(+48) 12 350 60 88 [email protected]

Incydent bezpieczeństwa czy naruszenie danych osobowych? Jak rozpoznać i co zrobić

Obowiązki ADO, Porady, RODO, Zrozumieć RODO

Incydenty bezpieczeństwa i naruszenia ochrony danych osobowych

Jaki jest cel tego artykułu? Wyjaśnia, co zrobić, gdy w Twojej organizacji wydarzy się coś niepokojącego — np. zaginął pendrive, wiadomość e-mail trafiła do niewłaściwej osoby, system komputerowy przestał działać lub skradziono służbowy sprzęt. Znajdziesz tu proste wskazówki, jak rozpoznać rodzaj zdarzenia i jakie kroki należy podjąć w pierwszej kolejności. Nie musisz samodzielnie oceniać powagi sytuacji — do tego jest Inspektor Ochrony Danych.

Wprowadzenie

W każdej organizacji — szkole, urzędzie gminy, ośrodku pomocy społecznej, bibliotece czy przedszkolu — codziennie przetwarza się dane osobowe: uczniów, rodziców, mieszkańców, pracowników, petentów. Dane te mogą być przechowywane w komputerach, na nośnikach przenośnych, w systemach informatycznych lub w tradycyjnych archiwach papierowych.

Czasem jednak coś idzie nie tak. Pracownik gubi pendrive. Ktoś wysyła pismo do niewłaściwego adresata. System komputerowy pada ofiarą ataku. W takich sytuacjach pojawia się pytanie: co to właściwie jest i co należy teraz zrobić?

Rozporządzenie o Ochronie Danych Osobowych (RODO) oraz przepisy o bezpieczeństwie informacji nakładają na organizacje konkretne obowiązki. Żeby je prawidłowo wypełnić, trzeba wiedzieć, z jakim rodzajem zdarzenia mamy do czynienia — i niezwłocznie poinformować właściwe osoby.

Dwa różne pojęcia, które warto znać

Czym jest incydent bezpieczeństwa informacji?

Incydent bezpieczeństwa informacji to każde zdarzenie, które zagraża bezpieczeństwu danych lub systemów używanych przez Twoją organizację — niezależnie od tego, czy te dane zawierają dane osobowe.

Incydent może dotyczyć trzech obszarów:

  • poufności — dane trafiają do osoby, która nie powinna ich mieć,
  • integralności — dane zostają zmienione lub zniszczone bez upoważnienia,
  • dostępności — dane lub systemy stają się niedostępne (np. wskutek awarii lub ataku).

Przykłady incydentów bezpieczeństwa, które nie dotyczą danych osobowych:

  • atak hakerski na stronę internetową urzędu, która służy wyłącznie do publikowania ogłoszeń i nie przetwarza danych osobowych,
  • awaria serwera, na którym przechowywane są wyłącznie dokumenty techniczne lub plany budynków,
  • próba wyłudzenia hasła przez fałszywy e-mail (phishing), którą pracownik rozpoznał i której się nie poddał — bez jakiegokolwiek wycieku danych.

Zapamiętaj: Incydent bezpieczeństwa może dotyczyć każdej informacji — nie tylko danych osobowych. Każde takie zdarzenie należy zgłosić przełożonemu lub IOD, nawet jeśli wydaje się błahe.

Czym jest naruszenie ochrony danych osobowych?

Naruszenie ochrony danych osobowych to szczególny rodzaj incydentu — taki, który dotknął danych osobowych i doprowadził do naruszenia ich poufności, integralności lub dostępności.

Definicja pochodzi wprost z art. 4 pkt 12 RODO. Naruszeniem jest każde zdarzenie prowadzące do:

  • ujawnienia danych osobowych osobom nieupoważnionym lub ich przekazania do nieuprawnionego odbiorcy,
  • utraty lub trwałego zniszczenia danych osobowych,
  • nieuprawnionej zmiany danych osobowych,
  • zablokowania dostępu do danych osobowych (nawet tymczasowego), jeśli może to szkodzić osobom, których dane dotyczą.

