Reklama
Kup subskrypcję
Kup subskrypcję
OFERTA SPECJALNA na NAJWYŻSZY pakiet subskrypcji! Wersję Platinum - OFERTA LIMITOWANA
Sprawdzam
Transformacja organizacyjna
Magazyn (Nr 4, kwiecień 2020)
Polska flaga

Inspektor Ochrony Danych w centrum cyberataku

1 kwietnia 2020 7 min czytania
Odsłuchaj
Pobierz PDF
Inspektor Ochrony Danych w centrum cyberataku

Streszczenie: Incydenty związane z cyberatakami, takie jak phishing, stają się coraz powszechniejsze, a ich skutki mogą prowadzić do poważnych naruszeń ochrony danych osobowych. Jednym z kluczowych elementów zarządzania ryzykiem związanym z takimi incydentami jest inspektor ochrony danych (IOD), który pełni rolę doradcy odpowiedzialnego za zapewnienie zgodności procesów przetwarzania danych z regulacjami, takimi jak RODO. W przypadku cyberataków, IOD ma kluczowe zadanie w ocenie ryzyka oraz w podejmowaniu decyzji o zgłoszeniu incydentu do Urzędu Ochrony Danych Osobowych (UODO) i informowaniu osób, których dane zostały naruszone. Firmy powinny zapewnić IOD odpowiednie zasoby, takie jak szybka ścieżka kontaktu oraz integracja w procesy związane z przetwarzaniem danych, aby skutecznie reagować na zagrożenia.

Pokaż więcej

Partnerem materiału jest Umano.

Zapowiada się miły, piątkowy wieczór, pracownik odpowiedzialny za prowadzenie instagramowego konta firmy otrzymuje nagle wiadomość. W treści maila widnieje ostrzeżenie – Facebook (właściciel Instagrama) zablokuje konto w ciągu 24 godzin z uwagi na naruszenie praw autorskich. Ale jest jeszcze szansa na „ratunek”, ponieważ w wiadomości załączono również link, za pomocą którego można się skontaktować z centrum pomocy Facebooka.

„Przecież za chwilę mam umieścić informację o corocznym konkursie!” – przypomina sobie wystraszony adresat. Klika więc w zamieszczony link i podaje dane do logowania (rzekomo wymagane w celu potwierdzenia autentyczności zapytania). Chwilę później zalogowanie się do firmowego konta nie jest już w ogóle możliwe, a na zdjęciu profilowym nie widnieje już firmowy logotyp, a obrazek wrzucony przez złodzieja…

Złapani na cyfrową wędkę

Trzy najczęściej występujące typy incydentów w polskim internecie to phishing, dystrybucja złośliwego oprogramowania i spam. Jak wynika z ostatniego raportu rocznego CERT Polska*, phishing stanowił ok. 44 proc. wszystkich incydentów. W 2018 roku CERT otrzymał łącznie aż 77 536 zgłoszeń z nim związanych.

Utrata danych uwierzytelniających najczęściej oznacza również naruszenie bezpieczeństwa w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Każdy taki incydent należy ocenić pod kątem ewentualnego ryzyka naruszenia praw i wolności osób, których dane dotyczą.

Dane mogą zostać na przykład sprzedane firmom marketingowym, narażając ofiary na potop niechcianych wiadomości typu spam. Mogą też zostać wykorzystane do kradzieży tożsamości, a przez to np. do wyłudzenia.

Inspektor ochrony danych – na ratunek

Właściwa ocena incydentu pod kątem naruszenia RODO wymaga odpowiedniej wiedzy i umiejętności. Czy incydent należy zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Czy należy poinformować o zdarzeniu klientów firmy? Jakie kryteria należy zastosować, by ocenić poziom ryzyka dla naszych klientów?

Odpowiedzi na te pytania powinien znać inspektor ochrony danych (IOD). To fachowy doradca, który wspiera firmę w zapewnianiu zgodności wszystkich procesów przetwarzania danych z RODO oraz z innymi przepisami o ochronie danych. W niektórych przypadkach wyznaczenie IOD jest obowiązkowe – muszą go posiadać m.in. podmioty publiczne. Niemniej jednak wszystkie firmy powinny rozważyć zapewnienie wsparcia swoich procesów przez IOD. To także element budowania pozytywnego przekazu do klientów: „Twoje dane osobowe są u nas bezpieczne”.

