ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Transkrypt

1 ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 Załącznik Nr do Zarządzenia Dyrektora Zespołu Szkół Technicznych we Włocławku z dnia 31 sierpnia 2018 r. PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH w ZESPOLE SZKÓŁ TECHNICZNYCH we WŁOCŁAWKU Włocławek,

2 Procedura postępowania w przypadku naruszenia ochrony danych 1. Naruszenie ochrony danych osobowychto naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - dane pracowników Zespołu Szkół Technicznych we Włocławku. 2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: a) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów; b) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych, wysyłanie plików przez nieautoryzowaną aplikację, prywatny , czat,, brak kontroli nad urządzeniami mobilnymi, udostępnianie w serwisach społecznościowych informacji, które nie były przeznaczone do publicznej wiadomości; c) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). 3. Do typowych incydentów bezpieczeństwa danych osobowych należą: a) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności); b) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych); c) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). 4. Sposób reagowania na naruszenia przez pracowników, którzy je ujawnili: a) obowiązek niezwłocznego poinformowania o zdarzeniu inspektora ochrony danych osobowych; b) obowiązek pozostawienia miejsca zdarzenia w stanie nienaruszonym do czasu przybycia inspektora ochrony danych. 5. Obowiązki inspektora ochrony danych związane z dokumentowaniem okoliczności naruszenia, tj.: a) sporządzenie notatki z przeprowadzonych oględzin miejsca zdarzenia; b) sporządzenie kopii obrazu wyświetlonego na ekranie monitora komputera związanego z naruszeniem; c) sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu; d) odebranie pisemnych wyjaśnień od osoby, która ujawniła naruszenie. 6. Obowiązek niezwłocznego przedstawienia zebranych materiałów administratorowi danych, który z pomocą inspektora ochrony danych, w terminie i na podstawie przesłanek określonych w ogólnym rozporządzeniu o ochronie danych powinien ocenić, czy zaistniałe naruszenie podlega obowiązkowi zgłoszenia organowi nadzorczemu. 7. Obowiązek przedstawienia administratorowi przez inspektora ochrony danych skutków naruszenia oraz środków i działań mających zaradzić naruszeniu, a także, jeżeli to konieczne, mających zminimalizować negatywne skutki naruszenia. 8. Jeżeli istnieje taki obowiązek sporządzenie zgłoszenia do organu nadzorczego nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia)oraz zamieszczeniu informacji naruszeniu na stronie www lub BIP jednostki. 9. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.zawiadomienie, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. a), b), c) i d) rozporządzenia. 2

3 10. Zawiadomienie, nie jest wymagane, w następujących przypadkach: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowawymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób. 11. Udokumentowanie skutków oraz podjętych środków i działań, o których mowa w pkt 6. Zatwierdzam: 31 sierpnia 2018 r. Donat Marszałek (dyrektor szkoły) Wykaz załączników: 1) załącznik nr 1 komunikat o naruszeniu ochrony danych 2) załącznik nr 2 zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO 3) załącznik nr 3 zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych 3

4 Załącznik nr Włocławek,.. Komunikat o naruszeniu ochrony danych Komunikat o naruszeniu ochrony danych z dnia. 1. Charakter naruszenia ochrony 2. Kategoria i przybliżona liczba osób, których dane dotyczą: 3. Liczba wpisów, których dotyczy naruszenie: 4. Konsekwencje naruszenia ochrony 5. Środki zastosowane lub proponowane w celu zaradzenia naruszenia ochrony danych osobowych, w tym zastosowane środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony 6. Dane inspektora ochrony. (podpis administratora danych) 4

5 Załącznik nr Włocławek, Administrator danych Zespołu szkół Technicznych we Włocławku ul. Ogniowa Włocławek Zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO Urząd Ochrony Danych Osobowych ul. Stawki Warszawa ZGŁOSZENIE W SPRAWIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH Niniejszym w trybie art. 33 ogólnego rozporządzenia o ochronie danych, zgłaszam naruszenie ochrony danych osobowych, które miało miejsce w dniu w Charakter naruszenia ochrony danych 2. Kategoria i przybliżona liczba osób, których dane dotyczą: 3. Liczba wpisów, których dotyczy naruszenie: 4. Konsekwencje naruszenia ochrony 5. Środki zastosowane lub proponowane w celu zaradzenia naruszenia ochrony danych osobowych, w tym zastosowane środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony 6. Dane inspektora ochrony danych..*. (podpis administratora danych) * W przypadku zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin, administrator danych zobowiązany jest do złożenia wyjaśnień w przedmiocie przyczyn opóźnienia 5

6 Załącznik nr Włocławek, Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych Administrator danych Zespołu Szkół Technicznych we Włocławku ul. Ogniowa Włocławek Niniejszym w trybie art. 34 ogólnego rozporządzenia o ochronie danych, informuję o naruszeniu ochrony danych osobowych, które miało miejsce w dniu w... Kategorie danych osobowych, 1. których dotyczy naruszenie ochrony Konsekwencje naruszenia 2. ochrony danych osobowych: Środki zastosowane lub proponowane w celu zaradzenia naruszenia ochrony danych osobowych, w tym zastosowane 3. środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony 4. Dane inspektora ochrony danych.. (podpis administratora danych) 6