Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

I. Cel i zakres obowiązywania instrukcji

1. Niniejszą instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych wprowadza się w celu zapewnienia prawidłowej realizacji obowiązków wynikających z art. 33 i 34 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

2. Zasady i procedury określone w niniejszej instrukcji obowiązują wszystkich pracowników zatrudnionych w Cybernetics Sp. z o.o. oraz wszelkie inne osoby mające dostęp do danych przetwarzanych przez Cybernetics Sp. z o.o. na podstawie udzielonych im upoważnień.

II. Definicje

Przez użyte w niniejszej instrukcji określenia należy rozumieć:

1) Administrator – Cybernetics Sp. z o.o.;

2) ASI (Administrator Systemu Informatycznego) – kierownik jednostki organizacyjnej Administratora odpowiedzialnej za zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe;

3) Instrukcja – niniejsza instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych;

4) IOD (Inspektor Ochrony Danych) – wyznaczony przez Administratora inspektor ochrony danych;

5) Pracownicy – osoby zatrudnione przez Administratora oraz osoby mające dostęp do danych przetwarzanych przez Administratora na podstawie udzielonych im upoważnień;

6) Rozporządzenie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO);

7) SODO (Specjalista ds. ochrony danych osobowych) – pracownik Administratora, któremu w ramach obowiązków pracowniczych powierzono nadzór nad przestrzeganiem przepisów z zakresu ochrony danych osobowych, w tym obowiązki związane z notyfikacją naruszeń ochrony danych osobowych.

III. Naruszenie ochrony danych osobowych i klasyfikacja naruszeń

1. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

2. Stwierdzone naruszenie ochrony danych osobowych może zostać zakwalifikowane jako:

a) naruszenie dotyczące poufności danych,

b) naruszenie dotyczące integralności danych,

c) naruszenie dotyczące dostępności danych.

Naruszeniami dotyczącymi poufności danych są naruszenia, w rezultacie których dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub dostępu do danych osobowych. Naruszeniami dotyczącymi integralności danych są naruszenia, w rezultacie których dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych. Naruszeniami dotyczącymi dostępności danych są naruszenia, które skutkują brakiem dostępności danych (brakiem możliwości wykorzystania danych na żądanie, w założonym czasie, przez osobę do tego uprawnioną), w szczególności wynikającego z ich usunięcia lub zniszczenia.

W zależności od okoliczności zdarzenia dane naruszenie może zostać zakwalifikowane do więcej niż jednej z wyróżnionych powyżej kategorii naruszeń ochrony danych osobowych.

IV. Procedury postępowania w sytuacji naruszenia ochrony danych osobowych

§1

Działania wewnętrzne

1. Każdy pracownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych („zdarzenie”) zobowiązany jest do niezwłocznego zgłoszenia takiego zdarzenia SODO. Zgłoszenia dokonuje się drogą elektroniczną na adres e-mail [email protected] lub za pośrednictwem formularza zgłoszeniowego dostępnego na stronie internetowej pod następującym adresem: www.cybernetics.com/rodo („wewnętrzne zgłoszenie naruszenia”).

2. Zgłoszenie zdarzenia dokonywane jest nie później niż w terminie 24 godzin od momentu stwierdzenia naruszenia ochrony danych osobowych lub powzięcia podejrzenia o naruszeniu ochrony danych osobowych.

3. W przypadku, gdy zdarzenie dotyczy przetwarzania danych w systemie informatycznym dodatkowo informuje się ASI, poprzez null

5. Zgłoszenie, o którym mowa w punkcie 1, musi zawierać:

a) Jan i Kowalski osoby zgłaszającej;

b) dane kontaktowe osoby zgłaszającej w postaci [email protected] oraz +48 123 456 789 służbowego;

c) Cybernetics Sp. z o.o., w której zatrudniony jest pracownik;

d) opis charakteru i okoliczności naruszenia ochrony danych osobowych, w tym w miarę możliwości:

– 15.05.2024 i 14:30 zaistnienia naruszenia (jeśli nie są znane można podać czas przybliżony),

– 1 godzina trwania naruszenia (jeśli naruszenie ma/miało charakter ciągły),

– informację czy stan naruszenia nadal zachodzi, opcjonalnie 15.05.2024 i 15:30 zakończenia naruszenia (jeśli nie są znane można podać czas przybliżony),

