Procedura zarządzania incydentami bezpieczeństwa danych osobowych
- Prawo
dane
- Kategoria
instrukcja
- Instrukcja
Należy rozpocząć od uzupełnienia nazwy dokumentu, wpisując "Procedura zarządzania incydentami bezpieczeństwa danych osobowych". W całym dokumencie należy zastąpić placeholder [DANE] konkretnym rodzajem danych, których dotyczy procedura, np. "dane osobowe", "dane klientów", "dane pracowników". Placeholder [FIRMA] należy zastąpić pełną nazwą firmy. W sekcji I.6 należy wymienić przykłady naruszeń zasad ochrony danych, zastępując placeholdery [PRZYKŁAD NARUSZENIA] konkretnymi przykładami. W sekcji II należy określić stanowiska odpowiedzialne za zarządzanie incydentami, zastępując placeholdery [STANOWISKO] nazwami stanowisk, np. "Administrator Bezpieczeństwa Informacji", "Inspektor Ochrony Danych", "Kierownik Działu IT". W punkcie II.4 i II.5 należy określić rolę firmy w stosunku do danych, zastępując placeholdery [PODMIOT] słowami "administrator" lub "procesor". W sekcji III.2 należy określić rodzaje skutków incydentów, zastępując placeholdery [RODZAJ SKUTKÓW] konkretnymi rodzajami skutków, np. "finansowe", "reputacyjne", "prawne". Następnie należy podać przykłady skutków incydentów, zastępując placeholdery [PRZYKŁAD SKUTKU]. W sekcji III.3 należy określić kryteria oceny ryzyka incydentu, zastępując placeholdery [KRYTERIUM]. W sekcji III.4 należy podać przykłady incydentów o wysokim prawdopodobieństwie naruszenia praw lub wolności, zastępując placeholdery [PRZYKŁAD]. W sekcji III.6 i III.12 należy uzupełnić numery załączników. W sekcji III.7 należy określić działania podejmowane po zakończeniu badania incydentu, zastępując placeholdery [DZIAŁANIE]. W sekcji III.8 należy określić rekomendacje wydawane po zakończeniu badania incydentu, zastępując placeholdery [REKOMENDACJA]. W sekcji III.11 należy określić informacje zawarte w rejestrze incydentów, zastępując placeholdery [INFORMACJA]. W sekcji IV należy uzupełnić placeholder [URZĄD] nazwą urzędu, do którego należy zgłaszać incydenty, np. "Prezes Urzędu Ochrony Danych Osobowych". W punktach IV.1, IV.3 i IV.6 należy uzupełnić treść dotyczącą zgłoszenia incydentu do urzędu, zastępując placeholder [TREŚĆ]. W punkcie IV.2 należy określić wymagania dotyczące zgłoszenia, zastępując placeholdery [WYMAGANIE]. W punkcie IV.4 należy określić sposób zgłoszenia, zastępując placeholder [SPOSÓB]. W punkcie IV.5 należy uzupełnić nazwę dokumentu i numer załącznika, zastępując placeholdery [DOKUMENT] i [NUMER]. W sekcji V należy uzupełnić treść dotyczącą zgłoszenia incydentu osobom, których dane dotyczą, zastępując placeholdery [TREŚĆ]. W punkcie V.3 należy określić informacje zawarte w zawiadomieniu, zastępując placeholdery [INFORMACJA]. W sekcji VI należy uzupełnić postanowienia końcowe, zastępując placeholder [TREŚĆ].
- Dane
dane, dokument, działanie, firma, informacja, kryterium, numer, podmiot, przykład, przykład naruszenia, przykład skutku, rekomendacja, rodzaj skutków, sposób, stanowisko, treść, urząd, wymaganie
Procedura zarządzania incydentami bezpieczeństwa danych osobowych skupia się na definiowaniu i postępowaniu w przypadku naruszeń ochrony danych oraz ocenie ryzyka incydentów. Dokument określa procedury zgłaszania incydentów do organów i osób odpowiedzialnych, a także zawiera rekomendacje i wymogi dotyczące rejestracji incydentów. Jest to istotny dokument dla zapewnienia bezpieczeństwa danych osobowych.
