|
Instrukcja postępowania
w sytuacji naruszenia ochrony danych osobowych |
Za naruszenie ochrony danych osobowych uznaje się przypadki,
w których: |
- stwierdzono naruszenie zabezpieczenia systemu teleinformatycznego;
- stan urządzenia, zawartość zbioru danych osobowych,
ujawnione metody pracy, sposób działania programu lub jakość
komunikacji w sieci teleinformatycznej mogą wskazywać na
naruszenie zabezpieczeń tych danych.
Każdy pracownik firmy
ONE, który
stwierdzi lub podejrzewa naruszenie ochrony danych osobowych
w systemie teleinformatycznym firmy ONE zobowiązany jest do niezwłocznego
poinformowania o tym administratora systemu, lokalnego administratora danych osobowych
lub w przypadku ich nieobecności administratora bezpieczeństwa
informacji ONE.
Administrator bazy danych osobowych, który stwierdził lub
uzyskał informację wskazującą na naruszenie ochrony tej bazy
danych zobowiązany jest do niezwłocznego:
1. Zapisania wszelkich informacji i okoliczności związanych
z danym zdarzeniem, a w szczególności dokładnego czasu
uzyskania informacji o naruszeniu ochrony danych osobowych lub
samodzielnym wykryciu tego faktu.
2. Jeżeli zasoby systemu na to pozwalają, wygenerowania
i wydrukowania wszystkich dokumentów i raportów, które mogą
pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia
ich datą i podpisania.
3. Przystąpienia do zidentyfikowania rodzaju zaistniałego
zdarzenia, w tym do określenia skali zniszczeń, metody
dostępu osoby niepowołanej do danych itp.
4. Podjęcia odpowiednich kroków w celu powstrzymania lub
ograniczenia dostępu osoby niepowołanej, zminimalizowania
szkód i zabezpieczenia przed usunięciem śladów naruszenia
ochrony danych, w tym m.in. :
a) fizycznego odłączenia urządzeń i segmentów sieci, które
mogły umożliwić dostęp do bazy danych osobie niepowołanej;
b) wylogowania użytkownika podejrzanego o naruszenie ochrony
danych;
c) zmianę hasła administratora i użytkownika
poprzez którego uzyskano nielegalny dostęp w celu
uniknięcia ponownej próby uzyskania takiego dostępu.
5. Szczegółowej analizy stanu systemu informatycznego w celu
potwierdzenia lub wykluczenia faktu naruszenia ochrony danych
osobowych.
6. Przywrócenia normalnego działania systemu, przy czym, jeżeli
nastąpiło uszkodzenie bazy danych, odtworzenia jej
z ostatniej kopii awaryjnej z zachowaniem wszelkich środków
ostrożności mających na celu uniknięcie ponownego uzyskania
dostępu przez osobę nieupoważnioną, tą samą drogą.
Po przywróceniu pierwotnego stanu bazy danych osobowych należy
przeprowadzić szczegółową analizę /audyt/ w celu określenia przyczyn
naruszenia ochrony danych osobowych lub podejrzenia takiego
naruszenia.
Należy przedsięwziąć kroki mające na celu
wyeliminowanie podobnych zdarzeń w przyszłości.
Jeżeli przyczyną zdarzenia była infekcja wirusem należy
ustalić źródło jego pochodzenia i wykonać zabezpieczenia
antywirusowe i organizacyjne wykluczające powtórzenie się
podobnego zdarzenia w przyszłości.
Jeżeli przyczyną zdarzenia był błąd użytkownika systemu
informatycznego, należy przeprowadzić szkolenie wszystkich
osób biorących udział w przetwarzaniu danych.
Jeżeli przyczyną zdarzenia było zaniedbanie ze strony
użytkownika systemu należy wyciągnąć konsekwencje
dyscyplinarne wynikające z kodeksu pracy oraz ustawy
o ochronie danych osobowych.
Administrator bazy danych osobowych, w której nastąpiło
naruszenie ochrony danych osobowych, w porozumieniu
z właściwym lokalnym administratorem danych osobowych
przygotowuje szczegółowy raport o przyczynach, przebiegu
i wnioskach ze zdarzenia i w terminie 7 dni od daty jego
zaistnienia przekazuje lokalnemu administratorowi danych oraz
administratorowi bezpieczeństwa informacji firmy
ONE.
|
|