Procedura ochrony danych osobowych w przypadku klęski żywiołowej

Procedura ochrony danych osobowych w przypadku wystąpienia klęski żywiołowej

Procedura opisuje kolejne czynności podejmowane w celu zapewnienia ochrony danych osobowych zasobów zagrożonych w stanie klęski żywiołowej.

I. Inwentaryzacja zasobów

Wymagane działania:

1. przegląd zasobów i identyfikacja krytycznych (zawierających dane szczególnych kategorii*, 87031254321), dla dokumentacji papierowej i danych przechowywanych na innych nośnikach i sprzęcie;

2. zabezpieczenie dokumentacji i sprzętu, na którym przechowywane są dane osobowe;

3. sporządzenie raportu z przeglądu dokumentacji (wstępny opis stanu dokumentacji, wstępne rekomendacje – odzyskanie danych, przywrócenie, stwierdzenie utraty, zgłoszenie naruszenia).

*[dane szczególnych kategorii: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby]

Wzory: raport z przeglądu dokumentacji

II. Dopuszczenie pomocy zewnętrznej

Wymagane działania:

1. ocena, czy pomoc wymaga dostępu do danych osobowych i podjęcie adekwatnych zabezpieczeń – włączenie w ocenę Inspektora Ochrony Danych;

2. upoważnienie do przetwarzania danych osobowych (jeżeli ma nastąpić dostęp do danych);

3. powierzenie przetwarzania danych osobowych (jeżeli ma nastąpić korzystanie z usługi wymagającej dostępu do danych osobowych), np. suszenie dokumentów;

4. sprawdzenie darowanego sprzętu lub nośników;

5. zebranie oświadczeń od osób, które będą wykonywać działania niewiążące się z dostępem do danych osobowych (zachowanie poufności, przestrzeganie zasad dostępu do pomieszczeń).

Wzory:

- umowa powierzenia przetwarzania danych osobowych – suszenie dokumentów;

- wniosek o dopuszczenie do wykonywania czynności w pomieszczeniach zawierających dane osobowe;

- oświadczenie Jana Kowalskiego związane z ochroną danych osobowych.

III. Przywracanie dokumentacji papierowej

Wymagane działania:

1. sprawdzenie możliwości przywrócenia pierwotnego stanu dokumentacji, zgodnie z raportem z przeglądu dokumentacji;

2. włączenie IOD w przygotowanie lub ocenę umowy;

3. przeprowadzenie weryfikacji Archiwum Dokumentów Sp. z o.o.;

4. zawarcie umowy i jej realizacja, nadzorowanie, analiza stanu dokumentacji po zakończeniu umowy;

5. wpisy w ponownym raporcie z przeglądu dokumentacji;

6. przygotowanie rekomendacji do analizy ryzyka.

Wzory:

- umowa powierzenia przetwarzania danych osobowych – suszenie dokumentów.

IV. Przywracanie danych w systemach informatycznych

Wymagane działania:

1. sprawdzenie możliwości przywrócenia danych z systemów informatycznych lub kopii zapasowych, zgodnie z raportem z przeglądu dokumentacji;

2. dokonanie przywrócenia z kopii zapasowych albo odzyskanie danych od innych Dostawców Chmury (dysponujących kopią dokumentacji);

3. wpisy w ponownym raporcie z przeglądu dokumentacji;

4. przygotowanie rekomendacji do analizy ryzyka.

V. Ponowna weryfikacja

Wymagane działania:

1. sprawdzenie wstępnych zaleceń w raporcie z przeglądu dokumentacji;

2. weryfikacja wykonanych czynności;

3. ostateczna ocena stopnia odzyskania danych osobowych;

4. ustalenie, czy są dane o statucie „utracone”.

VI. Ocena naruszeń

Wymagane działania:

1. sprawdzenie powtórnych zaleceń w raporcie z przeglądu dokumentacji – w zakresie naruszeń i włączenie IOD w dalsze działania;

2. ocena naruszeń;

3. podjęcie działań minimalizujących i przeciwdziałających wystąpieniu naruszeniom w przyszłości;

4. zgłoszenie do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) Nadzoru, jeżeli naruszenie skutkuje ryzykiem naruszenia praw lub wolności;

5. zawiadomienie Osób, których dane dotyczą, jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw i wolności.

VII. Ocena wniosków

Wymagane działania:

1. analiza stanu procedowania wniosków Klientów, których dane dotyczą;

2. ocena, czy dokumentacja wniosków w toku jest kompletna i wystarczająca do ich realizacji;

3. ocena, czy realizacja wniosków może być opóźniona – jeśli tak, zawiadomienie Użytkowników, których dane dotyczą o powodach opóźnienia;

4. jeżeli utracono dane osobowe i uniemożliwia to realizację wniosków – poinformowanie o tym Kandydatów, których dane dotyczą.

Wzór:

- odpowiedź odmowna w sprawie realizacji wniosku.

VIII. Ponowne pozyskanie danych

Wymagane działania:

1. ocena, czy konieczne jest ponowne pozyskanie danych osobowych (np. dane Uczestników są niekompletne);

2. pobranie danych kontaktowych i skontaktowanie się z tymi Osobami;

3. jeśli to potrzebne, można przy tej okazji poprosić o aktualizację danych;

4. spełnienie wobec tych Osób obowiązku informacyjnego.

Wzór:

- klauzula informacyjna (ponowny kontakt).

IX. Aktualizacja analizy ryzyka

1. wprowadzenie zmian do aktualnej analizy ryzyka (dodanie zabezpieczeń, których brak w sytuacji klęski żywiołowej uniemożliwił lub utrudnił zabezpieczenie danych, zmiany mogą dotyczyć np. częstotliwości wykonywania kopii zapasowych, testowania użyteczności wykonanych kopii);

2. wprowadzenie zmian do dokumentacji towarzyszącej.