Wydarzenie w przeszłości

Data breach: plan na pierwsze 72 h

16 stycznia w Izbie upłynął pod znakiem ochrony danych osobowych i ochrony przed cyberprzestępczością. Radosław Nożykowski i Magdalena Kogut-Czarkowska, prawnicy z kancelarii Baker McKenzie oraz Andrzej Bartosiewicz z firmy Thales przeprowadzili seminarium pt. Data breach: Plan na pierwsze 72h.

Naruszenia danych o różnej skali mogą zdarzyć się w każdej organizacji, a dobre wdrożenie RODO i dyrektywy NIS pomagają szybciej wyciek danych wykryć i zareagować. Po pierwsze, po wykryciu incydentu trzeba ocenić jego zakres i wagę – czy będzie się nim zajmować administrator danych osobowych, czy też trzeba powołać zespół? Trzeba pamiętać, że niezależnie czy dany incydent podlega reżimowi NIS czy RODO, czas na reakcję jest bardzo krótki (odpowiednio 24 h lub 72 h), dlatego warto jest wcześniej zbudować taki zespół. Powinien się on składać z osób z 3 obszarów: IT, działu prawnego oraz działu odpowiedzialnego za komunikację. Warto wypracować format współpracy już wcześniej i pamiętać, że podczas gdy IT będzie zabezpieczać system (zbierać logi, sprawdzać i poprawiać aktualne zabezpieczenia i możliwości ich złamania), za zgłoszenie incydentu do UODO odpowiedzialny będzie dział prawny. Już wcześniej dział IT powinien upewnić się, że dział prawny będzie umiał zręcznie opisać zdrożone zabezpieczenia przy zgłaszaniu incydentu do UODO. W zakresie komunikacji konieczne będzie powiadomienie osób, których dane wyciekły. Zespół musi dokładnie zarejestrować bieg wydarzeń po incydencie, spisać raport, a długoterminowo również zrewidować procedury przetwarzania danych oraz zabezpieczenia przed cyberprzestępstwami.

W przypadku korporacji międzynarodowych zdarza się, że dział firmy odpowiedzialny za ochronę danych umieszczony jest w innym kraju, a nawet poza Unią Europejską. Eksperci Baker McKenzie i Thalesa uczulali, że w takim przypadku procesowanie danych klientów w Polsce nadal musi być dopasowane do polskich przepisów, a ewentualna odpowiedzialność spada na członków zarządu polskiej spółki.

Zarówno eksperci, jak i  uczestnicy spotkania zgodzili się, że w ostatnich latach świadomość prawa do ochrony danych bardzo wzrosła, a to, jak są procesowane w danej organizacji odbija się też na wizerunku. Dlatego warto dołożyć wszelkich starań, niezależnie od tego, czy wdrożenia RODO i rozwiązań z zakresu cybersecurity dokonujemy wewnętrznie, czy przy pomocy zewnętrznych eksperów.

Academy
2019-01-16, 09:30

Miejsce: Brytyjsko-Polska Izba Handlowa, ul. Zielna 37, 9 piętro, 00-108 Warszawa
Organizator: BPCC, Baker McKenzie