Wersja dla niedowidzącychNormalny kontrast
Aa Aa Aa
SAMORZĄDOWY PORTAL EDUKACYJNY
O CYBERBEZPIECZEŃSTWIE

Komu i kiedy należy zgłosić wykryte naruszenie danych osobowych

W pracy w urzędzie masz dostęp do danych mieszkańców. To oznacza realną odpowiedzialność. Naruszenie danych może zdarzyć się każdemu. Wystarczy wysłać maila do niewłaściwej osoby, zgubić dokument albo źle ustawić uprawnienia w systemie. Kluczowe jest to, co zrobisz dalej. Masz konkretne obowiązki i bardzo mało czasu na reakcję. Ten tekst pokaże ci krok po kroku, komu zgłosić naruszenie, kiedy masz to zrobić i jak podjąć właściwą decyzję.

Grafika przedstawia sytuację naruszenia danych osobowych („data breach”). Widać symboliczne elementy cyberataku (tarcza, kłódka, ostrzeżenia), a także sceny zgłaszania incydentu — kontakt telefoniczny, przygotowanie dokumentów i przekazanie raportu do odpowiednich instytucji (np. UODO), z zaznaczeniem obowiązku zgłoszenia w ciągu 72 godzin.

Źródło: Copilot M365

Naruszenie to każda sytuacja, w której dane osobowe trafiają tam, gdzie nie powinny. Może to być utrata dokumentów, nieuprawniony dostęp do systemu albo przypadkowe ujawnienie danych. Przykład z życia. Pracownik wysyła listę uczestników szkolenia do biblioteki, ale wpisuje zły adres mailowy. Dane trafiają do obcej osoby. To jest naruszenie. Jeśli pracujesz w JST, nie działaj sam. Zgłoś incydent do administratora danych (AD) lub inspektora ochrony danych (IOD). To oni odpowiadają za formalne zgłoszenie.

Nie każde naruszenie AD musisz zgłaszać na zewnątrz. Najpierw odpowiedz sobie na jedno pytanie. Czy ta sytuacja może zaszkodzić osobie, której dane dotyczą. Urząd Ochrony Danych Osobowych wskazuje jasno. Jeśli ryzyko jest realne, masz obowiązek zgłoszenia. Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w sytuacji gdy zaistniałe naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, administratorzy zobligowani są do zgłoszenia naruszenia krajowemu organowi nadzorczemu, którym w Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Przykład. Zgubiłeś kartkę z imieniem i nazwiskiem. Ryzyko jest niewielkie. Zgubiłeś dokument z numerem PESEL i adresem. Ryzyko jest wysokie. W takim przypadku działasz dalej. Pamiętaj o jednej rzeczy. Nawet jeśli uznasz, że ryzyko jest znikome, zapisz swoją analizę. Organ nadzorczy może o to zapytać.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem, jest Prezes UODO, czy też może inny europejski organ nadzorczy.  

Kiedy masz zgłosić naruszenie?

Tu nie ma miejsca na zwłokę. Masz maksymalnie 72 godziny od momentu wykrycia naruszenia.

To oznacza, że liczysz czas od chwili, gdy dowiedziałeś się o problemie, a nie od momentu jego powstania. Jeśli nie zdążysz w terminie, nadal zgłaszasz naruszenie. Musisz tylko wyjaśnić, dlaczego się spóźniłeś.

Zanim zgłosisz naruszenie do UODO, zbierz konkretne dane. Opisz co się stało, ilu osób dotyczy problem, jakie dane wyciekły i co już zrobiłeś, żeby ograniczyć skutki. Nie czekaj na pełny obraz sytuacji. Jeśli nie masz wszystkich informacji, zgłoś to, co wiesz. Resztę możesz uzupełnić później.

Kiedy informujesz osoby, których dane dotyczą?

Jeśli ryzyko jest wysokie, informujesz bezpośrednio mieszkańców. Robisz to szybko i jasno.

