Procedura postępowania w przypadku naruszenia ochrony danych osobowych § 1 Cel procedury Celem niniejszej procedury jest określenie zasad postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych, w szczególności zasad: 1) identyfikacji i zgłaszania incydentu, 2) oceny ryzyka naruszenia praw lub wolności osób fizycznych, 3) zgłaszania naruszenia organowi nadzorczemu, 4) zawiadamiania osób, których dane dotyczą, 5) dokumentowania zdarzenia zgodnie z zasadą rozliczalności. Procedura realizuje obowiązki wynikające z art. 33 i 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119, poz. 1), czyli RODO. § 2 Definicja naruszenia 1. Naruszeniem ochrony danych osobowych jest każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem: 1) zniszczenia, 2) utraty, 3) modyfikacji, 4) nieuprawnionego ujawnienia, 5) nieuprawnionego dostępu do – danych osobowych przetwarzanych przez administratora. 2. Naruszenie może dotyczyć poufności, integralności lub dostępności danych. § 3 Obowiązek niezwłocznego zgłoszenia incydentu 1. Każdy pracownik lub inna osoba działająca z upoważnienia administratora, która poweźmie informację o możliwym naruszeniu, jest zobowiązana niezwłocznie zgłosić ten fakt: • dyrektorowi jednostki oraz • inspektorowi ochrony danych (IOD). 2. Zgłoszenie powinno zawierać w miarę możliwości: • datę i godzinę stwierdzenia naruszenia, • opis zdarzenia, • wskazanie kategorii danych i osób, których może dotyczyć, • informacje o podjętych dotychczas działaniach. § 4 Działania niezwłoczne 1. Po otrzymaniu informacji o naruszeniu administrator podejmuje działania mające na celu: 1) ograniczenie skutków incydentu, 2) zabezpieczenie danych, 3) zapobieżenie dalszemu naruszeniu. 2. W szczególności mogą to być: 1) zmiana haseł, 2) zablokowanie dostępu do systemu, 3) odłączenie urządzenia od sieci, 4) odzyskanie omyłkowo przesłanej dokumentacji, 5) zabezpieczenie miejsca zdarzenia. § 5 Ocena ryzyka 1. Administrator, przy udziale IOD-a, dokonuje niezwłocznej oceny, czy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. 2. Ocena uwzględnia w szczególności: 1) charakter danych (w tym dane szczególnych kategorii), 2) zakres naruszenia, 3) liczbę osób, których dane dotyczą, 4) łatwość identyfikacji osób, 5) możliwe konsekwencje dla tych osób. 3. Wynik analizy jest dokumentowany. § 6 Zgłoszenie naruszenia organowi nadzorczemu 1. Jeżeli istnieje ryzyko naruszenia praw lub wolności osób fizycznych, administrator zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia. 2. Jeżeli zgłoszenie następuje po upływie 72 godzin, do zgłoszenia, o którym mowa w ust. 1, dołącza się wyjaśnienie przyczyn opóźnienia. 3. Zgłoszenie zawiera co najmniej: 1) opis charakteru naruszenia, 2) kategorie i przybliżoną liczbę osób oraz wpisów danych, 3) dane kontaktowe IOD-a lub innego punktu kontaktowego, 4) opis możliwych konsekwencji, 5) opis zastosowanych lub planowanych środków zaradczych. 4. Jeżeli wszystkie informacje nie są dostępne w chwili zgłoszenia, przekazuje się je etapami, bez zbędnej zwłoki. § 7 Zawiadomienie osób, których dane dotyczą 1. Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator niezwłocznie zawiadamia osoby, których dane dotyczą. 2. Zawiadomienie powinno być sformułowane jasnym i prostym językiem oraz zawierać: • opis charakteru naruszenia, • dane kontaktowe IOD-a, • możliwe konsekwencje, • środki podjęte w celu zaradzenia naruszeniu, • zalecane działania minimalizujące skutki naruszenia. 3. Zawiadomienie nie jest wymagane w przypadkach przewidzianych w art. 34 ust. 3 RODO. § 8 Dokumentowanie naruszeń 1. Administrator prowadzi rejestr naruszeń ochrony danych osobowych. 2. Rejestr obejmuje: 1) opis okoliczności naruszenia, 2) jego skutki, 3) podjęte działania, 4) wynik oceny ryzyka, 5) informację o zgłoszeniu (lub przyczynach jego braku). 3. Dokumentacja powinna umożliwiać organowi nadzorczemu weryfikację przestrzegania art. 33 RODO. § 9 Działania następcze 1. Po zakończeniu obsługi incydentu administrator dokonuje analizy przyczyn naruszenia. 2. W razie potrzeby wprowadza działania naprawcze, w szczególności: 1) aktualizację procedur, 2) dodatkowe szkolenia pracowników, 3) wzmocnienie zabezpieczeń technicznych lub organizacyjnych.