Na podstawie decyzji Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO), poniżej znajduje się kompleksowy wykaz żądań i pytań, jakie organ kierował do kontrolowanych administratorów oraz podmiotów przetwarzających w toku postępowań wyjaśniających. Wykaz został sporządzony na podstawie decyzji wydanych w związku ze zgłoszonym lub stwierdzonym naruszeniem ochrony danych (czyli nie - w wyniku "rutynowej" kontroli). 

Zestawienie to zostało podzielone na obszary tematyczne i sformułowane w formie praktycznej checklisty (przed)kontrolnej, która pozwoli administratorowi rzetelnie przygotować się do ewentualnej inspekcji organu nadzorczego.

Dokumentacja i specyfikacja incydentu

W sytuacji, gdy kontrola jest następstwem zgłoszonego naruszenia (np. ataku ransomware lub zgubienia nośnika danych), organ szczegółowo bada sam przebieg zdarzenia:

• jak konkretnie doszło do incydentu (np. czy przyczyną było otworzenie złośliwego pliku/linku przez pracownika, czy bezpośrednie przełamanie zabezpieczeń serwera);
• wskazanie konkretnej luki w zabezpieczeniach (np. błędy w plikach konfiguracyjnych, brak aktualizacji bazy wirusów, otwarty i niezabezpieczony port natywny protokołu RDP);
• podanie specyfikacji technicznej (np. rozszerzenia plików po zaszyfrowaniu) oraz dostarczenie pełnej treści komunikatów od przestępców (np. plików tekstowych/RTF z instrukcją opłacenia okupu);
• szczegółowy wykaz danych i dokumentów, które znajdowały się na zaszyfrowanym serwerze lub zgubionym nośniku oraz faktyczna, ostateczna liczba osób dotkniętych naruszeniem;
• dowody na brak naruszenia poufności (wycieku danych): przedstawienie wyników analiz logów sieciowych i systemowych potwierdzających, że dane zostały jedynie zaszyfrowane/utracone, a nie pobrane przez osoby nieuprawnione (np. informacje od operatora telekomunikacyjnego o braku zwiększonego ruchu wychodzącego);
• przedłożenie wyjaśnień, czy czy skradzione/naruszone bazy danych były skutecznie zabezpieczone kryptograficznie (szyfrowane) na wypadek uzyskania do nich dostępu przez osoby trzecie;
• informacja, czy incydent raportowano do CSIRT NASK / CERT Polska celem analizy złośliwego oprogramowania wraz z kopią całości korespondencji.

Szacowanie ryzyka i zarządzanie podatnościami

Organ nadzorczy skrupulatnie weryfikuje realizację podejścia opartego na ryzyku (risk-based approach):

• kopie analiz ryzyka: przedłożenie dokumentacji przeprowadzonych analiz ryzyka dla procesów przetwarzania danych (w tym prowadzonych przy użyciu systemów IT lub nośników zewnętrznych) sporządzonych przed oraz po wystąpieniu naruszenia;
• przedstawienie rzetelnej ewaluacji wpływu incydentu na prawa lub wolności osób fizycznych, stanowiącej podstawę do oceny wagi naruszenia (szczególnie w przypadkach, gdy administrator pierwotnie uznał, że ryzyko nie jest wysokie);
• dowody na to, że analiza ryzyka jest procesem ciągłym i dynamicznym, uwzględniającym np. ryzyko zainstalowania złośliwego oprogramowania, brak wsparcia technicznego producenta dla systemów operacyjnych czy błędy w odtwarzaniu kopii zapasowych.

Procedury techniczne i organizacyjne (polityki bezpieczeństwa)

Kontrolerzy UODO zażądają mapy wdrożonych zabezpieczeń technicznych oraz organizacyjnych:

• przedłożenie polityk prywatności, procedur zarządzania cyberbezpieczeństwem, instrukcji zarządzania systemami informatycznymi oraz ewentualnych rejestrów aktywów IT;
• regularne testowanie, mierzenie i ocenianie skuteczności środków bezpieczeństwa: przedstawienie twardych, pisemnych dowodów i raportów z cyklicznych weryfikacji i audytów systemów (np. testów penetracyjnych, skanów podatności, audytów czystego biurka/pomieszczeń po godzinach pracy);
• procedury zarządzania zmianami w IT: przedłożenie dokumentacji określającej zasady bezpiecznego wdrażania nowych systemów, programów czy migracji baz danych (np. wymóg tworzenia środowisk testowych przed wdrożeniem produkcyjnym);
• zarządzanie uprawnieniami: charakterystyka i wykaz uprawnień pracowników na stacjach roboczych (np. wykaz kont standardowych i administracyjnych) wraz z uzasadnieniem nadawania uprawnień pozwalających na wyłączenie ochrony antywirusowej;
• zasady korzystania z przenośnych pamięci (pendrive): udostępnienie procedur użytkowania zewnętrznych nośników, ewidencji nośników autoryzowanych przez dział IT oraz wdrożonych instrukcji ich obowiązkowego szyfrowania (w tym np. weryfikacja skuteczności udostępnianych pracownikom materiałów instruktażowych);
• wsparcie techniczne systemów: wykaz oprogramowania systemowego i serwerowego eksploatowanego w organizacji wraz z potwierdzeniem posiadania aktywnego wsparcia producenta i regularnego pobierania aktualizacji zabezpieczeń.

