Procedura winna być sposób zrozumiała dla osób przetwarzających dane osobowe ; co ma zrobić w przypadku podejrzenia zagrożenia dla poufności danych, np. gdy widzi, że dane w formie papierowej są zabezpieczone niewłaściwie lub podejrzewa, że ktoś może mieć nieuprawniony dostęp do danych w systemie informatycznym. Należy określić procedury postępowania na każdym etapie: osoby, która zauważyła problem, osoby która podejmuje działania prewencyjne i wyjaśniające oraz kierownika jednostki organizacyjnej działającego w imieniu ADO. Poniżej przedstawiam tabele opisującą przykładową zagrożenia oraz sposoby postępowania w przypadku naruszenia bezpieczeństwa:
Tabela form naruszenia ochrony danych osobowych przez osoby zatrudnione przy przetwarzaniu danych
| FORMY NARUSZEŃ | SPOSOBY POSTĘPOWANIA |
| W ZAKRESIE WIEDZY | |
| Ujawnianie sposobu działania aplikacji i systemu oraz jej zabezpieczeń osobom niepowołanym. | Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić administratora bezpieczeństwa informacji. |
| Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej. | |
| Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji. | |
| W ZAKRESIE SPRZĘTU I OPROGRAMOWANIA | |
| Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. | Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport |
| Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. | Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Sporządzić raport. |
| Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych lub sieci. | Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. |
| Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych osobom nieuprawnionym. | Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. |
| Samodzielne instalowanie jakiegokolwiek oprogramowania. | Pouczyć osobę popełniającą wymienioną czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Sporządzić raport. |
| Modyfikowanie parametrów systemu i aplikacji. | Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Sporządzić raport. |
| Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. | Pouczyć osobę popełniającą wymienioną czynność o szkodliwości takiego działania. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Sporządzić raport. |
| W ZAKRESIE DOKUMENTÓW I OBRAZÓW ZAWIERAJĄCYCH DANE OSOBOWE | |
| Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru. | Zabezpieczyć dokumenty. Sporządzić raport. |
| Przechowywanie dokumentów niewłaściwie zabezpieczonych przed dostępem osób niepowołanych. | Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń. Sporządzić raport. |
| Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. | Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Sporządzić raport. |
| Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią. | Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport. |
| Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. | Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane – sporządzić raport |
| Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą. | Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. |
| Utrata kontroli nad kopią danych osobowych. | Podjąć próbę odzyskania kopii. Powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. |
| W ZAKRESIE POMIESZCZEŃ I INFRASTRUKTURY SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH | |
| Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. | Zabezpieczyć pomieszczenie. Powiadomić przełożonych. Sporządzić raport. |
| Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym. | Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić przełożonych i administratora bezpieczeństwa informacji. Sporządzić raport. |
| Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. | Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport. |
| W ZAKRESIE POMIESZCZEŃ W KTÓRYCH ZNAJDUJĄ SIĘ KOMPUTERY CENTRALNE I URZĄDZENIA SIECI | |
| Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.). | Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport. |
| Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych. | Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport. |
Tabela zjawisk świadczących o możliwości naruszenia ochrony danych osobowych
| FORMY NARUSZEŃ | SPOSOBY POSTĘPOWANIA |
| Ślady manipulacji przy układach sieci komputerowej lub komputerach. | Powiadomić niezwłocznie administratora bezpieczeństwa informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. |
| Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu. | Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. |
| Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych. | |
| Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych. | |
| Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania. | |
| Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe. | Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie administratora bezpieczeństwa informacji. Sporządzić raport. |
W przypadku wystąpienia naruszenia sporządza się raport z naruszenia bezpieczeństwa zasad ochrony danych osobowych:
RAPORT
z naruszenia bezpieczeństwa zasad ochrony danych osobowych
w ……………………………………………………………………………….
- Data: ……………………. Godzina: …………………………………
(dd.mm.rr) (gg:mm)
- Osoba powiadamiająca o zaistniałym zdarzeniu:
………………………………………………………..…………………………………………………………………………………………………..
(imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje)
- Lokalizacja zdarzenia:
………………………………………………………..…………………………………………………………………………………………………..
(np. nr pokoju, nazwa pomieszczenia)
- Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:
………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..
- Przyczyny wystąpienia zdarzenia:
………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..
- Podjęte działania:
………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..
- Postępowanie wyjaśniające:
………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..
Data i podpis Administratora Danych
……………………………………………………….