ZATWIERDZAM: DYREKTOR SZKÓŁ'i rngrwäna^ i i f Procedura zgłaszania przypadków naruszenia ochrony danych osobowych organowi nadzorczemu Szkoła Podstawowa nr 9 Z Oddziałami Przedszkolnymi im. Marii Skłodowskiej-Curie w Inowrocławiu V.KOLA PODSTAWOWA NR 9 01)1)/!,Al. AM! 1 R/liDSZKOLNYMI i ns. Miirii Sklmiowskiej-Curie iii. Chemiczna 9, tel.52 3537217 88-100 INOWROCŁAW NIP 556-11-61-275, REGON 000209852 Inowrocław, 28 maj 2018r.
uzyskanie inform acji o naruszeniu przepisów o ochronie danych osobow ych ocena, czy naruszenie przepisów stanow i naruszenie ochrony danych.osobowych w rozum ieniu r.o.d.o. me o tak ocena, czy naruszenie ochrony danych skutkuje ryzykiem naruszenia praw osoby 0 o mē tak brak obow iązku zg ło sze n ia naruszenia organowi nadzorczem u zg ło sze n ia naruszenia ochrony danych organowi nadzo rczem u ocena, c zy wym agane jest zawiadomienie osoby, której dane d o tyczą o naruszeniu Ó udokum entow anie naruszenia
Krok: zgłoszenia naruszenia ochrony danych organowi nadzorczemu Przepis art. 33 ust. 3 r.o.d.o. określa wymagania minimalne dotyczące zawartości zgłoszenia naruszenia ochrony danych organowi nadzorczemu. Zgodnie z wskazanym przepisem, zgłoszenie powinno co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Prawodawca unijny określił również termin na dokonanie zgłoszenia: administrator powinien zgłosić naruszenie bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Termin ten jest krótki i w praktyce może się okazać trudny do zachowania, zwłaszcza w przypadku gdy naruszenie ma poważny charakter i administrator koncentruje się najpierw na ograniczeniu skutków naruszenia, a w dalszej kolejności stara się spełnić pozostałe obowiązki. W takiej sytuacji dopuszczalne jest późniejsze zawiadomienie, po upływie 72-godzinnego terminu, jednak należy wówczas wyjaśnić przyczyny opóźnienia. Prawodawca unijny dopuszcza także możliwość zgłoszenia częściowego (informacji, które są znane administratorowi w chwili dokonania zgłoszenia przed upływem 72 godzin), w przypadku gdy całościowe zgłoszenie nie jest możliwe z zachowaniem wskazanego terminu, a następnie sukcesywnego uzupełniania zgłoszenia, zgodnie z art. 33 ust. 4 r.o.d.o. Wzór zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych stanowi załącznik do niniejszej procedury. Krok: ocena, czy wymagane jest zawiadomienie osoby, której dane dotyczą o naruszeniu Administrator powinien dokonać oceny, czy przepisy wymagają od niego również zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych. Taka ocena powinna być dokonana na podstawie przepisu art. 34 r.o.d.o. Krok: udokumentowanie naruszenia Oprócz obowiązków informacyjnych związanych z naruszeniem ochrony danych (zgłoszeniem naruszenia organowi nadzorczemu i zawiadomieniem osoby, której dane dotyczą, o naruszeniu) unijne rozporządzenie nakłada na administratora wymóg dokumentowania wszelkich naruszeń ochrony danych osobowych. Zgodnie z art. 33 ust. 5 r.o.d.o. administrator powinien dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. W praktyce oznacza to konieczność prowadzenia dokumentacji naruszeń, w której powinny się znaleźć informacje o stwierdzonych przez administratora naruszeniach i podjętych działaniach. Dokumentacja ta - zgodnie z wymogiem określonym we wskazanym powyżej przepisie - powinna pozwolić organowi nadzorczemu weryfikowanie przestrzegania wymogów określonych w art. 33 r.o.d.o. 4
Zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO Administrator danych (miejscowość, data) Urząd Ochrony Danych Osobowych ul. Stawki 2 00-193 Warszawa ZGŁOSZENIE W SPRAWIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH Niniejszym w trybie art. 33 ogólnego rozporządzenia o ochronie danych, zgłaszam naruszenie ochrony danych osobowych, które miało miejsce w dniu... w... 1. Charakter naruszenia ochrony danych: Np. Przesłanie przez pracownika wiadomości e-mail do błędnego adresata (nieznana osoba) zamiast do współpracownika wraz z załącznikiem w formacie pliku Excel (niezabezpieczonego) zawierającego dane rodziców i wychoawnków (takie jak: imię i nazwisko, adres zamieszkania, PESEL, nr. dowodu tożsamości,, numer telefonu, adresy e-m ail) 2. Kategoria i przybliżona liczba osób, których dane dotyczą: Np. Wychowankowie, rodzice. Liczba osób, których dane dotyczą 3. Liczba wpisów, których dotyczy naruszenie: Np. 821 4. Możliwe konsekwencje naruszenia ochrony danych: Np. Powstanie szkód majątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub kradzież lub sfałszowanie tożsamości, strata finansowa 5. Środki zastosowane lub proponowane w celu zaradzenia Np. Wdrożenie stosownych środków kryptograficznych, w tym w tym pseudonimizacja, zakaz przesyłania 5
naruszenia ochrony danych osobowych, w tym zastosowane środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych: ' załączników zawierających dane osobowe w sposób niezabezpieczony. 6. Dane inspektora ochrony danych Dodatkowe informacje: (podpis ADO) * W przypadku zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin, administrator danych zobowiązany jest do złożenia wyjaśnień w przedmiocie przyczyn opóźnienia. 6