Polityka tworzenia i testowania kopii zapasowych (backup)

Wydajność systemów odtwarzania danych po awarii lub ataku to stały punkt zainteresowania organu:

• procedura tworzenia kopii zapasowych: przedłożenie szczegółowych zasad, harmonogramu i metodologii wykonywania backupów (zarówno przed, jak i po incydencie);
• dowody testowania backupów: przedstawienie dokumentacji (np. notatek, raportów) potwierdzających przeprowadzanie regularnych, próbnych odtworzeń danych z kopii zapasowych na innych urządzeniach w celu weryfikacji ich przydatności;
• wskaźniki skuteczności odtworzenia: informacja o faktycznym czasie odzyskiwania dostępności danych po incydencie oraz o tym, czy wszystkie dane udało się bezpowrotnie odtworzyć we własnym zakresie (bez posiłkowania się zasobami podmiotów trzecich).

Nadzór nad podmiotami przetwarzającymi

Jeżeli jako administrator korzystasz z usług firm zewnętrznych (np. wsparcie IT, hosting), musisz udowodnić kontrolę nad nimi:

• umowy powierzenia: przedłożenie kompletnych umów powierzenia wraz z załącznikami precyzyjnie określającymi cele, zakres, operacje oraz rodzaje powierzonych danych osobowych;
• dowody na weryfikację procesora przed zawarciem umowy: przedstawienie udokumentowanego procesu oceny, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków (np. analizy ankiet bezpieczeństwa, weryfikacja certyfikatów ISO/IEC 27001, statusów partnerskich);
• realizacja prawa do audytu u procesora: wykazanie, czy administrator korzystał z uprawnienia do przeprowadzania inspekcji/audytów w strukturach procesora w oparciu o art. 28 ust. 3 lit. h RODO przed wystąpieniem naruszenia (jeśli tak – przedstawienie protokołów i rekomendacji pokontrolnych).

Szkolenia personelu i budowanie świadomości

Pracownicy wg organu nadzoru stanowią kluczowy element bezpieczeństwa organizacyjnego systemu ochrony danych:

• dowody na realizację szkoleń: przedłożenie nazw, dokładnych dat, programu, list obecności oraz przykładowych certyfikatów ze szkoleń dla pracowników z zakresu przepisów o ochronie danych osobowych, cyberbezpieczeństwa oraz phishingu;
• częstotliwość i formy budowania świadomości: opis metod i regularności informowania personelu o potencjalnych zagrożeniach w sieci i zasadach bezpiecznego korzystania ze sprzętu służbowego;
• rozliczalność personelu: przedłożenie podpisanych przez pracowników oświadczeń o zapoznaniu się z procedurami bezpieczeństwa i zobowiązań do zachowania danych w tajemnicy.

Komunikacja z osobami, których dane dotyczą

Jeśli incydent wygenerował (zdaniem organu) wysokie ryzyko dla praw i wolności osób fizycznych, organ zbada jakość powiadomień:

• treść i forma zawiadomień: przedłożenie treści komunikatów skierowanych bezpośrednio do osób poszkodowanych wraz z weryfikacją, czy zawierały one wszystkie obowiązkowe elementy (dane kontaktowe IOD/punktu kontaktowego, opis konsekwencji, środki zaradcze i prewencyjne);
• dowody realizacji obowiązku: przedstawienie potwierdzeń wysyłki zawiadomień (np. dowody nadania listów poleconych, logi z wysyłek e-mail) oraz dowodów na podjęcie działań minimalizujących szkodę dla tych osób (np. sfinansowanie raportów ochrony tożsamości/BIK).

Informacje organizacyjne i finansowe podmiotu

W celu zbadania kontekstu struktury i wielkości podmiotu (pod kątem naliczenia kar finansowych), organ żąda udostępnienia:

• opis struktury organizacyjnej: podanie specyfikacji techniczno-kadrowej, tj. liczby stacji roboczych, organizacji pracy (np. praca stacjonarna/zdalna) oraz dokładnej liczby personelu obsługującego sprzęt;
• sprawozdania finansowe: przedstawienie rocznego sprawozdania finansowego lub oficjalnego oświadczenia zarządu dotyczącego całkowitego rocznego obrotu i przychodu za wskazane przez organ poprzednie lata obrotowe.