Zgłaszanie naruszeń bezpieczeństwa to w niektórych przypadkach obowiązek dyrektorów instytucji kultury. W innych przypadkach to działanie nieobowiązkowe, jednak zwiększające bezpieczeństwo. W artykule wyjaśniam kiedy i do kogo trzeba, a kiedy po prostu warto dokonać takiego zgłoszenia.

Zgłaszanie naruszeń do Prezesa UODO – czy jest obowiązkowe?

Zacznę od kwestii zgłaszania naruszeń do Prezesa UODO. Tutaj ważne jest to, że przepisy RODO obowiązują wszystkich administratorów danych. Wszystkie instytucje kultury, urzędy, przedsiębiorstwa itd. Czyli jeżeli zajdą określone okoliczności i nie zostanie to zgłoszone to zostaną naruszone przepisy RODO.

Z mojego doświadczenia takie najczęstsze naruszenia w instytucjach kultury to:

  • wysłanie korespondencji do niewłaściwego adresata albo ujawnienie wielu adresatów wiadomości e-mail, o czym szczerzej mówię w innym materiale filmowym,
  • zainfekowanie komputera złośliwym oprogramowaniem, a co za tym idzie wyciek danych, utrata dostępu do danych, czasami z postawieniem warunków, że trzeba zapłacić, żeby odzyskać dostęp do danych,
  • zgubienie dokumentów zawierających dane osobowe/nośników danych.

Zgłaszanie naruszeń do Prezesa UODO – sprawdzamy czy to na pewno dane osobowe

Tutaj, żeby w ogóle zastanawiać się czy powinno się zgłaszać naruszenie czy nie musi być spełniony jeden zasadniczy warunek. Coś co się wydarzyło musi być związane z danymi osobowymi. Czyli informacjami na podstawie których możemy kogoś zidentyfikować, albo już to zrobiliśmy. Czyli jeżeli wysłaliśmy maila pod niewłaściwy adres i tam była np. lista uczestników konkursu z ich danymi kontaktowymi to jak najbardziej trzeba przeanalizować czy dokonujemy zgłoszenia. A jeżeli tam nie było danych osobowych, nawet jak ujawniliśmy jakiś sekret to RODO nie będzie tu miało zastosowania.

Zgłaszanie naruszeń do Prezesa UODO – czym są naruszenia?

Zgodnie z dość nieprecyzyjnym art. 4 ust. 12 RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zgłaszanie naruszeń do Prezesa UODO – trzy warianty postępowania

Bardziej szczegółowe regulacje znajdziemy w art. 33 i 34 RODO. Z tych przepisów wynika, że będziemy mieli tak naprawdę 3 warianty, kiedy coś się wydarzy.

Wariant I – nie zgłaszamy tego nigdzie, ponieważ „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”, albo nie jest to w ogóle prawdopodobne.

Wariant II – zgłaszamy to do Prezesa UODO, bo nie jest mało prawdopodobne, by naruszenie to skutkowało takim ryzykiem, ale nie informujemy osób, których dane dotyczą, bo w naszej ocenie nie zachodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Wariant III – zgłaszamy to do Prezesa UODO i informujemy osoby, których dane dotyczą.

Zgłaszanie naruszeń do Prezesa UODO – największe wyzwania

Trudność polega na tym, że zgłoszenia do Prezesa UODO trzeba dokonać w ciągu 72h. A w przypadku zawiadamiania osób o naruszeniu związanych z ich danymi trzeba to zrobić umiejętnie. Nie tylko należy opisać co się stało, ale też przewidzieć co w związku z tym się może wydarzyć.

W Internecie znajdą Państwo bardzo dużo poradników, kalkulatorów i aplikacji w języku polskim i angielskim, które pomagają ocenić w jaki sposób zakwalifikować naruszenie, tzn. który wariant działania wybrać. Warto porozmawiać z IOD jaką metodę oceny wagi naruszeń rekomenduje, jeżeli taka aplikacja znajdzie u Państwa zastosowanie to warto rozważyć korzystanie z niej.

Zgłaszanie naruszeń do Prezesa UODO – rekomendacje UODO

Ja bym jednak zaczął od przeczytania profesjonalnego poradnika, którzy przygotowali dla nas pracownicy UODO. Jest to opracowanie bezpłatne i naprawdę bardzo solidnie zrobione, są przykłady, jest prosty język, a link do pobrania zamieszczam na stronie Statuo.pl w artykule opisującym ten odcinek. Myślę, że każda osoba z kadry kierowniczej albo zajmująca się realizacją przepisów RODO powinna sobie ten poradnik przeczytać.

Zgłaszanie naruszeń do Prezesa UODO – kiedy występuje ryzyko naruszenia praw lub wolności osób fizycznych?