Jak przygotować firmę na IOD?

Aby inspektor ochrony danych mógł wykonywać swoje zadania właściwie i rzeczywiście wspierać firmę w codziennym zapewnianiu zgodności działań z RODO i radzeniu sobie w przypadku wystąpienia cyberataków, firma powinna zadbać, by:

  • właściwie zakomunikować wszystkim pracownikom, że w zespole znajduje się osoba odpowiedzialna za ochronę danych – tak aby zatrudniony, który padł ofiarą phishingu, wiedział, że należy o tym incydencie poinformować IOD;

  • zapewnić szybką ścieżkę kontaktu z IOD. Na ocenę zdarzenia i ewentualne poinformowanie UODO firma ma jedynie 72 godziny. Każde opóźnienie w komunikacji może narazić firmę na złamanie przepisów RODO w tym zakresie;

  • włączać IOD we wszystkie procesy związane z przetwarzaniem danych – tak by miał wiedzę potrzebną do skutecznego doradzania firmie;

  • odpowiednio umieścić IOD w strukturze firmy. RODO wymaga, by IOD podległy był bezpośrednio najwyższemu kierownictwu i miał z nim szybki kontakt. Dzięki temu jego zdanie i opinie będą skutecznie przekładać się na ochronę danych i właściwą reakcję w sytuacjach kryzysowych.

Zegar tyka nieubłaganie…

Czego szef powinien wymagać od inspektora ochrony danych w trakcie wspomnianych 72 godzin od stwierdzenia incydentu? Przede wszystkim koordynowania skutecznej i szybkiej analizy zdarzenia.

Dobrze przygotowany do pełnienia swojej funkcji IOD powinien znać wytyczne Urzędu Ochrony Danych Osobowych, Europejskiej Rady Ochrony Danych oraz Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), gdzie dostępne są praktyczne wskazówki dotyczące tego, jakie kryteria należy brać pod uwagę, szacując ryzyko związane z incydentem.
Tak krótki czas reakcji na cyberincydent oznacza również konieczność stworzenia szybkiej ścieżki kontaktu inspektora ochrony danych z działem IT firmy. Właściwa ocena naruszenia nie będzie możliwa bez fachowej wiedzy specjalistów od bezpieczeństwa teleinformatycznego.

Profilaktyka zawsze lepsza niż leczenie

Czy mogliśmy ustrzec się przed tym incydentem? To pytanie pada niemal zawsze, kiedy firma stanie się ofiarą cyberataku. I rzeczywiście inspektor ochrony danych powinien również w tym przypadku odegrać swoją rolę – pomagać zapobiegać, a nie tylko leczyć.

Standardem na rynku jest obecnie uwzględnianie tematyki phishingowej w programie szkoleń, za które odpowiada inspektor ochrony danych. Nie wystarczy jednak jednokrotna realizacja takiego szkolenia. Budowanie świadomości dbania przez pracowników o dane osobowe to proces ciągły. Jest to tym ważniejsze, że według statystyk zdecydowana większość naruszeń w firmie ma swój początek właśnie w nieintencjonalnym błędzie zatrudnionego.

Reakcja po incydencie powinna również wiązać się z koniecznością dokonania przeglądu stosowanych zabezpieczeń i wdrożenia niezbędnych środków technicznych mających na celu wyeliminowanie podobnych zdarzeń w przyszłości. Wśród nich wskazuje się przede wszystkim na konieczność stosowania weryfikacji dwuetapowej dla logowania w aplikacjach i portalach społecznościowych.

Krajobraz po bitwie

Zarząd, inspektor ochrony danych, dział IT – czy jeszcze ktoś uczestniczy w tej wielkiej grze o cyberbezpieczeństwo? Tak – są to osoby odpowiedzialne za firmowy PR. Wystąpienie incydentu ochrony danych często wiąże się z określonymi stratami wizerunkowymi firmy – głównie w branżach, które przetwarzają dane szczególnie istotne dla klientów, takich jak finanse czy sektor medyczny.

Budowanie odpowiednich komunikatów to zadanie trudne. Muszą one z jednej strony budować zaufanie do firmy, ale również zapewnić klientom odpowiednie wsparcie w zakresie minimalizacji skutków takiego incydentu dla nich samych.