Ważne: do naruszenia może dojść zarówno wskutek działania przestępczego (np. atak hakerski), jak i zwykłej pomyłki pracownika (np. błędnie zaadresowana koperta lub przypadkowo usunięty plik).

Przykłady naruszeń ochrony danych osobowych:

  • zagubiony niezaszyfrowany pendrive z listą uczniów i ich ocenami,
  • decyzja administracyjna z danymi mieszkańca wysłana do innej osoby,
  • atak ransomware, który zablokował dostęp do bazy danych pracowników lub akt spraw.

Zapamiętaj: Każde naruszenie ochrony danych osobowych jest jednocześnie incydentem bezpieczeństwa informacji. Natomiast nie każdy incydent bezpieczeństwa jest naruszeniem danych osobowych — bo nie każdy incydent dotyczy danych osobowych.

Jaka jest różnica? Prosty obraz sytuacji

Wyobraź sobie dwa kręgi:

  • Większy krąg obejmuje wszystkie incydenty bezpieczeństwa informacji — zdarzenia dotyczące jakichkolwiek danych i systemów.
  • Mniejszy krąg (wewnątrz większego) obejmuje wyłącznie naruszenia ochrony danych osobowych — zdarzenia, które dotknęły konkretnie danych osobowych.

Naruszenie ochrony danych osobowych zawsze mieści się w pojęciu incydentu bezpieczeństwa. Natomiast incydent bezpieczeństwa informacji nie zawsze oznacza naruszenie danych osobowych.

Przykładowa sytuacja Incydent bezpieczeństwa? Naruszenie danych osobowych?
Awaria serwera przechowującego tylko dokumenty techniczne (brak danych osobowych) ✅ TAK ❌ NIE
Atak DDoS na stronę urzędu służącą do publikacji ogłoszeń (bez danych osobowych) ✅ TAK ❌ NIE
Zagubiony niezaszyfrowany pendrive z danymi uczniów ✅ TAK ✅ TAK
Decyzja administracyjna z danymi mieszkańca wysłana do błędnego adresata ✅ TAK ✅ TAK
Próba phishingu zablokowana przez program antywirusowy — bez wycieku danych ✅ TAK ❌ NIE
Skradziony laptop z w pełni zaszyfrowanym dyskiem ✅ TAK ✅ TAK*

*Formalnie jest to naruszenie danych osobowych, jednak ze względu na szyfrowanie ryzyko dla osób fizycznych może być na tyle niskie, że zgłoszenie do UODO nie będzie wymagane. Oceny dokonuje IOD wspólnie z administratorem — nie pracownik.

Schemat decyzyjny: co to jest za zdarzenie?

Poniższy schemat służy wyłącznie jako pomoc w zrozumieniu tematu. Ostateczna ocena zdarzenia należy zawsze do Inspektora Ochrony Danych i administratora danych — pracownik nie powinien samodzielnie przesądzać, jaki charakter ma zdarzenie ani czy wymaga zgłoszenia.

KROK 1: Czy zdarzenie dotyczy jakichkolwiek danych lub systemów organizacji?
         │
         ├── NIE → Prawdopodobnie nie jest to incydent bezpieczeństwa.
         │          Jeśli masz wątpliwości — i tak poinformuj przełożonego.
         │
         └── TAK → To incydent bezpieczeństwa informacji.
                    Zgłoś niezwłocznie przełożonemu lub IOD. Przejdź do kroku 2.

KROK 2: Czy wśród danych, których dotyczy zdarzenie, mogą znajdować się
         dane osobowe (np. imiona, nazwiska, PESEL, adresy, dane uczniów,
         pracowników, pacjentów, mieszkańców)?
         │
         ├── NIE → Incydent bezpieczeństwa bez danych osobowych.
         │          IOD i administrator rejestrują zdarzenie w rejestrze incydentów.
         │
         └── TAK lub NIE WIEM → Potencjalne naruszenie ochrony danych osobowych.
                                  IOD przeprowadza ocenę. Przejdź do kroku 3.

