……………………… (miejscowość, data) Prezes Urzędu Ochrony Danych Osobowych ul. Stawki 2 00-193 Warszawa Zgłoszenie naruszenia ochrony danych osobowych Działając jako administrator danych osobowych, na podstawie art. 33 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119, poz. 1), dalej: RODO, niniejszym zgłaszam zdarzenie mogące stanowić naruszenie ochrony danych osobowych, polegające na utracie przenośnego nośnika danych (pendrive). Opis charakteru zdarzenia W dniu ………….. administrator powziął informację o utracie przenośnego nośnika danych użytkowanego przez pracownika jednostki w związku z wykonywaniem obowiązków służbowych. Na obecnym etapie postępowania wyjaśniającego ustalono, że na nośniku mogły znajdować się pliki zawierające dane osobowe uczniów oraz ich rodziców / opiekunów prawnych, w szczególności: • dane identyfikacyjne (imię, nazwisko, data urodzenia), • dane kontaktowe, • numery PESEL, • dokumenty mogące zawierać informacje dotyczące stanu zdrowia uczniów oraz inne dane wrażliwe, o których mowa w art. 9 RODO. Postępowanie wyjaśniające w zakresie dokładnego zakresu danych oraz liczby osób, których dane mogły znajdować się na nośniku, jest w toku. Wstępnie szacuje się, że zdarzenie może dotyczyć ok. …… osób. Obecnie brak jest informacji potwierdzających, aby dane zostały faktycznie odczytane, skopiowane lub wykorzystane przez osoby nieuprawnione. Nie można jednak takiej możliwości wykluczyć. Zdarzenie może zatem stanowić naruszenie ochrony danych osobowych. Dane kontaktowe IOD-a Inspektor Ochrony Danych: …………………………………………………………………………... Możliwe konsekwencje zdarzenia Z uwagi na charakter danych, w tym możliwość utraty danych szczególnych kategorii, nie można wykluczyć potencjalnego ryzyka naruszenia praw lub wolności osób fizycznych. Potencjalne konsekwencje mogą obejmować w szczególności: • nieuprawnione ujawnienie informacji dotyczących stanu zdrowia, • ryzyko wykorzystania danych identyfikacyjnych do działań o charakterze nadużyć, • naruszenie prywatności osób, których dane dotyczą. Na obecnym etapie brak jest informacji o wystąpieniu rzeczywistych negatywnych skutków utraty danych. Środki podjęte przez administratora Po powzięciu informacji o zdarzeniu administrator: 1) niezwłocznie wszczął postępowanie wyjaśniające, 2) dokonał wstępnej analizy zakresu danych, które mogły znajdować się na nośniku, 3) zobowiązał pracownika do złożenia pisemnych wyjaśnień, 4) dokonał przeglądu obowiązujących procedur dotyczących korzystania z nośników przenośnych, 5) rozpoczął wdrażanie dodatkowych zabezpieczeń technicznych, w tym obowiązkowego szyfrowania nośników danych, 6) analizuje zasadność zawiadomienia osób, których dane dotyczą, zgodnie z art. 34 RODO. W przypadku ustalenia nowych okoliczności sprawy administrator przekaże ich uzupełnienie bez zbędnej zwłoki. Informacja o terminie zgłoszenia Zdarzenie zostało stwierdzone w dniu ………… Niniejsze zgłoszenie jest składane w terminie 72 godzin od momentu stwierdzenia zdarzenia. lub (jeżeli dotyczy) Zgłoszenie następuje po upływie 72 godzin z uwagi na konieczność przeprowadzenia czynności pozwalających na wstępne ustalenie charakteru i zakresu zdarzenia. Z poważaniem …………………….