, informujemy, że w dniu [data] doszło do zdarzenia polegającego na [krótki opis: np. wysłaniu wiadomości e‑mail na niewłaściwy adres], w wyniku którego mogły zostać udostępnione Pani/Pana dane osobowe: [wymienić kategorie danych]. Podjęliśmy działania zabezpieczające: [wymienić działania: zmiana haseł, blokada dostępu, powiadomienie organu itp.]. Jeśli zauważy Pani/Pan niepokojące zdarzenia, prosimy o kontakt: [kontakt].”

Komunikat powinien być prosty, rzeczowy i zawierać informacje o podjętych działaniach oraz danych kontaktowych osoby odpowiedzialnej za dalsze wyjaśnienia.

Podsumowanie: dobre praktyki i odpowiedzialność

Zgłaszanie naruszeń do Prezesa UODO i CSIRT NASK to element odpowiedzialnego zarządzania ryzykiem. Nawet jeśli zgłoszenie nie jest obowiązkowe, warto działać prewencyjnie — to wzmacnia zaufanie, zmniejsza ryzyko sankcji i ułatwia reagowanie w przyszłości. Pamiętajcie o współpracy dyrekcji z IOD, dokumentowaniu zdarzeń oraz szkoleniu personelu.

Kluczowe zasady do zapamiętania

  • Analizuj każde zdarzenie dotyczące danych osobowych wspólnie z IOD.
  • Na zgłoszenie do Prezesa UODO masz 72 godziny od stwierdzenia naruszenia.
  • W razie wątpliwości wybierz wariant zgłoszeniowy — lepiej zgłosić za dużo niż za mało.
  • Zgłaszaj próby phishingu i inne incydenty do CSIRT NASK (incydent.cert.pl).
  • W przypadku przestępstwa powiadom Policję.