Powiadomienie o naruszeniu zabezpieczeń danych w ramach przepisów RODO

Dowiedz się, jak firma Microsoft wykrywa i reaguje na naruszenie zabezpieczeń danych osobowych oraz powiadamia Cię w ramach przepisów RODO.

Przepisy RODO określają wymagania dotyczące powiadomienia dla administratorów danych i podmiotów przetwarzających dane w przypadku naruszenia bezpieczeństwa danych osobowych. W poniższych informacjach omówiono te postanowienia, a przede wszystkim sposób zapobiegania naruszeniom firmy Microsoft, sposób wykrywania naruszenia firmy Microsoft oraz sposób, w jaki firma Microsoft reaguje w przypadku naruszenia i powiadamia Cię jako administratora danych.


Dokumentacja naruszenia bezpieczeństwa danych dla usług online

Microsoft Professional Services

Narzędzia administracyjne

Ustaw kontakt w sprawie ochrony prywatności w swojej organizacji. Administratorzy dzierżawy mogą za pomocą portalu administracyjnego usługi Azure Active Directory zdefiniować kontakt w sprawie ochrony prywatności w ich organizacji na wypadek, gdyby firma Microsoft będzie musiała się z nimi skontaktować.

Powiadomienie o naruszeniu — często zadawane pytania

Poniżej znajdują się ważne pytania i odpowiedzi dotyczące powiadomienia o naruszeniu:
|

Dane osobowe oznaczają wszelkie informacje związane z określoną osobą, które mogą zostać użyte do jej bezpośredniej lub pośredniej identyfikacji. Naruszenie zabezpieczeń danych osobowych to „naruszenie zabezpieczeń prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub uzyskania dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób”.

W przypadku naruszenia danych osobowych, które najprawdopodobniej spowoduje duże zagrożenie dla praw i swobód osób (takich jak dyskryminacja, kradzież tożsamości, oszustwo, straty finansowe lub utratę ich reputacji) przepisy RODO wymagają, aby:
  • Powiadomić odpowiedni urząd ds. ochrony danych w ciągu 72 godzin od chwili uzyskania o tym informacji — na przykład gdy firma Microsoft Cię o tym powiadomi. Jeśli nie powiadomisz urzędu ds. ochrony danych w ciągu tego czasu, musisz wyjaśnić urzędowi dlaczego. To powiadomienie urzędu ds. ochrony danych jest wymagane nawet, gdy istniejące zagrożenie dla osób najprawdopodobniej nie pociągnie za sobą krytycznych skutków.
  • Bez zbędnej zwłoki powiadomić podmioty danych o naruszeniu.
  • Udokumentować naruszenie łącznie z istotą naruszenia — na przykład liczbę objętych osób, liczbę objętych rekordów, konsekwencje naruszenia i wszystkie działania naprawcze proponowane lub podjęte przez Twoją organizację.

Gdy dowiemy się o naruszeniu danych osobowych, przepisy RODO wymagają od nas powiadomienia Cię bez zbędnej zwłoki. Gdy firma Microsoft jest podmiotem przetwarzającym dane, nasze zobowiązania odzwierciedlają zarówno wymagania RODO, jak i nasze standardowe, ogólnoświatowe zobowiązania umowne. Uważamy, że wszystkie potwierdzone naruszenia zabezpieczeń danych osobowych nas dotyczą i że nie ma progu ryzyka szkody. Powiadomimy naszych klientów, czy naruszenie zabezpieczeń danych dotyczyło bezpośrednio firmy Microsoft, czy też któregokolwiek z podległych nam podmiotów przetwarzających dane. Mamy wdrożone procesy pozwalające szybko zidentyfikować incydenty bezpieczeństwa i skontaktować się ze wskazanym w Twojej organizacji zajmującym się nimi personelem. Ponadto wszystkie podległe podmioty przetwarzające dane są kontraktowo zobowiązane do zgłaszania własnych naruszeń firmie Microsoft oraz zapewniania gwarancji w tej kwestii.

Wszystkie nasze usługi i cały personel przestrzegają wewnętrznych procedur zarządzania incydentami, aby przede wszystkim zapewnić, że podjęliśmy odpowiednie środki zaradcze w celu uniknięcia naruszeń zabezpieczeń danych. Jednak usługi online mają dodatkowo wbudowane specjalne mechanizmy kontroli zabezpieczeń na wszystkich naszych platformach w celu wykrywania naruszeń zabezpieczeń danych w tych rzadkich przypadkach, gdy one występują.

Aby zapewnić Ci wsparcie w przypadku naruszenia zabezpieczeń danych osobowych, firma Microsoft dysponuje:
  • Personelem zajmującym się bezpieczeństwem przeszkolonym w przestrzeganiu specjalnych procedur.
  • Wbudowanymi zasadami, procedurami i mechanizmami kontroli w celu zapewnienia, że firma Microsoft utrzymuje szczegółowe rejestry. Obejmuje to dokumentację, w której są rejestrowane fakty wystąpienia incydentów, ich skutki i działania naprawcze, jak również śledzenie i przechowywanie informacji w naszych systemach zarządzania incydentami.

Firma Microsoft ma wbudowane zasady i procedury zapewniające szybkie powiadomienie Cię. Aby spełnić wymagania powiadomienia urzędu ds. danych osobowych, zapewnimy opis procesu używanego do ustalania, czy nastąpiło naruszenie zabezpieczeń danych osobowych, opisy istoty naruszenia oraz opis środków podjętych w celu ograniczenia naruszenia.