Procedura postępowania w przypadku naruszenia ochrony danych osobowych

PROCEDURA NA WYPADEK WYSTĄPIENIA NARUSZEŃ

MOGĄCYCH POWODOWAĆ WYSOKIE RYZYKO

NARUSZENIA PRAW I WOLNOŚCI OSÓB

§1

1. Celem niniejszej „Procedury na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób” (dalej: Procedura) jest określenie sposobu postępowania w przypadku naruszenia ochrony danych osobowych, które może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane przez Firma "Przykładowa Spółka z o.o." w ul. Kwiatowa 12, 00-000 Warszawa (dalej: ADO).

2. Procedura reguluje pozyskiwanie wiadomości o naruszeniach ochrony danych osobowych oraz sposób realizacji obowiązków określonych w art. 33 i 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO).

3. W każdym przypadku gdy Procedura odwołuje się do inspektora ochrony danych osobowych ustanowionego u ADO (dalej: IOD) a IOD nie został ustanowiony lub jest niedostępny, obowiązki i uprawnienia IOD są wykonywane przez zarząd ADO.

§2

1. Każdy kto poweźmie informację o ryzyku naruszenia lub naruszeniu ochrony danych osobowych przetwarzanych przez ADO (dalej: Incydent) powinien niezwłocznie:

a. przekazać tą informację do inspektora ochrony danych ustanowionego w ADO lub dowolnemu członkowi zarządu ADO;

b. podjąć czynności konieczne do powstrzymania lub ograniczenia skutków naruszenia ochrony danych osobowych;

c. zabezpieczyć dowody w celu późniejszego ustalenia przyczyn i skutków naruszenia ochrony danych osobowych;

d. powstrzymać się w miarę możliwości od działań, które mogą zakłócić lub uniemożliwić poznanie przyczyn i skutków naruszenia ochrony danych osobowych.

2. Nieuzasadnione zaniechanie wykonania obowiązków, o którym mowa w ust. 1, przez pracownika ADO, może stanowić ciężkie naruszenie obowiązków pracowniczych i wywoływać konsekwencje określone w Kodeksie pracy a także skutkować pociągnięciem pracownika do odpowiedzialności karnej zgodnie z przepisami prawa powszechnie obowiązującego oraz do odpowiedzialności odszkodowawczej względem pracodawcy.

§3

1. IOD jest zobowiązany zweryfikować każde zgłoszenie Incydentu pod kątem jego prawdziwości oraz stopnia ryzyka naruszenia praw lub wolności osób fizycznych.

2. IOD powinien w szczególność stwierdzić:

a. na czym Incydent polega;

b. czy doszło do naruszenia bezpieczeństwa przetwarzania danych osobowych;

c. jakie dane osobowe i w jakim zakresie zostały zniszczone, utracone, zmodyfikowane, upublicznione lub pozyskane z nielegalnych źródeł;

d. czy i jakie działania zaradcze są możliwe i celowe do przeprowadzenia oraz w jakim horyzoncie czasowym;

e. w jakim zakresie możliwe jest kontynuowanie przetwarzania danych osobowych w sposób umożliwiający kontynuowanie działalności ADO.

3. W przypadku stwierdzenia zaistnienia Incydentu IOD jest zobowiązany do niezwłocznego zarejestrowania Incydentu w rejestrze naruszeń ochrony danych osobowych.

4. Każdy pracownik ADO jest zobowiązany w ramach swoich kompetencji udzielić IOD niezbędnej pomocy w zakresie, o którym mowa w ust. 1 i 2. IOD współpracuje w szczególności z administratorem systemu informatycznego oraz może korzystać z pomocy zewnętrznych specjalistów.

§4

1. W przypadku gdy w ocenie IOD Incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych w stopniu wyższym niż mało prawdopodobny, IOD zawiadamia ADO niezwłocznie o Incydencie.

2. ADO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza Incydent Prezesowi Urzędu Ochrony Danych Osobowych (dalej: PUODO), przekazując PUODO informacje, o których mowa w art. 33 ust. 3 RODO. W przypadku przekazania zgłoszenia po upływie 72 godzin ADO informuje PUODO dodatkowo o przyczynach opóźnienia.

§5

1. W przypadku gdy w ocenie IOD Incydent skutkował wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, IOD niezależnie od swoich obowiązków określonych w §4 zawiadamia ADO o wysokim ryzyku naruszenia praw i wolności osób fizycznych. Wraz z zawiadomieniem IOD informuje ADO czy w jego opinii zachodzi jeden z wyjątków, o których mowa w art. 34 ust. 3 RODO lub w przepisach szczególnych, o których mowa w art. 23 ust. 1 RODO.

2. ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o Incydencie w zakresie w jakim Incydent dotyczy danych osobowych tej osoby, chyba że zachodzi wyjątek, o którym mowa w art. 34 ust. 3 RODO lub w przepisach szczególnych, o których mowa w art. 23 ust. 1 RODO.

§6

W przypadku zaistnienia Incydentu zarząd ADO lub osoby imiennie przez zarząd ADO upoważnione, są wyłącznie uprawnione do kontaktu z Prezesem Urzędu Ochrony Danych Osobowych w sprawach związanych z Incydentem.