Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

Prawo

dane

Kategoria

instrukcja

Instrukcja

W sekcji 'Cel i zakres obowiązywania instrukcji' należy uzupełnić datę i numer oraz sygnaturę RODO. W sekcji 'Definicje' należy wpisać pełną nazwę firmy oraz określić stanowisko lub opisać role ASI, IOD i SODO. W sekcji 'Naruszenie ochrony danych osobowych i klasyfikacja naruszeń' należy opisać klasyfikację naruszeń, określając kryteria i przykłady dla naruszeń poufności, integralności i dostępności danych. W sekcji 'Procedury postępowania w sytuacji naruszenia ochrony danych osobowych' w paragrafie pierwszym 'Działania wewnętrzne' należy określić sposób zgłoszenia naruszenia, termin zgłoszenia, ewentualne dodatkowe informacje w przypadku systemu informatycznego oraz informacje dla przełożonego. Należy również określić dane osoby zgłaszającej, dane kontaktowe osoby zgłaszającej, informacje o firmie, wymagane informacje o naruszeniu oraz ewentualne dodatkowe informacje. Należy opisać sposób uzupełniania zgłoszenia oraz obowiązki pracowników w przypadku naruszenia. Należy opisać działania SODO po uzyskaniu informacji oraz w przypadku potwierdzenia naruszenia. Należy uwzględnić informacje o podmiocie przetwarzającym, informacje dla IOD, ewentualne działania w przypadku systemu informatycznego, ewentualny zespół reagowania, ewentualną informację dla innych firm oraz ewentualną delegację czynności. W paragrafie drugim 'Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu' należy określić warunki zgłoszenia do organu nadzorczego, termin zgłoszenia, wymagania zgłoszenia, wzór zgłoszenia oraz formularz zgłoszeniowy. W paragrafie trzecim 'Notyfikacja osób, których dane dotyczą, o naruszeniu ochrony danych osobowych' należy określić warunki notyfikacji osób, termin i wymagania notyfikacji, wzór zawiadomienia, wyjątki od obowiązku notyfikacji oraz ewentualne żądanie organu nadzorczego. W paragrafie czwartym 'Dokumentacja naruszeń ochrony danych osobowych' należy opisać rejestr naruszeń, wymagania dotyczące dokumentacji oraz uzgodnienia z IOD. W sekcji 'Postanowienia końcowe' należy określić procedurę zmian instrukcji oraz datę wejścia w życie instrukcji.

Dane

dane kontaktowe osoby zgłaszającej, dane osoby zgłaszającej, data, data wejścia w życie, dodatkowe informacje w przypadku systemu informatycznego, działania sodo po uzyskaniu informacji, działania sodo w przypadku potwierdzenia naruszenia, firma, formularz zgłoszeniowy, informacja iod, informacja o podmiocie przetwarzającym, informacja przełożonego, informacje o firmie, informacje o uzupełnianiu zgłoszenia, numer, obowiązki pracowników, okres, opcja: delegacja czynności, opcja: dodatkowe informacje, opcja: działania w przypadku systemu informatycznego, opcja: informacja innych firm, opcja: zespół reagowania, opis klasyfikacji naruszeń, rejestr naruszeń, sposób zgłoszenia, stanowisko/opis asi, stanowisko/opis iod, stanowisko/opis sodo, sygnatura, termin i wymagania notyfikacji, termin zgłoszenia, uzgodnienia z iod, warunki notyfikacji osób, warunki zgłoszenia do organu nadzorczego, wyjątki od obowiązku notyfikacji, wymagane informacje, wymagania dotyczące dokumentacji, wymagania zgłoszenia, wzór zawiadomienia, wzór zgłoszenia, zmiany instrukcji, żądanie organu nadzorczego

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych definiuje zasady postępowania w przypadku naruszeń bezpieczeństwa danych osobowych zgodnie z obowiązującym rozporządzeniem UE. Określa procedury alarmowania, działania pracowników oraz notyfikację organów nadzorczych i osób dotkniętych naruszeniem. Zapewnienie zgodności z przepisami prawnymi oraz ochrona poufności i integralności danych są głównymi celami dokumentu.

Nazwa: Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

I. Cel i zakres obowiązywania instrukcji

1. Niniejszą instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych wprowadza się w celu zapewnienia prawidłowej realizacji obowiązków wynikających z art. 33 i 34 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia [DATA] w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy [NUMER] ([SYGNATURA]).

2. Zasady i procedury określone w niniejszej instrukcji obowiązują wszystkich pracowników zatrudnionych w [FIRMA] oraz wszelkie inne osoby mające dostęp do danych przetwarzanych przez [FIRMA] na podstawie udzielonych im upoważnień.

