Jak określić czas naruszenia ochrony danych, aby nie narazić się na zarzut opieszałości przed organem nadzorczym? To pytanie, które spędza sen z powiek administratorom w momencie wykrycia incydentu. W praktyce stosowania RODO ramy czasowe rzadko dają się wyznaczyć z matematyczną precyzją w pierwszej minucie kryzysu. Jako eksperci bezpieczeństwa wiemy, że incydent to proces, a nie pojedyncze, odizolowane zdarzenie. Największym wyzwaniem jest przełożenie skomplikowanej, technicznej rzeczywistości – na przykład ataku hakerskiego czy błędu ludzkiego – na sztywne rubryki oficjalnego formularza. Pamiętajmy, że prawidłowe datowanie to nie tylko formalność, ale deklaracja pokazująca Urzędowi, jak sprawnie działają mechanizmy kontrolne w organizacji. Każda luka między momentem, w którym dane realnie „wyciekły”, a chwilą, w której organizacja to dostrzegła, stanowi dla kontrolerów miarę skuteczności Twoich zabezpieczeń.
Spis treści
Moment zaistnienia a stwierdzenia naruszenia
W analizie eksperckiej kluczowe jest rozgraniczenie dwóch niezależnych od siebie punktów na osi czasu. Pierwszym jest fizyczne zaistnienie incydentu, drugim – moment, w którym organizacja uzyskała świadomość jego wystąpienia.
- Data i czas zaistnienia (perspektywa obiektywna): Jest to faktyczny moment, w którym doszło do incydentu, np. godzina wysłania e-maila do błędnego adresata lub czas przełamania zapory sieciowej przez hakera. W przypadku zdarzeń długotrwałych, takich jak nieuprawniony dostęp do bazy danych trwający wiele tygodni, określa się datę rozpoczęcia oraz – o ile naruszenie ustało – datę jego zakończenia.
- Data stwierdzenia naruszenia (perspektywa subiektywna): Zgodnie z wytycznymi, termin 72 godzin na powiadomienie organu nadzorczego zaczyna biec dopiero od chwili „stwierdzenia” naruszenia. Jest to moment, w którym administrator zyskuje rozsądną pewność, że bezpieczeństwo danych zostało faktycznie naruszone, a nie jedynie powziął podejrzenie o wystąpieniu błędu technicznego.
Czas naruszenia - formularz zgłoszenia naruszenia
Wykrycie naruszenia i powiadomienie organu nadzorczego
Administrator musi wykazać, jak sprawnie działają jego procedury wewnętrzne:
- Data stwierdzenia naruszenia : Wpisz tutaj dokładną datę i godzinę, w której organizacja zyskała pewność, że doszło do naruszenia. To nie musi być moment pierwszego podejrzenia, ale chwila, w której po wstępnej weryfikacji potwierdzono, że incydent dotyczy danych osobowych. Pamiętaj, że od tej minuty zaczyna biec Twój zegar 72 godzin na zgłoszenie.
- Sposób stwierdzenia naruszenia: To pole służy do opisu źródła informacji o incydencie. Może to być wynik cyklicznego przeglądu logów systemowych, zgłoszenie od osoby, której dane dotyczą, lub informacja od pracownika. Wskazanie na automatyczne systemy monitoringu jest przez urząd oceniane wyżej niż przypadkowe wykrycie błędu.
- Powiadomienie przez podmiot przetwarzający: Jeśli naruszenie wystąpiło u procesora (np. w zewnętrznej chmurze), administrator musi wskazać datę, w której otrzymał informację od tego podmiotu. Pozwala to rozgraniczyć odpowiedzialność za ewentualną zwłokę między administratorem a dostawcą usług.
- Powody opóźnienia: To pole wypełnij tylko wtedy, gdy od momentu stwierdzenia naruszenia do teraz minęło więcej niż 72 godziny. Nie pisz ogólników – podaj konkretny powód, np. „konieczność zaangażowania zewnętrznych ekspertów informatyki śledczej do ustalenia zakresu wycieku”.
Czas naruszenia
Ta sekcja służy do opisania przebiegu incydentu, co pozwala urzędowi ocenić, przez jak długi czas dane były narażone na niebezpieczeństwo. Jeśli administrator nie zna dokładnego terminu rozpoczęcia lub zakończenia naruszenia, przepisy i formularz dopuszczają podanie czasu przybliżonego.
- Data i czas zaistnienia/rozpoczęcia naruszenia: Wpisz, kiedy incydent faktycznie się zaczął (np. moment włamania na serwer lub wysłania błędnego maila). Jeśli nie znasz dokładnej minuty, podaj czas przybliżony, np. datę i godzinę logowania hakera widoczną w systemie.
- Data i czas zakończenia naruszenia: Wpisz moment, w którym zagrożenie zostało usunięte (np. zablokowanie konta hakera, zmiana haseł lub odzyskanie zgubionego pendrive’a). Jeśli naruszenie było jednorazowe (jak wysyłka maila), data ta będzie taka sama jak data zaistnienia.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Skutki rozbieżności w ramach czasowych
Wnikliwa analiza czasu naruszenia pozwala organowi nadzorczemu na ocenę tzw. rozliczalności administratora. Zbyt duża rozpiętość między datą zaistnienia naruszenia a datą jego wykrycia (stwierdzenia) jest dla PUODO sygnałem, że w organizacji nie działają adekwatne środki techniczne i organizacyjne.
Jeśli przykładowo wyciek trwał sześć miesięcy, a firma wykryła go dopiero po skardze klienta, organ może uznać, że administrator naruszył ogólne zasady bezpieczeństwa danych, nawet jeśli samo zgłoszenie do urzędu wysłano w ciągu 72 godzin od otrzymania skargi. W takim przypadku odpowiedzialność administratora dotyczy nie tylko incydentu, ale przede wszystkim braku skutecznego systemu monitoringu, co często staje się podstawą do nałożenia wyższej kary administracyjnej.
Podsumowanie
Określając czas naruszenia, administrator powinien opierać się na twardych dowodach: logach systemowych, datach wpłynięcia e-maili czy raportach technicznych od działu IT. Precyzyjne wypełnienie formularza zgłoszenia jest nie tylko obowiązkiem formalnym, ale elementem strategii ochrony interesów prawnych organizacji. Każda data wpisana w formularzu musi znajdować odzwierciedlenie w dokumentacji wewnętrznej, którą urząd może zweryfikować podczas ewentualnej kontroli.