To, co na pewno trzeba wiedzieć to dwie kwestie. Po pierwsze zgodnie z instrukcją UODO:

Ryzyko naruszenia praw lub wolności osób fizycznych powstaje, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.:

  • dyskryminacja,
  • kradzież tożsamości lub oszustwo dotyczące tożsamości,
  • nadużycia finansowe,
  • straty finansowe,
  • nieuprawnione cofnięcie pseudonimizacji,
  • utrata poufności danych osobowych chronionych tajemnicą zawodową,
  • naruszenie dobrego imienia,
  • lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Po drugie, najprawdopodobniej będzie należało uznać, że występuje duże prawdopodobieństwo takiej szkody  jeżeli naruszenie dotyczy danych osobowych szczególnej kategorii, czyli ujawniających m.in. pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe albo dane dotyczące zdrowia.

Zgłaszanie naruszeń do Prezesa UODO – wspólna analiza dyrekcji i IOD

Według mnie najważniejsze jednak będzie uświadomienie sobie, że jeżeli coś się wydarzyło to dyrekcja razem z IOD musi się spokojnie i indywidualnie w każdej takiej sytuacji zastanowić jaka jest waga tego naruszenia. I co z tym dalej zrobić. Pracownicy UODO we wskazanym poradniku wskazują, że jeżeli mamy wątpliwości to powinniśmy przyjąć wariant pesymistyczny i zgłosić do UODO, albo również poinformować osoby, których dane dotyczą. Na tej zasadzie, że lepiej zgłosić naruszenie 2 razy za dużo, niż 1 raz za mało. Zgłaszamy zawsze na gotowym formularzu udostępnionym przez UODO, można to zrobić przez Internet albo pocztą tradycyjną. Wszystkie opcje są opisane na stronie uodo.gov.pl.

Zgłaszanie incydentów związanych z cyberbezpieczeństwem – wprowadzenie

Osobną kwestią jest to, czy i do kogo należy zgłosić incydenty związane z cyberbezpieczeństwem. Pytania, które dostaję w tym temacie absolutnie nie dotyczą zaawansowanych kwestii informatycznych. Chodzi np. o codzienne korzystanie z poczty e-mail. Na skrzynki bibliotek i innych instytucji, właściwie obecnie już na wszystkie skrzynki mailowe trafiają wiadomości stanowiące próbę wyłudzenia czegoś. Może to być np. phishing, czyli podszywanie się pod legalnie działające instytucje i firmy. Próba oszukania nas i zainstalowania złośliwego oprogramowania, wyłudzenia hasła itd. Jeśli chodzi o kadrę zarządzającą i pracowników bibliotek to pytających w tym zakresie mogę podzielić na dwie grupy. Pierwsza grupa to osoby, które nie chcą być obojętne i chcą gdzieś zgłaszać taki SPAM, próby wyłudzeń itd. Druga grupa to osoby, które słyszały o ustawie o krajowym systemie cyberbezpieczeństwa, Mają wątpliwości czy zgłoszenie otrzymania takiego maila na służbową skrzynkę nie jest obowiązkowe w związku z tą ustawą.

Zgłaszanie incydentów związanych z cyberbezpieczeństwem – czy jest obowiązkowe?

Dla bibliotek i innych instytucji kultury nie jest to obowiązkowe. W ustawie wskazano precyzyjnie kto podlega przepisom, odwołując się m.in. do ustawy o finansach publicznych, w której instytucje kultury są wskazane jako podmioty tworzące sektor finansów publicznych. Ale ten punkt 13., w którym są wskazane został pominięty w kwestiach cyberbezpieczeństwa.

Ja jednak zachęcam do tego, żeby zgłaszać. W ustawie o krajowym systemie cyberbezpieczeństwa są wskazane 3 instytucje typu CSIRT (Computer Security Incident Response Team) – NASK, GOV i MON. Akurat instytucje kultury najbardziej pasują jeśli chodzi o obszar obsługiwanych podmiotów do NASK. Jak to zrobić? NASK powierzył przyjmowanie takich zgłoszeń swojemu zespołowi CERT i jest do tego specjalna strona internetowa. https://incydent.cert.pl/

Zgłaszanie incydentów związanych z cyberbezpieczeństwem – warto zgłaszać

Oczywiście zachęcam, żeby zgłaszać takie sytuacje służbowo, ale też kiedy doświadczamy tego prywatnie. Można to zrobić na tej samej stronie internetowej. Dlaczego warto to zgłaszać? Bo wtedy instytucja do tego powołana wie, że w ogóle do takich incydentów dochodzi i budujemy nasz wspólny system bezpieczeństwa. Jeżeli dochodzi do poważniejszego zdarzenia, nie jest to już tylko próba wyłudzenia przez wiadomość e-mail, ale cyberprzestępcom udało się nas oszukać to wtedy taką sytuację zgłaszamy na Policję.