Przykład. Wyciekły dane z numerami PESEL. Informujesz poszkodowane osoby, żeby mogły zastrzec dokumenty i zabezpieczyć się przed kradzieżą tożsamości. Jeśli ryzyko jest niskie, nie musisz informować osób. Wystarczy dokumentacja wewnętrzna.

Przykładowy komunikat o naruszeniu ochrony danych osobowych

Informujemy, że w Urzędzie doszło do naruszenia ochrony danych osobowych mieszkańców. Zdarzenie polegało na nieuprawnionym dostępie do danych zawierających imię, nazwisko, adres zamieszkania oraz numer PESEL.

Po wykryciu incydentu natychmiast podjęliśmy działania zabezpieczające. Zablokowaliśmy źródło naruszenia, zabezpieczyliśmy systemy oraz rozpoczęliśmy szczegółową analizę zdarzenia. Sprawę zgłosiliśmy do Prezesa Urzędu Ochrony Danych Osobowych. Obecnie wprowadzamy dodatkowe zabezpieczenia w systemach informatycznych oraz procedurach obsługi danych. Przeprowadzamy audyt bezpieczeństwa i szkolenia dla pracowników, aby ograniczyć ryzyko podobnych zdarzeń w przyszłości.

Dane, które wyciekły, mogą zostać wykorzystane do prób wyłudzeń lub kradzieży tożsamości. Osoba nieuprawniona może próbować zaciągnąć zobowiązania finansowe lub podszyć się pod Ciebie.

Co możesz zrobić aby zminimalizować ryzyko…

  • Zastrzeż swój numer PESEL. Możesz to zrobić przez profil zaufany lub w urzędzie gminy. To najważniejszy krok, który utrudnia wykorzystanie Twoich danych.
  • Sprawdzaj swoją historię kredytową. Skorzystaj z raportów BIK. Zwracaj uwagę na próby zaciągania zobowiązań, których nie rozpoznajesz.
  • Uważaj na podejrzane telefony i wiadomości. Oszust może podawać się za pracownika banku lub urzędu i próbować wyłudzić dodatkowe informacje.
  • Zgłaszaj każdą podejrzaną sytuację. Jeśli ktoś próbuje wykorzystać Twoje dane, skontaktuj się z policją lub swoim bankiem.
  • Rozważ włączenie alertów w banku. Dzięki nim szybko dowiesz się o próbach użycia Twoich danych.

Jeśli masz pytania lub potrzebujesz pomocy, skontaktuj się z nami:

Urząd Gminy w ……….

…………………………….

Każde zgłoszenie traktujemy poważnie. Możesz uzyskać informacje o zakresie naruszenia oraz wsparcie w zabezpieczeniu swoich danych.

Najczęstsze błędy w urzędach

Pierwszy błąd to brak reakcji. Pracownik dostrzega problem, ale liczy, że nikt się nie dowie.

Drugi błąd to zbyt późne zgłoszenie. 72 godziny mijają szybciej niż myślisz.

Trzeci błąd to brak dokumentacji. Nawet jeśli nie zgłaszasz naruszenia, musisz mieć zapis analizy.

Czwarty błąd to działanie w pojedynkę. Zawsze informuj inspektora ochrony danych.

Co powinieneś zrobić w praktyce?

Zauważyłeś incydent. Zatrzymaj go. Zablokuj dostęp, wycofaj maila, zabezpiecz dokumenty.

Zgłoś sprawę do przełożonego lub IOD.

Oceń ryzyko. Jeśli istnieje, przygotuj zgłoszenie do UODO.

Pilnuj czasu. 72 godziny to twój realny limit.

Zapisz wszystko. Każdą decyzję i każdy krok.

Taka reakcja pokazuje, że urząd działa odpowiedzialnie i chroni mieszkańców.

Źródła:

uodo.gov.pl; Komu należy zgłosić zaistniałe naruszenie ochrony danych osobowych?

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

Drukuj