KROK 3: Czy zdarzenie mogło narazić osoby, których dane dotyczą, na szkodę?
         (np. kradzież tożsamości, dyskryminację, straty finansowe, naruszenie
         dobrego imienia, ujawnienie danych wrażliwych takich jak stan zdrowia,
         sytuacja finansowa lub rodzinna)
         │
         ├── RYZYKO JEST MAŁO PRAWDOPODOBNE → Naruszenie rejestruje się
         │   w wewnętrznym rejestrze naruszeń (bez zgłoszenia do UODO),
         │   wraz z uzasadnieniem tej decyzji.
         │
         └── RYZYKO ISTNIEJE LUB JEST NIEPEWNE →
                    Administrator zgłasza naruszenie do UODO w ciągu 72 godzin.
                    Przejdź do kroku 4.

KROK 4: Czy ryzyko dla osób jest WYSOKIE?
         (np. wyciek danych wrażliwych — zdrowotnych, finansowych, dotyczących
         dzieci; duża liczba osób; publiczne ujawnienie danych)
         │
         ├── NIE → Zgłoszenie do UODO wystarczy.
         │
         └── TAK → Oprócz zgłoszenia do UODO administrator zawiadamia
                    bezpośrednio osoby, których dane dotyczą (art. 34 RODO).

Pamiętaj: W razie jakichkolwiek wątpliwości na każdym etapie — skontaktuj się z Inspektorem Ochrony Danych. Nie czekaj na pewność. Zgłoś.

Kiedy trzeba zgłosić naruszenie do UODO?

Obowiązek zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych wynika z art. 33 RODO.

Zgłoszenie jest wymagane, gdy spełnione są łącznie dwa warunki:

  1. doszło do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO,
  2. naruszenie to może powodować ryzyko naruszenia praw lub wolności osób fizycznych — tzn. może narazić je na konkretną szkodę: dyskryminację, kradzież tożsamości, straty finansowe, utratę dobrego imienia, naruszenie prywatności lub inne negatywne konsekwencje.

Termin: Administrator danych ma 72 godziny od chwili stwierdzenia naruszenia, aby zgłosić je do UODO. „Stwierdzenie” następuje wtedy, gdy organizacja (w szczególności osoba odpowiedzialna — np. dyrektor, IOD) uzyska wystarczające informacje, aby ocenić, że naruszenie faktycznie miało miejsce.

Uwaga praktyczna: Bieg 72-godzinnego terminu nie jest uzależniony od zakończenia dochodzenia wewnętrznego — rozpoczyna się z chwilą, gdy administrator ma uzasadnione podstawy, by sądzić, że doszło do naruszenia. Jeśli zgłoszenie następuje po upływie 72 godzin, należy wyjaśnić UODO przyczyny opóźnienia.

Zgłoszenie składa Administrator Danych — dyrektor szkoły, wójt, prezes organizacji lub inna osoba kierująca podmiotem. Inspektor Ochrony Danych wspiera administratora w przygotowaniu zgłoszenia i doradza w zakresie oceny ryzyka, jednak to administrator ponosi odpowiedzialność prawną za terminowe złożenie zgłoszenia.

Przykłady zdarzeń, które wymagają zgłoszenia do UODO:

  • Zagubiony niezaszyfrowany pendrive z listą uczniów i ich ocenami.
  • Wiadomość e-mail z danymi zdrowotnymi lub finansowymi mieszkańca wysłana do przypadkowej osoby.
  • Atak ransomware blokujący dostęp do bazy danych pracowniczych lub rejestru petentów.
  • Omyłkowe opublikowanie na stronie WWW listy zawierającej dane osobowe mieszkańców.

