Procedura powiadamiania organów ścigania w przypadku naruszenia ochrony danych osobowych o charakterze przestępczym

Procedura powiadamiania organów ścigania w przypadku ujawnienia zdarzeń o charakterze przestępczym związanych z naruszeniem ochrony danych osobowych

I. Wprowadzenie

1. Procedura określa zasady postępowania w przypadku stwierdzenia, że naruszenie ochrony danych osobowych stanowi zdarzenie o charakterze przestępczym.

2. Procedura stanowi integralną część Polityki ochrony danych oraz Procedury postępowania w przypadku naruszenia ochrony danych osobowych. Obowiązujące w niej określenia, są tożsame z tymi, które są stosowane we wskazanych dokumentach.

II Ocena charakteru naruszenia w kontekście możliwości naruszenia przepisów prawa

1. Inspektor Ochrony Danych dokonująca zgłoszenia naruszenia, przekazuje administratorowi wszelkie informacje związane z tym naruszeniem, w tym dokonuje wstępnej oceny charakteru naruszenia w zakresie możliwości uznania, że stanowiło działanie o charakterze przestępczym.

2. Na ocenę charakteru naruszenia, nie ma wpływu, czy jest to naruszenie zamierzone, czy nie zamierzone, ani to czy jest to naruszenie o charakterze wewnętrznym lub zewnętrznym.

3. Zespół ds. Bezpieczeństwa Informacji wyznaczony do oceny ryzyka naruszenia oraz postępowania wyjaśniającego naruszenie, dokonuje oceny charakteru naruszenia, uwzględniając:

1. Intencje osoby lub osób, które doprowadziły do naruszenia;

2. Skutki naruszenia dla osób, których dane dotyczą,

3. Skutki naruszenia dla firmy "XYZ Sp. z o.o." administratora;

4. Spełnienie przesłanek popełnienia czynu zabronionego, o których mowa w art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych;

5. Obowiązki administratora wynikające z RODO w związku z naruszeniem, w szczególności obowiązek zawiadomienia organów ścigania.

4. Naruszeniami ochrony danych osobowych, które uznaje się za zdarzenia o charakterze przestępczym będą w szczególności:

1. Kradzież danych osobowych lub laptopów z danymi osobowymi;

2. Umyślne usunięcie lub zniszczenie danych osobowych;

3. Zaszyfrowanie danych osobowych na skutek działania oprogramowania ransomware;

4. Podszywanie się pod Prezesa Zarządu lub Dyrektora IT w celu wyłudzenia danych;

5. Umyślne zniszczenie serwerów, na których przetwarzane są dane osobowe;

6. Umyślne wykorzystanie danych osobowych klientów/pracowników w celu dokonania oszustwa na ich dane;

7. Żądanie okupu za wykradzione lub zaszyfrowane dane osobowe;

8. Grożenie administratorowi usunięciem/kradzieżą/zniszczeniem danych osobowych;

9. Sprzedaż danych innym podmiotom.

5. Przykłady wskazane w punkcie wcześniejszym nie stanowią katalogu zamkniętego.

6. W przypadku stwierdzenia, że naruszenie ma charakter przestępczy, należy niezwłocznie powiadomić o tym administratora oraz sporządzić Raport z dokonanej oceny charakteru naruszenia.

III Zgłoszenie zdarzenia do organów ścigania

1. Decyzję o zgłoszeniu naruszenia do organów ścigania dokonuje administrator lub osoba przez niego w tym zakresie upoważniona.

2. Administrator powinien dokonać zgłoszenia niezwłocznie, gdyż czas reakcji może mieć istotny wpływ na możliwość podjęcia skutecznych działań przez organy ścigania.

3. Informację o zawiadomieniu organów ścigania należy udokumentować i przechowywać wraz z innymi informacjami dokumentującymi naruszenie ochrony danych.

4. Zawiadomienie organów ścigania o naruszeniu, pozostaje bez wpływu na obowiązki administratora, związane ze zgłoszeniem naruszenia, wynikające z art. 33 RODO.

5. W przypadku zawiadomienia organów ścigania o naruszeniu, należy poinformować o tym Prezesa Urzędu Ochrony Danych Osobowych. Jeżeli zgłoszenie naruszenia zostało przekazane przed zawiadomieniem organów ścigania, należy przesłać kopię zawiadomienia.

6. Administrator postępuje zgodnie z wytycznymi organów ścigania i współpracuje z nimi, w szczególności w zakresie udzielania lub wstrzymania udzielania informacji o naruszeniu, w tym wstrzymania zawiadamiania lub ograniczenia zawiadamiania osób, których dotyczy naruszenie, jeżeli takie działanie może mieć wpływ na prowadzone postępowanie.