Jak czytamy na stronach UODO, phishing jest kradzieżą tożsamości i o ile sprawca dokonuje tej kradzieży z zamiarem wyrządzenia szkody, to w Polsce jest ona przestępstwem. Dlatego też w każdym przypadku zidentyfikowania takiego ataku na firmę dobrą praktyką jest informowanie o zdarzeniu policji oraz CERT Polska.

Accountability

To nieprzetłumaczalne angielskie słowo oznacza w RODO rozliczalność. W praktyce oznacza, że wszelkie działania związane z przetwarzaniem danych powinny być odpowiednio dokumentowane. Pracownik zgłasza incydent do inspektora ochrony danych na formularzu wdrożonym wcześniej firmie, a IOD współdziała z kierownictwem oraz osobami odpowiedzialnymi zgodnie z przyjętą wcześniej procedurą. Wszystko po to, by na żądanie organu nadzorczego prezes firmy mógł wykazać i udowodnić, że zrobiono wszystko, aby zapewnić zgodność podejmowanych działań z RODO. Tym samym zmniejszyć lub całkowicie wyeliminować groźbę otrzymania kary pieniężnej. A kary za naruszenie RODO sięgają nawet 20 mln euro, ale to już całkiem inna opowieść…

Autorem tekstu jest Paweł Makowski, wiceprezes JAMANO – firmy doradczej zapewniającej obsługę prawną i wsparcie biznesowe (w tym z zakresu ochrony danych osobowych).

  • CERT Polska (Computer Emergency Response Team) to działający od 1996 r. zespół reagowania na incydenty związane z bezpieczeństwem w sieci. Podlega państwowemu NASK, a jego zadaniem jest m.in. rejestrowanie zdarzeń zagrażających użytkownikom internetu oraz reagowanie w uzasadnionych przypadkach.

Tematy
Transformacja organizacyjna AI SZTUCZNA INTELIGENCJA Cyberbezpieczeństwo Struktura organizacyjna Zarządzanie i przywództwo IT Zarządzanie kryzysowe
Spis treści
  1. Złapani na cyfrową wędkę
  2. Inspektor ochrony danych – na ratunek
  3. Jak przygotować firmę na IOD?
  4. Zegar tyka nieubłaganie…
  5. Profilaktyka zawsze lepsza niż leczenie
  6. Krajobraz po bitwie
  7. Accountability

Może Cię zainteresować

Praca zdalna i hybrydowa
Wideokonferencje i nowoczesne biuro: jak technologia i przestrzeń tworzą nowy standard współpracy. CZĘŚĆ II

Jak wybrać kabinę akustyczną do pracy hybrydowej, by spotkania online były naprawdę efektywne? W drugiej części cyklu pokazujemy checklistę decyzji, typowe błędy oraz technologie Jabra, które zapewniają widoczność i świetny dźwięk.

Materiał Partnera Bene, Materiał Partnera JABRA Gn 16 stycznia 2026
Praca zdalna i hybrydowa
Wideokonferencje i nowoczesne biuro: jak technologia i przestrzeń tworzą nowy standard współpracy. CZĘŚĆ I

Wideokonferencje nie działają „same z siebie”. O jakości spotkań hybrydowych decyduje widoczność, dźwięk i przestrzeń, która wspiera koncentrację. Sprawdź, jak technologia Jabra i kabiny akustyczne Bene tworzą nowy standard współpracy.

Materiał Partnera Bene, Materiał Partnera JABRA Gn 16 stycznia 2026
Etyka w biznesie
Niektórzy wcale nie ciepią na wypalenie. Są wyczerpani etycznie

Wypalenie zawodowe jest powszechnym zjawiskiem wśród osób pracujących pod nieustanną presją. Ale nie zawsze jest to właściwa diagnoza. Gdy ludzie są wyczerpani pracą, która wydaje się pusta lub niespójna z ich wartościami, problemem nie jest brak wytrzymałości. Problemem jest brak sensu. Dopóki organizacje nie będą gotowe skonfrontować się z tym rozróżnieniem, będą nadal leczyć niewłaściwy problem i dziwić się, że nic się nie zmienia.

