Lista kontrolna zglaszania naruszen danych osobowych dla founderow i liderow compliance

Zglaszanie naruszen danych osobowych dziala najlepiej, gdy zespol szybko przechodzi od niepewnosci do udokumentowanej decyzji. Lista jest praktyczna: potwierdzic, czy chodzi o dane osobowe, otworzyc rekord oceny, przypisac decydentow, ocenic ryzyko dla osob, zdecydowac o zgloszeniu do organu lub komunikacji z osobami, zabezpieczyc dowody i prowadzic remediation do zamkniecia.

Zgodnie z art. 33 RODO administrator zglasza naruszenie wlasciwemu organowi bez zbednej zwloki i, jezeli to mozliwe, w ciagu 72 godzin od stwierdzenia naruszenia, chyba ze jest malo prawdopodobne, aby skutkowalo ono ryzykiem dla praw i wolnosci osob. Art. 34 dodaje komunikacje z osobami, gdy prawdopodobne jest wysokie ryzyko. Podmiot przetwarzajacy informuje administratora bez zbednej zwloki.

Co ta lista ma zapobiec

Wiele problemow zaczyna sie przed sama decyzja o zgloszeniu. Zespol widzi incydent security, ale nie wie, czy byly dane osobowe. Security ogranicza incydent, ale privacy i legal nie maja faktow. Customer success dowiaduje sie o zdarzeniu przed sprawdzeniem obowiazkow kontraktowych. Zarzad pyta o 72 godziny, ale nikt nie zna momentu stwierdzenia naruszenia.

Lista laczy incident response, ocene prywatnosci, obowiazki klientowskie, vendor management i dowody audytowe.

Lista kontrolna

Stosuj ja przy kazdym incydencie security lub data, ktory moze dotyczyc danych osobowych w produkcji, support tools, logach, analityce, CRM, backupach, funkcjach AI, platformach dostawcow, systemach pracowniczych lub datasetach klientow.

1. Otworz rekord oceny

Nie czekaj, az bedzie jasne, czy incydent jest zglaszalny. Rekord sluzy do podjecia tej decyzji. Zapisz tytul, referencje, czas wykrycia, kanal, pierwszego recenzenta, mozliwy moment stwierdzenia, systemy, pierwsze dzialania, ownerow incident, privacy, legal, security i komunikacji, status, otwarte fakty i kolejny przeglad.

2. Potwierdz, czy chodzi o dane osobowe

Definicja RODO obejmuje zniszczenie, utrate, zmiane, nieuprawnione ujawnienie lub dostep do danych osobowych. Dotyczy poufnosci, integralnosci i dostepnosci. Zapytaj, czy dotyczy osob identyfikowalnych, uzytkownikow, pracownikow, leadow, adminow, logow, zalacznikow, eksportow, backupow, analityki lub promptow AI oraz czy dane zostaly ujawnione, zmienione, utracone lub niedostepne.

3. Ustal role firmy

SaaS moze byc administratorem dla danych pracownikow, prospectow, rozliczen, analityki lub kont oraz procesorem dla danych klientow. Dla kazdego datasetu zapisz role, proces lub klienta, umowe lub DPA, termin notyfikacji i osobe decyzyjna.

4. Zbierz minimalne fakty dla art. 33

Zbierz kategorie i przyblizona liczbe osob, kategorie i liczbe rekordow, typy danych, okno czasowe, dostep, pobranie, ujawnienie, zmiane, utrate lub niedostepnosc, status ograniczenia, prawdopodobne konsekwencje i srodki podjete lub planowane.

5. Ocen ryzyko i wysokie ryzyko oddzielnie

Art. 33 i art. 34 maja rozne progi. Ocen wrazliwosc, identyfikowalnosc, powage skutkow, prawdopodobienstwo naduzycia, hasla, dane platnicze, zdrowotne, szczegolne kategorie, dzieci, szyfrowanie, czas trwania, skale i dowody faktycznego dostepu.

6. Zdecyduj, kogo informowac

Oddziel organ, osoby, klientow, dostawcow, ubezpieczyciela, leadership i board. Dla kazdej grupy zapisz obowiazek, podstawe, termin, ownera, aprobate, tresc i follow-up. Dla klientow sprawdz DPA i umowe.

7. Przygotuj pakiet dowodow

Zachowaj timeline, logi, tickety, screenshoty, notatki techniczne, analize zakresu, role, ocene ryzyka, decyzje, akceptacje, kopie notyfikacji, remediation, root cause i usprawnienia kontroli.

8. Zamknij petle

Notyfikacja nie zamyka incydentu. Sprawdz, czy konfiguracje, uprawnienia, kod lub problemy dostawcow sa naprawione, klienci dostali aktualizacje, komunikacja z osobami zostala ponownie oceniona, dowody sa zachowane, a procesy produktowe, security, support i vendor zostaly poprawione.

FAQ

Co zespoly powinny zrozumiec?

Ze zglaszanie naruszen to czasowo wrazliwy workflow z faktami security, ocena prywatnosci, decyzjami prawnymi, obowiazkami klientow, dowodami i remediation.

Kiedy dotyczy zespolow SaaS?

Gdy naruszenie bezpieczenstwa dotyczy danych osobowych przez zniszczenie, utrate, zmiane, nieuprawnione ujawnienie, dostep lub niedostepnosc.

Co dokumentowac najpierw?

Czas wykrycia, mozliwy moment stwierdzenia, systemy i dane, role firmy, containment, ownerow, otwarte fakty i kolejny przeglad.

Zrodla

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.