Najważniejsze jest przygotowanie firmy na sytuacje kryzysowe, opracowane wcześniej procedury i nakreślony plan działania. Każde przedsiębiorstwo powinno wyznaczyć osobę, na przykład inspektora ochrony danych, IOD, lub w zależności od skali incydentu zespół, który w przypadku naruszenia danych obiektywnie zadecyduje o dalszych działaniach firmy i zwróci przy tym uwagę na interesy wszystkich działów.

Czytaj także: Firmowe wizytówki i maile – co się zmieni RODO

 

W przeciągu 24h od incydentu istotne jest ustalenie tego, co tak naprawdę miało miejsce, czy jest to atak hakerski czy ktoś wyniósł dane, a może któryś z pracowników zgubił firmowy laptop.

W tym też czasie, co wynika z nowych przepisów o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych dla państwa, którzy będą wskazani decyzją administracyjną, powinni zaraportować incydent poważny, czyli taki o najwyższej kategorii wpływu. Operatorzy usług kluczowych, to między innymi spółki lub jednostki z branż energetycznych, transportowych, ochrony zdrowia czy bankowości. Druga kategoria incydentów to tzw. incydenty istotne, czyli zdarzenia mające istotny wpływ na świadczenie usług cyfrowych. Obowiązek zgłoszenia incydentu istotnego - również w ciągu pierwszych 24 godzin - spoczywa na dostawcach usług cyfrowych jak np. wyszukiwarki internetowe. W tym przypadku przedsiębiorstwa same muszą przeanalizować i zadecydować o swojej przynależności do tej kategorii podmiotów. Kiedy zostanie ustalony stan faktyczny zajścia, powinna nastąpić decyzja o raportowaniu do właściwego zespołu CSiRT (Computer Security Incident Response Team) i zawiadomienie go o incydencie.

Kolejnym krokiem jest analiza zebranych już informacji. Na tym etapie dział prawny, IT oraz PR działają równolegle. Ważne jest zbieranie i zabezpieczanie dowodów dotyczących incydentu oraz następujących po nim działań firmy oraz wypełnienie karty incydentu, w której zawarte zostaną ustalone informacje. Najlepiej, jeśli dokument wypełniamy według wcześniej przyjętego wzoru, a potem możemy opis aktualizować w zależności od rozwoju sytuacji. Jeśli chodzi o prawne aspekty na tym etapie, to w przypadku jeśli incydent dotyczy danych osobowych, trzeba podjąć decyzję czy należy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych. Nie trzeba zawiadamiać jeśli ryzyko dla osób jest niewielkie, np. w przypadku, kiedy dane zostały skasowane, ale istnieje ich kopia zapasowa, nastąpi przejściowe naruszenie dostępności do danych, ujawnione zostaną dane, które są już publicznie dostępne lub gdy dane wyciekną, lecz są zaszyfrowane. Podejmując decyzję o niezawiadamianiu Prezesa UODO powinniśmy jednak dokładnie przeanalizować poziom ryzyka dla osób, których dotyczą, gdyż kary za niepoinformowanie w przewidzianych przez RODO przypadkach są ogromne.

Zawiadomienie UODO powinno nastąpić w przeciągu 72h od odkrycia incydentu. Polega ono na szczegółowym wypełnieniu formularza i przesłaniu go drogą elektroniczną przez serwis epuap.gov.pl lub biznes.gov.pl. Co ważne, do przesłania formularza wymagany jest bezpieczny kwalifikowany podpis elektroniczny lub profil zaufany osób upoważnionych do reprezentacji przedsiębiorstwa.

Następnym krokiem jest decyzja o ewentualnym powiadomieniu o zajściu incydentu osób, których dane zostały naruszone. W tym przypadku czas działania jest bardziej elastyczny, jednak nie należy przeciągać tego procesu bo z upływem czasu ryzyko dla nich wzrasta.

Gdy miną już krytyczne 72h, spółka może przejść do ewaluacji działań, sporządzić odpowiednie raporty i przygotować się do ewentualnego postępowania lub audytu Prezesa UODO. Następnie przedsiębiorstwo powinno zastanowić się jakie działania podjąć aby uszczelnić system zabezpieczania danych i zapobiec kolejnym naruszeniom.

Autopromocja
CFO Strategy & Innovation Summit 2021

To już IV edycja kongresu dla liderów świata finansów

WEŹ UDZIAŁ

- Magdalena Kogut-Czarkowska, Counsel, radca prawny, Baker McKenzie