[NAZWA DOKUMENTU]
I. Definicja naruszenia ochrony [DANYCH]
1. Incydentem bezpieczeństwa [DANYCH], czyli naruszeniem ochrony [DANYCH] jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do [DANYCH] przesyłanych, przechowywanych lub w inny sposób przetwarzanych, np. zagrożenie lub domniemanie nieuprawnionego ujawnienia [DANYCH], nieautoryzowany dostęp do [DANYCH], niedozwolone: skopiowanie, modyfikacja, zniszczenie, utrata, nieprawidłowe wykorzystanie lub kradzież [DANYCH].
2. Incydenty bezpieczeństwa [DANYCH] dzieli się na:
1) naruszenia poufności – nieuprawnione lub przypadkowe ujawnienie lub udostępnienie [DANYCH],
2) naruszenia integralności – nieuprawniona lub przypadkowa modyfikacja [DANYCH],
3) naruszenie dostępności – przypadkowa lub nieuprawiona utrata dostępu do [DANYCH] lub ich zniszczenie.
3. Zniszczeniem [DANYCH] jest sytuacja, w której [DANE] przestają istnieć lub przestają istnieć w formie nadającej się do użytku przez [FIRMĘ].
4. Utratą [DANYCH] jest sytuacja, w której [DANE] mogą nadal istnieć, ale [FIRMA] utraciła kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu.
5. Uszkodzenie [DANYCH] to sytuacja, w której [DANE] uległy zmianie czy zepsuciu lub stały się niekompletne.
6. Naruszeniem zasad ochrony [DANYCH] jest m.in.:
1) [PRZYKŁAD NARUSZENIA],
2) [PRZYKŁAD NARUSZENIA],
3) [PRZYKŁAD NARUSZENIA],
4) [PRZYKŁAD NARUSZENIA],
5) [PRZYKŁAD NARUSZENIA],
6) [PRZYKŁAD NARUSZENIA],
7) [PRZYKŁAD NARUSZENIA],
8) [PRZYKŁAD NARUSZENIA],
9) [PRZYKŁAD NARUSZENIA],
10) [PRZYKŁAD NARUSZENIA].
II. Postępowanie w przypadku zaistnienia incydentu bezpieczeństwa [DANYCH]
1. W przypadku stwierdzenia incydentu bezpieczeństwa [DANYCH] lub podejrzenia jego wystąpienia, każdy [STANOWISKO], osoba upoważniona oraz każda osoba jest obowiązana do niezwłocznego zawiadomienia o tym [STANOWISKO] lub [STANOWISKO].
2. [STANOWISKO] może poinformować o incydencie bezpieczeństwa lub uzasadnionym podejrzeniu, że doszło do incydentu bezpieczeństwa, swojego [STANOWISKO]. Wówczas [STANOWISKO] niezwłocznie przekazuje wszystkie niezbędne informacje [STANOWISKO] lub [STANOWISKO].
3. Po uzyskaniu informacji o incydencie bezpieczeństwa lub prawdopodobieństwie jego zajścia, [STANOWISKO] niezwłocznie podejmuje wszystkie niezbędne działania mające na celu ustalenie wszystkich okoliczności zdarzenia, jego przyczyny i możliwych skutków oraz informuje o swoich ustaleniach [FIRMĘ], a jeżeli w [FIRMA] został[a] powołany[a] [STANOWISKO] – informuje [STANOWISKO].
4. Jeżeli naruszenie dotyczy [DANYCH], wobec których [FIRMA] jest [PODMIOT], [FIRMA] niezwłocznie informuje o tym [PODMIOT], który powierzył [FIRMA] przetwarzanie tych [DANYCH].
5. Jeżeli naruszenie dotyczy [DANYCH], wobec których [FIRMA] jest [PODMIOT], [STANOWISKO] przystępuje do oceny prawdopodobieństwa naruszenia praw lub wolności osób, których [DANE] dotyczą.
III. Ocena prawdopodobieństwa naruszenia praw lub wolności osób, których [DANE] dotyczą
1. [STANOWISKO] dokonuje oceny ryzyka incydentu bezpieczeństwa, tj. oceny, czy:
1) jest mało prawdopodobne, aby doszło do naruszenia praw i wolności osób fizycznych;
2) zachodzi wysokie ryzyko naruszenia praw i wolności osób fizycznych;
3) zachodzi jedna lub więcej okoliczności wyłączających obowiązek poinformowania osób, których dane osobowe dotyczą.