Kiedy wystarczy rejestracja wewnętrzna?

Nie każde naruszenie ochrony danych osobowych wymaga zgłoszenia do UODO. Jeśli po przeprowadzonej ocenie ryzyka IOD i administrator stwierdzą, że naruszenie jest mało prawdopodobne, by skutkowało ryzykiem dla praw lub wolności osób fizycznych, wystarczy odnotowanie zdarzenia w wewnętrznym rejestrze naruszeń.

Rejestr ten jest obowiązkowy dla każdej organizacji będącej administratorem danych — niezależnie od wielkości i sektora. Powinien zawierać opis zdarzenia, ocenę ryzyka oraz uzasadnienie decyzji o braku zgłoszenia do UODO.

Przykłady naruszeń wymagających tylko rejestracji wewnętrznej:

  • Kradzież laptopa z w pełni zaszyfrowanym dyskiem, gdy klucz szyfrowania nie był dostępny osobie postronnej, a urządzenie zostało zdalnie zablokowane — po przeprowadzeniu oceny ryzyka przez IOD.
  • Wiadomość e-mail bez danych osobowych wysłana omyłkowo do błędnego adresata.
  • Krótkotrwała awaria systemu informatycznego, po której wszystkie dane zostały przywrócone z kopii zapasowej, bez ryzyka ich wycieku lub trwałej utraty.

Ważna zasada: Nawet jeśli naruszenie nie wymaga zgłoszenia do UODO, zawsze musi zostać wpisane do wewnętrznego rejestru naruszeń. Brak takiego wpisu stanowi naruszenie zasady rozliczalności wynikającej z art. 5 ust. 2 RODO i może skutkować odpowiedzialnością administracyjną.

Dodatkowa uwaga: Rejestr wewnętrzny naruszeń to nie to samo co rejestr incydentów bezpieczeństwa informacji. Organizacja powinna prowadzić oba — rejestr incydentów (dla wszystkich zdarzeń dotyczących bezpieczeństwa informacji) oraz rejestr naruszeń (wyłącznie dla naruszeń ochrony danych osobowych, zgodnie z art. 33 ust. 5 RODO).

Przykłady z życia organizacji

Przykład 1 — Szkoła: zagubiony pendrive nauczyciela

Nauczyciel zgubił pendrive zawierający niezaszyfrowane arkusze ocen 300 uczniów (imiona, nazwiska, oceny, uwagi wychowawcy).

Rodzaj zdarzenia: Incydent bezpieczeństwa informacji i naruszenie ochrony danych osobowych — nieuprawniony dostęp do danych uczniów. Co należy zrobić: Niezwłocznie zgłosić IOD i dyrektorowi szkoły. Dyrektor (jako administrator) zgłasza naruszenie do UODO w ciągu 72 godzin. IOD ocenia, czy istnieje wysokie ryzyko — jeśli tak, konieczne jest powiadomienie rodziców lub opiekunów prawnych uczniów.

Przykład 2 — Urząd gminy: atak ransomware

Złośliwe oprogramowanie zablokowało dostęp do wszystkich plików na serwerze urzędu, w tym do rejestru mieszkańców. Dane były niedostępne przez 5 dni.

Rodzaj zdarzenia: Incydent bezpieczeństwa informacji i naruszenie ochrony danych osobowych — zablokowanie dostępu do danych osobowych stanowi naruszenie ich dostępności w rozumieniu RODO. Co należy zrobić: Niezwłocznie zgłosić IOD i wójtowi (burmistrzowi). Zgłoszenie do UODO w ciągu 72 godzin. Przywrócenie danych z kopii zapasowej. Jeśli urząd jest podmiotem objętym przepisami o krajowym systemie cyberbezpieczeństwa (KSC) lub Krajowymi Ramami Interoperacyjności (KRI) — mogą obowiązywać dodatkowe obowiązki zgłoszeniowe wobec właściwych organów (np. CERT Polska).

