Naruszenie, incydent, zdarzenie – jak z nimi postępować
Przepisy RODO odnoszą się jedynie do naruszeń ochrony danych. Są to takie zdarzenia, w wyniku których dochodzi do utraty poufności, dostępności lub integralności danych osobowych. Czyli mogą mieć negatywny wpływ na osobę, której dane dotyczą.
W praktyce notyfikujemy naruszenia i dzielimy je na te, które wymagają zgłoszenia do PUODO oraz takie, które notujemy w wewnętrznych rejestrach (np. na potrzeby doskonalenia systemu bezpieczeństwa, czy analizy ryzyka). Jednak nie każde zdarzenie spełnia definicję naruszenia. W codziennej pracy spotykamy się bardzo często z sytuacjami, gdy dochodzi jedynie do naruszenia procedur wewnętrznych albo sytuacji, która mogłaby eskalować do incydentu. Podobnie naruszenie przepisów RODO (np. nieprzekazanie klauzuli informacyjnej, czy nie wyznaczenie IOD) nie stanowi naruszenia ochrony danych.
W związku z tym pojawia się potrzeba operowania dodatkowym określeniem na tego typu sytuacje. Najczęściej spotykam się z rozróżnieniem „incydent” oraz „naruszenie”. Gdzie incydent to każde zdarzenie mające negatywny wpływ na system ochrony danych, ale nie jest naruszeniem. Takie rozróżnienie jest bardzo pomocne, ale muszę przyznać, że na początku swojej pracy nie rozumiałam, jak bardzo.
Przede wszystkim brak rozróżnienia incydentów i naruszeń, sprawia że pojawia się problem przy ocenie ryzyka naruszenia. Jeżeli każde zdarzenie uznajemy za naruszenie ochrony danych osobowych i wprowadzamy dla niego procedurę oceny ryzyka naruszenia, pojawia się duży problem w ocenieniu, jak ta sytuacja wpływa na osoby, których dane dotyczą. Czy niezrealizowanie obowiązku informacyjnego albo zbyt długi czas przechowywania danych, należy zgłaszać do PUODO? Kolejna kwestia to przekłamany rejestr naruszeń – wpisujemy do niego zdarzenia, które nie spełniają definicji z RODO. Może być też tak, że jeśli zdarzenie nie jest naruszeniem, w ogóle go nie notyfikujemy (chyba najczęstsze rozwiązanie). W takim wypadku nie uwzględnimy go przy analizie ryzyka dla ochrony danych osobowych, co może mieć negatywny wpływ na skuteczność dobranych środków ochrony.
Zatem konieczne jest wprowadzenie poza naruszeniami, określenia dla pozostałych zdarzeń. W szczególności podział tych zdarzeń na incydenty oraz naruszenia. Dzięki temu będzie można skutecznie zarządzać ryzykami dla bezpieczeństwa informacji.
Kolejna kwestia to rejestry incydentów oraz naruszeń. Ja prowadzę odrębne rejestry, ponieważ zamieszczam w nich różne informacje i jest mi tak wygodniej, ale niektórzy z moich klientów mają jeden, bardziej rozbudowany rejestr.
W przypadku systemów prowadzonych zgodnie z ISO27001, rozróżnia się nie tylko incydenty, ale także zdarzenia. Gdzie zdarzenie jest drobną, najczęściej pojedynczą sytuacją, która stanowi naruszenie procedur lub może mieć wpływ na bezpieczeństwo informacji. A incydent to powtarzające się zdarzenie jednego rodzaju (a zatem nierozwiązany problem) lub zdarzenie, które ma wpływ na bezpieczeństwo informacji. Taki podział pomaga w weryfikowaniu skuteczności działań korygujących.
Jeśli w organizacji jest tylko dokumentacja ochrony danych osobowych, wystarczy podział na incydenty oraz naruszenia. Z dobrych praktyk mogę jeszcze wskazać wystawianie karty działań korekcyjnych. W odróżnieniu od standardowej notatki z incydentu, połowę takiej karty wypełnia osoba, do której jest przypisana odpowiedzialność za zrealizowanie działań korekcyjnych. Planuje ona te działania i odpowiada za ich realizację. Jest to inne podejście, niż standardowe, które stosują inspektorzy. Zamiast zalecenia przekazywać do ADO, incydent omawia się z właścicielem procesu, on ustala te zalecenia i od razu deklaruje ich realizację. Jest to naprawdę świetne i proste rozwiązanie.