2. Skutki incydentu bezpieczeństwa [DANYCH] mogą być [RODZAJ SKUTKÓW], [RODZAJ SKUTKÓW] lub [RODZAJ SKUTKÓW] i mogą obejmować:
1) [PRZYKŁAD SKUTKU],
2) [PRZYKŁAD SKUTKU],
3) [PRZYKŁAD SKUTKU],
4) [PRZYKŁAD SKUTKU],
5) [PRZYKŁAD SKUTKU],
6) [PRZYKŁAD SKUTKU],
7) [PRZYKŁAD SKUTKU],
8) [PRZYKŁAD SKUTKU],
9) [PRZYKŁAD SKUTKU].
3. [STANOWISKO] dokonuje oceny ryzyka incydentu bezpieczeństwa [DANYCH] na podstawie:
1) [KRYTERIUM],
2) [KRYTERIUM].
4. [FIRMA] przyjmuje, że zachodzi wysokie prawdopodobieństwo naruszenia praw lub wolności osób, których [DANE] dotyczą, jeżeli incydent bezpieczeństwa dotyczy:
1) [PRZYKŁAD],
2) [PRZYKŁAD],
3) [PRZYKŁAD],
4) [PRZYKŁAD],
5) [PRZYKŁAD],
6) [PRZYKŁAD],
7) [PRZYKŁAD].
5. Po dokonaniu oceny ryzyka incydentu bezpieczeństwa [STANOWISKO] wydaje rekomendację dotyczącą poinformowania [URZĄD] oraz osób, których [DANE] dotyczą.
6. Przykłady incydentów bezpieczeństwa [DANYCH] wraz z przykładową oceną, czy należy zgłosić incydent [URZĄD] lub osobom, których [DANE] dotyczą, stanowi załącznik [NUMER] do [NAZWA DOKUMENTU].
7. Po zakończeniu badania incydentu bezpieczeństwa [STANOWISKO] podejmuje wszystkie niezbędne czynności mające na celu:
1) [DZIAŁANIE],
2) [DZIAŁANIE].
8. Po zakończeniu badania incydentu bezpieczeństwa [STANOWISKO] wydaje rekomendacje w zakresie:
1) [REKOMENDACJA],
2) [REKOMENDACJA].
9. Jeżeli w [FIRMA] nie został[a] powołany[a] [STANOWISKO], rekomendacje, o których mowa w ustępie powyżej, wydaje [STANOWISKO].
10. [STANOWISKO] prowadzi rejestr incydentów bezpieczeństwa [DANYCH], w którym odnotowuje wszystkie naruszenia oraz podejrzenia naruszeń.
11. Rejestr incydentów zawiera co najmniej:
1) [INFORMACJA],
2) [INFORMACJA],
3) [INFORMACJA],
4) [INFORMACJA].
12. Wzór rejestru incydentów stanowi załącznik [NUMER] do [NAZWA DOKUMENTU].
IV. Zgłoszenie incydentu bezpieczeństwa [DANYCH] do [URZĄD]
1. [TREŚĆ].
2. Zgłoszenie do [URZĄD] musi co najmniej:
1) [WYMAGANIE],
2) [WYMAGANIE],
3) [WYMAGANIE],
4) [WYMAGANIE].
3. [TREŚĆ].
4. Zgłoszenia dokonuje się [SPOSÓB].
5. Wzór [DOKUMENT] stanowi załącznik [NUMER] do [NAZWA DOKUMENTU].
6. [TREŚĆ].
V. Zgłoszenie incydentu bezpieczeństwa [DANYCH] osobom, których [DANE] dotyczą
1. [TREŚĆ].
2. [TREŚĆ].
3. Zawiadomienie osób, których [DANE] dotyczą, odbywa się zgodnie z zasadą przejrzystości i zawiera co najmniej:
1) [INFORMACJA],
2) [INFORMACJA],
3) [INFORMACJA],
4) [INFORMACJA],
5) [INFORMACJA].
4. [TREŚĆ].
5. [TREŚĆ].
6. [TREŚĆ].
7. [TREŚĆ].
VI. Postanowienia końcowe
[TREŚĆ]
Procedura zarządzania incydentami bezpieczeństwa danych osobowych obejmuje definicje naruszeń, postępowanie w przypadku incydentów, ocenę ryzyka oraz zgłoszenia do organów i osób odpowiedzialnych. Dokument zawiera także wymogi dotyczące rejestrowania incydentów i zawiera postanowienia końcowe dotyczące całego procesu zarządzania incydentami bezpieczeństwa danych osobowych.