Przykład 3 — Ośrodek pomocy społecznej: błędna korespondencja

Pracownik wysłał decyzję o przyznaniu zasiłku zawierającą dane finansowe i rodzinne wnioskodawcy na adres innej osoby.

Rodzaj zdarzenia: Incydent bezpieczeństwa informacji i naruszenie ochrony danych osobowych — ujawnienie danych wrażliwych nieuprawnionemu odbiorcy. Co należy zrobić: Niezwłocznie zgłosić IOD i kierownikowi OPS. Zgłoszenie do UODO. IOD ocenia ryzyko — prawdopodobnie wymagane jest powiadomienie osoby, której dane dotyczą. Warto podjąć próbę odzyskania dokumentu od przypadkowego adresata i udokumentować tę próbę.

Przykład 4 — Firma: kradzież zaszyfrowanego laptopa

Skradziono laptop pracownika. Dysk był w całości zaszyfrowany, urządzenie zostało niezwłocznie zdalnie zablokowane, a pracownik jako jedyny znał hasło dostępu.

Rodzaj zdarzenia: Incydent bezpieczeństwa informacji. Formalnie zdarzenie dotknęło zasobu zawierającego dane osobowe, jednak ze względu na szyfrowanie i zdalną blokadę ryzyko nieuprawnionego dostępu do danych jest minimalne. Co należy zrobić: Zgłosić IOD. IOD przeprowadza ocenę ryzyka. Jeśli ryzyko jest znikome — zdarzenie rejestruje się wyłącznie w wewnętrznym rejestrze naruszeń z udokumentowanym uzasadnieniem decyzji o braku zgłoszenia do UODO.

Przykład 5 — Szpital: błędna konfiguracja systemu

Przez 3 godziny na stronie internetowej szpitala publicznie widoczna była lista pacjentów oddziału psychiatrycznego zawierająca imiona, nazwiska i numery PESEL.

Rodzaj zdarzenia: Poważne naruszenie ochrony danych osobowych — publiczne ujawnienie danych o stanie zdrowia (dane szczególnej kategorii w rozumieniu art. 9 RODO). Co należy zrobić: Natychmiast usunąć dane ze strony i zgłosić IOD oraz kierownictwu szpitala. Zgłoszenie do UODO w trybie pilnym (znacznie przed upływem 72 godzin). Powiadomienie poszkodowanych pacjentów jest wymagane — istnieje wysokie ryzyko naruszenia ich praw (stygmatyzacja, dyskryminacja). Zabezpieczenie systemu i zebranie dokumentacji zdarzenia.

Przykład 6 — Przedszkole: e-mail do błędnego rodzica

Pracownik administracji wysłał wiadomość e-mail z listą dzieci zakwalifikowanych do grupy (zawierającą imiona, nazwiska dzieci i dane kontaktowe rodziców) do osoby niezwiązanej z placówką.

Rodzaj zdarzenia: Naruszenie ochrony danych osobowych — dane dzieci i rodziców trafiły do nieuprawnionego odbiorcy. Co należy zrobić: Niezwłocznie zgłosić dyrektorowi i IOD. IOD ocenia ryzyko — z uwagi na dane dotyczące dzieci zgłoszenie do UODO jest prawdopodobnie wymagane. Należy niezwłocznie skontaktować się z przypadkowym odbiorcą z prośbą o usunięcie wiadomości i udokumentować tę czynność.

Przykład 7 — Urząd: atak DDoS na stronę informacyjną

Strona internetowa urzędu była niedostępna przez kilka godzin w wyniku ataku. Strona służy wyłącznie do publikowania ogłoszeń i nie przetwarza danych osobowych.