– serwer A1 naruszenia,

– kategorie osób, których dane dotyczą,

– 100 osób, których mogło dotyczyć naruszenie,

– kategorie danych osobowych, których dotyczy naruszenie,

– 200 wpisów danych osobowych, których dotyczy naruszenie,

– 15.05.2024 14:35 stwierdzenia naruszenia lub powzięcia podejrzenia o naruszeniu (jeśli nie jest możliwym podanie dokładnej daty i godziny należy podać przybliżony czas stwierdzenia naruszenia).

e) jeśli nie opóźni to dokonania zgłoszenia, w miarę możliwość, w zgłoszeniu należy wskazać:

– sposób stwierdzenia naruszenia ochrony danych osobowych (stwierdzenie naruszenia może być skutkiem działań własnych Administratora lub informacji pochodzącej z zewnętrznego źródła),

– opis zaistniałych i możliwych do zaistnienia konsekwencji zdarzenia,

– opis dotychczasowych działań zaradczych i naprawczych podjętych w związku z wystąpieniem zdarzenia (tj. działań w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu usunięcia lub zminimalizowania jego ewentualnych negatywnych skutków).

W przypadku, w którym wewnętrzne zgłoszenie naruszenia nie zawierało, którejś z informacji określonych w punkcie d i e, informacje takie powinny być bez zbędnej zwłoki przekazywane SODO sukcesywnie w toku ich pozyskiwania.

6. W przypadku zaistnienia zdarzenia, o którym mowa w ust. 1, pracownicy Administratora zobowiązani są do:

1) przekazywania wszelkich informacji o zdarzeniu, w szczególności SODO i IOD,

2) podejmowania niezbędnych działań mających na celu zabezpieczenie dowodów związanych ze zdarzeniem,

3) podejmowania stosownych działań naprawczych i zaradczych (tj. działań w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu usunięcia lub zminimalizowania jego ewentualnych negatywnych skutków),

4) uwzględniać wskazania wystosowane przez SODO oraz IOD w związku ze zdarzeniem.

7. Po uzyskaniu informacji, o której mowa w ust. 1, SODO przeprowadza ocenę zgłoszonego zdarzenia, w tym podejmuje niezbędne działania sprawdzające mające na celu wyjaśnienie okoliczności zdarzenia oraz ustalenie, czy doszło do naruszenia ochrony danych osobowych. Ustęp ten ma odpowiednie zastosowanie w przypadku, w którym zdarzenie mogące mieć znamiona naruszenia ochrony danych osobowych zostanie stwierdzone przez SODO lub IOD.

8. W przypadku, gdy zdarzenie nosi znamiona naruszenia ochrony danych osobowych, SODO:

1) weryfikuje charakter oraz wszelkie okoliczności naruszenia ochrony danych osobowych,

2) ustala osoby odpowiedzialne za zaistnienie naruszenia,

3) przeprowadza ocenę istotności zdarzenia, w tym w szczególności pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych,

4) ustala zaistniałe i możliwe konsekwencje naruszenia ochrony danych osobowych;

5) określa i podejmuje odpowiednie działania w celu wyeliminowania lub ograniczenia dostępu osobom nieuprawnionym do danych osobowych – działania te obejmują także skierowanie stosownych wskazań do jednostek organizacyjnych i/lub pracowników;

6) w stosownych przypadkach określa i podejmuje działania w celu usunięcia lub zminimalizowania negatywnych skutków naruszenia – działania te obejmują także skierowanie stosownych wskazań do jednostek organizacyjnych i/lub pracowników;

7) określa i podejmuje działania mające na celu przywrócenie stanu zgodnego z prawem oraz wyeliminowanie możliwości wystąpienia podobnych zdarzeń w przyszłości – działania te obejmują także skierowanie stosownych wskazań do jednostek organizacyjnych i/lub pracowników.

9. W przypadku, w którym dane osobowe przetwarzane są przez Administratora jako podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych SODO bez zbędnej zwłoki zgłasza naruszenie właściwemu administratorowi.

10. SODO informuje IOD o zaistnieniu zdarzenia. Działania SODO określone w ust. 7 i 8 podejmowane są przy współpracy z IOD.

11. Jeśli zdarzenie dotyczy systemu informatycznego działania SODO określn