Procedura postępowania w przypadku naruszenia ochrony danych osobowych
- Prawo
dane
- Kategoria
regulamin
- Instrukcja
Należy rozpocząć od uzupełnienia nazwy dokumentu, wpisując "Procedura postępowania w przypadku naruszenia ochrony danych osobowych". Następnie należy zastąpić placeholder [TREŚĆ] opisem procedury, uwzględniając specyfikę firmy. W paragrafie pierwszym, punkcie pierwszym, należy wpisać nazwę procedury, na przykład "Procedura postępowania w przypadku naruszenia ochrony danych osobowych". W tym samym punkcie należy uzupełnić pełną nazwę firmy oraz jej adres. Należy również ustalić skrót nazwy firmy i umieścić go w odpowiednich miejscach. W punkcie drugim paragrafu pierwszego należy wskazać odpowiedni przepis prawny, np. RODO art. 33 i 34. W punkcie trzecim paragrafu pierwszego należy określić, kto przejmuje obowiązki Inspektora Ochrony Danych Osobowych (IOD), jeśli nie został on ustanowiony lub jest niedostępny. W paragrafie drugim należy określić konsekwencje niezgłoszenia naruszenia ochrony danych osobowych oraz stanowisko/osobę, której te konsekwencje dotyczą. W paragrafie trzecim należy wskazać miejsce rejestracji incydentów, osobę/dział odpowiedzialny za współpracę z IOD oraz ewentualnie dział, z którym IOD będzie współpracował. W paragrafie trzecim, punkcie drugim, podpunkt c, należy doprecyzować, w jaki sposób dane osobowe zostały naruszone (np. udostępnione, zmienione, zniszczone). W paragrafie czwartym należy określić stopień ryzyka naruszenia praw lub wolności osób fizycznych oraz wskazać organ, do którego należy zgłosić incydent, np. PUODO. Należy również wskazać przepis prawny, który określa informacje, jakie należy przekazać organowi. W paragrafie piątym należy wskazać przepis prawny, który określa wyjątki od obowiązku zawiadamiania osoby, której dane dotyczą, o naruszeniu. W paragrafie szóstym należy określić osobę/dział uprawniony do kontaktu z instytucjami w sprawie incydentu.
- Dane
adres, firma, instytucja, konsekwencje, miejsce rejestracji, naruszone, nazwa procedury, organ, osoba/dział, osoba/dział odpowiedzialny, przepis prawny, skrót, skrót iod, stanowisko/osoba, stopień ryzyka
Procedura postępowania w przypadku naruszenia ochrony danych osobowych określa sposób działania w sytuacjach, gdy istnieje ryzyko naruszenia praw osób fizycznych związane z przetwarzaniem danych osobowych przez firmę. Dokument reguluje zgłaszanie incydentów, obowiązki Inspektora Ochrony Danych oraz działania zaradcze.
[NAZWA DOKUMENTU]
[TREŚĆ]
§1
1. Celem niniejszej “[NAZWA PROCEDURY]” (dalej: Procedura) jest określenie sposobu postępowania w przypadku naruszenia ochrony danych osobowych, które może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane przez [FIRMA] w [ADRES] (dalej: [SKRÓT]).
2. Procedura reguluje pozyskiwanie wiadomości o naruszeniach ochrony danych osobowych oraz sposób realizacji obowiązków określonych w [PRZEPIS PRAWNY].
3. W każdym przypadku gdy Procedura odwołuje się do inspektora ochrony danych osobowych ustanowionego u [SKRÓT] (dalej: [SKRÓT IOD]) a [SKRÓT IOD] nie został ustanowiony lub jest niedostępny, obowiązki i uprawnienia [SKRÓT IOD] są wykonywane przez [OSOBA/DZIAŁ ODPOWIEDZIALNY].
§2
1. Każdy kto poweźmie informację o ryzyku naruszenia lub naruszeniu ochrony danych osobowych przetwarzanych przez [SKRÓT] (dalej: Incydent) powinien niezwłocznie:
a. przekazać tą informację do [SKRÓT IOD] lub [OSOBA/DZIAŁ ODPOWIEDZIALNY];
b. podjąć czynności konieczne do powstrzymania lub ograniczenia skutków naruszenia ochrony danych osobowych;
c. zabezpieczyć dowody w celu późniejszego ustalenia przyczyn i skutków naruszenia ochrony danych osobowych;
d. powstrzymać się w miarę możliwości od działań, które mogą zakłócić lub uniemożliwić poznanie przyczyn i skutków naruszenia ochrony danych osobowych.
2. Nieuzasadnione zaniechanie wykonania obowiązków, o którym mowa w ust. 1, przez [STANOWISKO/OSOBA] [SKRÓT], może stanowić [KONSEKWENCJE].
§3
1. [SKRÓT IOD] jest zobowiązany zweryfikować każde zgłoszenie Incydentu pod kątem jego prawdziwości oraz stopnia ryzyka naruszenia praw lub wolności osób fizycznych.
2. [SKRÓT IOD] powinien w szczególności stwierdzić:
a. na czym Incydent polega;
b. czy doszło do naruszenia bezpieczeństwa przetwarzania danych osobowych;
c. jakie dane osobowe i w jakim zakresie zostały [NARUSZONE];
d. czy i jakie działania zaradcze są możliwe i celowe do przeprowadzenia oraz w jakim horyzoncie czasowym;
e. w jakim zakresie możliwe jest kontynuowanie przetwarzania danych osobowych w sposób umożliwiający kontynuowanie działalności [SKRÓT].
3. W przypadku stwierdzenia zaistnienia Incydentu [SKRÓT IOD] jest zobowiązany do niezwłocznego zarejestrowania Incydentu w [MIEJSCE REJESTRACJI].
4. Każdy [STANOWISKO/OSOBA] [SKRÓT] jest zobowiązany w ramach swoich kompetencji udzielić [SKRÓT IOD] niezbędnej pomocy. [SKRÓT IOD] współpracuje w szczególności z [OSOBA/DZIAŁ] oraz może korzystać z pomocy zewnętrznych specjalistów.
§4
1. W przypadku gdy w ocenie [SKRÓT IOD] Incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych w stopniu [STOPIEŃ RYZYKA], [SKRÓT IOD] zawiadamia [SKRÓT] niezwłocznie o Incydencie.
2. [SKRÓT] bez zbędnej zwłoki zgłasza Incydent [ORGAN], przekazując [ORGAN] informacje, o których mowa w [PRZEPIS PRAWNY].
§5
1. W przypadku gdy w ocenie [SKRÓT IOD] Incydent skutkował wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, [SKRÓT IOD] zawiadamia [SKRÓT] o wysokim ryzyku naruszenia praw i wolności osób fizycznych.
2. [SKRÓT] bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o Incydencie, chyba że zachodzi wyjątek, o którym mowa w [PRZEPIS PRAWNY].
§6
W przypadku zaistnienia Incydentu [OSOBA/DZIAŁ] są wyłącznie uprawnione do kontaktu z [INSTYTUCJA] w sprawach związanych z Incydentem.
Procedura precyzuje obowiązki osób zawiadamiających o incydentach oraz procedury zgłaszania i rejestrowania naruszeń. W przypadku wystąpienia wysokiego ryzyka naruszenia praw osób fizycznych, konieczne jest natychmiastowe powiadomienie Inspektora Ochrony Danych oraz organu nadzorczego zgodnie z obowiązującymi przepisami.