Rodzaj zdarzenia: Incydent bezpieczeństwa informacji — nie jest to naruszenie ochrony danych osobowych, ponieważ zdarzenie nie dotyczyło danych osobowych. Co należy zrobić: Zarejestrować w wewnętrznym rejestrze incydentów bezpieczeństwa. Zgłoszenie do UODO nie jest wymagane. Jeśli urząd jest podmiotem objętym KSC — rozważyć obowiązki zgłoszeniowe wynikające z tych przepisów.

Tabela porównawcza

Incydent bezpieczeństwa informacji Naruszenie ochrony danych osobowych
Czego dotyczy? Dowolnych informacji i systemów (nie tylko danych osobowych) Wyłącznie danych osobowych w rozumieniu art. 4 pkt 1 RODO
Podstawa prawna ISO/IEC 27001, ISO/IEC 27035, KRI, KSC, wewnętrzne polityki bezpieczeństwa organizacji Art. 4 pkt 12 RODO; obowiązki z art. 33–34 RODO
Kto jest zobowiązany? Każda organizacja posiadająca systemy informatyczne lub zasoby informacyjne Administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO
Co grozi za brak reakcji? Naruszenie wewnętrznych polityk bezpieczeństwa; możliwe konsekwencje wynikające z KSC lub KRI Kara administracyjna na podstawie art. 83 RODO; odpowiedzialność cywilna wobec osób poszkodowanych
Obowiązki organizacji Rejestracja zdarzenia, analiza przyczyn, działania naprawcze, raportowanie wewnętrzne Ocena ryzyka (IOD + administrator), obowiązkowa rejestracja w rejestrze naruszeń, zgłoszenie do UODO gdy istnieje ryzyko, zawiadomienie osób gdy ryzyko jest wysokie
Termin działania Zgodnie z wewnętrzną procedurą zarządzania incydentami 72 godziny od stwierdzenia naruszenia przez administratora (art. 33 ust. 1 RODO)
Rejestr Wewnętrzny rejestr incydentów bezpieczeństwa (wynikający z polityki bezpieczeństwa / ISO 27001) Rejestr naruszeń ochrony danych osobowych — obowiązkowy dla każdego administratora (art. 33 ust. 5 RODO)
Rola IOD Doradcza i nadzorcza — IOD może uczestniczyć w analizie i rekomendować działania Kluczowa — IOD przeprowadza wstępną ocenę ryzyka, doradza administratorowi, wspiera w przygotowaniu zgłoszenia do UODO
Przykłady Awaria serwera technicznego, atak DDoS na stronę informacyjną, phishing bez wycieku danych Zgubiony niezaszyfrowany pendrive z danymi osobowymi, błędnie zaadresowane pismo z danymi mieszkańca, ransomware blokujący dostęp do bazy kadrowej

 

Co zrobić, gdy zauważysz coś niepokojącego? Krok po kroku

Poniższy schemat jest przeznaczony dla każdego pracownika — niezależnie od stanowiska i poziomu wiedzy technicznej. Nie musisz wiedzieć, jak zakwalifikować zdarzenie. Musisz je zgłosić.

KROK 1 — Zatrzymaj się i oceń, czy coś się wydarzyło Czy zauważyłeś coś niepokojącego? Zaginął sprzęt lub nośnik danych? Trafiłeś na podejrzaną wiadomość e-mail? Wysłałeś dokument do niewłaściwej osoby? System przestał działać lub zachowuje się inaczej niż zwykle? Ktoś nieuprawniony miał dostęp do dokumentów?

KROK 2 — Zgłoś niezwłocznie — nie czekaj na pewność Poinformuj bezpośrednio swojego przełożonego lub Inspektora Ochrony Danych. Zrób to od razu — nawet jeśli nie jesteś pewien, czy zdarzenie jest poważne. Nie jest Twoim zadaniem oceniać rodzaj ani wagę zdarzenia. Twoja rola to zauważyć i poinformować.