 

Benjamin Laker 16 stycznia 2026
ZARZĄDZANIE
Poradnik CEO: Jak radzić sobie z trudnymi członkami rad nadzorczych

Prezesi i dyrektorzy zarządzający (CEO) nie unikną kontaktu z trudnymi osobowościami w radach nadzorczych, ale mogą nauczyć się mitygować wyzwania, jakie te postaci stwarzają. Kluczem do sukcesu jest odróżnienie problemów personalnych od wadliwych procesów, współpraca z kluczowymi sojusznikami oraz konsekwentne wzmacnianie relacji w celu budowania wartości biznesowej.

Lucy Nottingham 15 stycznia 2026
AI SZTUCZNA INTELIGENCJA
AI w polskiej medycynie: lepsza diagnostyka vs. ryzyko utraty kompetencji

Polskie szpitale i uczelnie medyczne coraz śmielej korzystają z możliwości sztucznej inteligencji – od precyzyjnej diagnostyki onkologicznej w Tychach, po zaawansowane systemy wizyjne rozwijane na AGH. Algorytmy stają się „drugim okiem” lekarza, istotnie zwiększając wykrywalność zmian nowotworowych. Jednak za technologiczną euforią kryje się ryzyko nazywane „lenistwem poznawczym” – lekarze wspierani przez AI tracą biegłość w samodzielnej diagnozie.

Paweł Kubisiak 14 stycznia 2026
Zarządzanie sobą
Puste przeprosiny w pracy, czyli więcej szkody niż pożytku

Większość menedżerów uważa, że szczere wyznanie winy zamyka temat błędu. Tymczasem w środowisku zawodowym puste deklaracje skruchy działają gorzej niż ich brak – budują kulturę nieufności i wypalają zespoły. Jeśli po Twoim „przepraszam” następuje „ale”, właśnie wysłałeś sygnał, że nie zamierzasz nic zmieniać.

Jim Detert 13 stycznia 2026
AI SZTUCZNA INTELIGENCJA
Dlaczego 95% wdrożeń AI kończy się porażką? I jak znaleźć 5% tych udanych?

Sztuczna inteligencja nie jest dziś wyzwaniem technologicznym, lecz testem dojrzałości organizacyjnej. W rozmowie z Tomaszem Kostrząbem AI jawi się nie jako cel sam w sobie, ale jako narzędzie głębokiej transformacji procesów, ról i sposobu myślenia liderów. Tekst pokazuje, dlaczego większość wdrożeń AI kończy się porażką, gdzie firmy popełniają kluczowe błędy oraz jak połączyć technologię z ludźmi i biznesem, by osiągnąć realną wartość.

Paulina Kostro, Tomasz Kostrząb 13 stycznia 2026
zarządzanie szybkim wzrostem firmy
ZARZĄDZANIE
Jak radzić sobie z szybkim wzrostem

Szybki wzrost organizacji niesie ze sobą wyzwania związane z podziałami między wczesnymi członkami zespołu a nowo przyjętymi pracownikami. Kluczem do sukcesu jest budowanie wspólnego języka, tożsamości oraz kultury sprzeciwu, które pomagają skutecznie integrować różnorodne zespoły i wykorzystywać potencjał różnorodności.

Meir Shemla, Jacques Kemp 12 stycznia 2026
Analityka i Business Intelligence
Od czego zacząć porządkowanie analityki internetowej?

Chaotyczna analityka internetowa prowadzi do błędnych decyzji i nieefektywnego wydatkowania budżetów marketingowych. Audyt danych, właściwa konfiguracja GA4, zarządzanie zgodami oraz centralizacja tagów w Google Tag Managerze to fundamenty, od których należy zacząć porządkowanie analityki, aby realnie wspierała cele biznesowe.

9 stycznia 2026
AI SZTUCZNA INTELIGENCJA
Pięć trendów w AI i Big Data na rok 2026

Rok 2026 w świecie AI zapowiada się jako czas wielkiej weryfikacji. Eksperci MIT SMR stawiają sprawę jasno: indywidualne korzystanie z Copilota to za mało. Przyszłość należy do firm, które potrafią skalować rozwiązania dzięki „fabrykom AI” i przygotowują się na nadejście autonomicznych agentów. Dowiedz się, dlaczego deflacja bańki AI może być dla Twojego biznesu szansą na oddech i lepszą strategię.

Thomas H. Davenport, Randy Bean 9 stycznia 2026
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!