II. Definicje

Przez użyte w niniejszej instrukcji określenia należy rozumieć:

1) Administrator – [FIRMA];

2) ASI (Administrator Systemu Informatycznego) – [STANOWISKO/OPIS];

3) Instrukcja – niniejsza instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych;

4) IOD (Inspektor Ochrony Danych) – wyznaczony przez Administratora inspektor ochrony danych;

5) Pracownicy – osoby zatrudnione przez Administratora oraz osoby mające dostęp do danych przetwarzanych przez Administratora na podstawie udzielonych im upoważnień;

6) Rozporządzenie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia [DATA] w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy [NUMER] ([SYGNATURA]);

7) SODO (Specjalista ds. ochrony danych osobowych) – [STANOWISKO/OPIS].

III. Naruszenie ochrony danych osobowych i klasyfikacja naruszeń

1. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

2. Stwierdzone naruszenie ochrony danych osobowych może zostać zakwalifikowane jako:

    a) naruszenie dotyczące poufności danych,

    b) naruszenie dotyczące integralności danych,

    c) naruszenie dotyczące dostępności danych.

[OPIS KLASYFIKACJI NARUSZEŃ]

IV. Procedury postępowania w sytuacji naruszenia ochrony danych osobowych

§1 Działania wewnętrzne

1. Każdy pracownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych („zdarzenie”) zobowiązany jest do niezwłocznego zgłoszenia takiego zdarzenia SODO. Zgłoszenia dokonuje się [SPOSÓB ZGŁOSZENIA].

2. Zgłoszenie zdarzenia dokonywane jest nie później niż w terminie [OKRES] od momentu stwierdzenia naruszenia ochrony danych osobowych lub powzięcia podejrzenia o naruszeniu ochrony danych osobowych.

3. [OPCJA: DODATKOWE INFORMACJE W PRZYPADKU SYSTEMU INFORMATYCZNEGO]

4. [OPCJA: INFORMACJA PRZEŁOŻONEGO]

5. Zgłoszenie, o którym mowa w punkcie 1, musi zawierać:

    a) [DANE OSOBY ZGŁASZAJĄCEJ]

    b) [DANE KONTAKTOWE OSOBY ZGŁASZAJĄCEJ]

    c) [INFORMACJE O FIRMIE]

    d) opis charakteru i okoliczności naruszenia ochrony danych osobowych, w tym w miarę możliwości: [WYMAGANE INFORMACJE]

    e) [OPCJA: DODATKOWE INFORMACJE]

[INFORMACJE O UZUPEŁNIANIU ZGŁOSZENIA]

6. W przypadku zaistnienia zdarzenia, o którym mowa w ust. 1, pracownicy Administratora zobowiązani są do:

    1) [OBOWIĄZKI PRACOWNIKÓW]

7. [DZIAŁANIA SODO PO UZYSKANIU INFORMACJI]

8. [DZIAŁANIA SODO W PRZYPADKU POTWIERDZENIA NARUSZENIA]

9. [INFORMACJA O PODMIOCIE PRZETWARZAJĄCYM]

10. [INFORMACJA IOD]

11. [OPCJA: DZIAŁANIA W PRZYPADKU SYSTEMU INFORMATYCZNEGO]

12. [OPCJA: ZESPÓŁ REAGOWANIA]

13. [OPCJA: INFORMACJA INNYCH FIRM]

14. [OPCJA: DELEGACJA CZYNNOŚCI]

§2 Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

1. [WARUNKI ZGŁOSZENIA DO ORGANU NADZORCZEGO]

2. [TERMIN ZGŁOSZENIA]

3. [WYMAGANIA ZGŁOSZENIA]

4. [WZÓR ZGŁOSZENIA]

5. [FORMULARZ ZGŁOSZENIOWY]

§3 Notyfikacja osób, których dane dotyczą, o naruszeniu ochrony danych osobowych

1. [WARUNKI NOTYFIKACJI OSÓB]

2. [TERMIN I WYMAGANIA NOTYFIKACJI]

3. [WZÓR ZAWIADOMIENIA]

4. [WYJĄTKI OD OBOWIĄZKU NOTYFIKACJI]

5. [ŻĄDANIE ORGANU NADZORCZEGO]

§4 Dokumentacja naruszeń ochrony danych osobowych

1. [REJESTR NARUSZEŃ]

2. [WYMAGANIA DOTYCZĄCE DOKUMENTACJI]

3. [UZGODNIENIA Z IOD]

§5 Postanowienia końcowe

1. [ZMIANY INSTRUKCJI]

2. [DATA WEJŚCIA W ŻYCIE]

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych szczegółowo reguluje postępowanie w przypadku naruszeń bezpieczeństwa danych osobowych. Zapewnia skuteczną reakcję na wykryte incydenty oraz świadczy o odpowiedzialnym podejściu do ochrony danych osobowych, w zgodzie z obowiązującymi przepisami prawa.