KROK 3 — Nie usuwaj śladów zdarzenia Nie kasuj wiadomości e-mail, nie zamykaj okien systemowych, nie formatuj nośników, nie wyłączaj urządzeń bez konsultacji z działem IT lub IOD. Zachowaj wszystko, co może pomóc w ustaleniu, co się wydarzyło. Zapisz datę i godzinę, w której zauważyłeś zdarzenie.

KROK 4 — Nie podejmuj samodzielnych działań naprawczych Nie próbuj samodzielnie „naprawić” sytuacji — np. odzyskując dane, kontaktując się z osobą, do której trafiło pismo, czy restartując system. Możesz nieświadomie zniszczyć ważne dowody lub pogłębić problem. Działaj wyłącznie zgodnie z poleceniem IOD lub przełożonego.

KROK 5 — IOD przeprowadza ocenę zdarzenia Inspektor Ochrony Danych ustala, czy zdarzenie jest incydentem bezpieczeństwa informacji, czy naruszeniem ochrony danych osobowych, ocenia ryzyko dla osób fizycznych i decyduje o dalszych krokach.

KROK 6 — Administrator podejmuje decyzję i składa zgłoszenie (jeśli wymagane) Jeśli zdarzenie stanowi naruszenie ochrony danych osobowych i istnieje ryzyko dla osób fizycznych — dyrektor szkoły, wójt lub inna osoba zarządzająca organizacją składa zgłoszenie do UODO, z pomocą IOD, w ciągu 72 godzin od stwierdzenia naruszenia.

KROK 7 — Zdarzenie jest dokumentowane Każde zdarzenie — niezależnie od jego rodzaju i powagi — zostaje odnotowane w odpowiednim rejestrze wewnętrznym. To wymóg prawny wynikający z RODO i zasady rozliczalności.

 

Najważniejsze zasady dla pracowników

  1. Zgłaszaj od razu — nie czekaj na pewność. Każde podejrzane zdarzenie — zagubiony sprzęt, błędnie wysłana wiadomość, podejrzany e-mail, awaria systemu, nieautoryzowany dostęp — zgłoś przełożonemu lub IOD niezwłocznie. Ocena wagi zdarzenia nie należy do Ciebie.
  2. Nie oceniaj samodzielnie, czy zdarzenie jest „wystarczająco poważne”. Nawet jeśli wydaje Ci się, że nic złego się nie stało — poinformuj. Tylko IOD i administrator mogą w sposób odpowiedzialny ocenić ryzyko i podjąć właściwą decyzję.
  3. Nie ukrywaj pomyłek. Błędy zdarzają się każdemu. Ukrycie zdarzenia jest zawsze dużo poważniejszym problemem prawnym niż sama pomyłka. Organizacja jest chroniona, gdy szybko reaguje — nie gdy przemilcza.
  4. Pamiętaj o 72 godzinach. Jeśli doszło do naruszenia ochrony danych osobowych z ryzykiem dla osób — administrator ma tylko 72 godziny na zgłoszenie do UODO. Każda godzina opóźnienia w przekazaniu informacji IOD ma znaczenie.
  5. Nie usuwaj dowodów ani nie podejmuj działań naprawczych bez konsultacji. Nie kasuj e-maili, logów, plików ani nie wyłączaj urządzeń bez zgody IOD lub działu IT. Dowody zdarzenia mogą być kluczowe dla oceny sytuacji i ewentualnego postępowania.
  6. Każde zdarzenie musi być odnotowane — nawet to „drobne”. Naruszenia ochrony danych osobowych, które nie wymagają zgłoszenia do UODO, i tak muszą trafić do wewnętrznego rejestru naruszeń. Brak dokumentacji jest naruszeniem RODO.
  7. IOD jest po to, żeby pomóc — nie karać. Inspektor Ochrony Danych jest Twoim wsparciem w trudnych sytuacjach, nie organem dyscyplinarnym. Im szybciej do niego trafisz, tym skuteczniej można ograniczyć skutki zdarzenia dla Ciebie, organizacji i osób, których dane dotyczą.