PROCEDURA OCENY POWAGI NARUSZENIA OCHRONY DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 47 W BYTOMIU

Podobne dokumenty
Monitorowanie systemów IT

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

rodo. naruszenia bezpieczeństwa danych

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Procedura zgłaszania przypadków naruszenia ochrony danych osobowych organowi nadzorczemu

ECDL RODO Sylabus - wersja 1.0

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

I. Postanowienia ogólne

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Ochrona danych osobowych w biurach rachunkowych

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Z dziennika tłumaczki. Rozważania o RODO. Odcinek 15 - zgłoszenie naruszenia

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Opinia 3/2014 Grupy Roboczej art. 29 zgłaszanie naruszeń danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Prelegent : Krzysztof Struk Stanowisko: Analityk

Umowa powierzenia danych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

PARLAMENT EUROPEJSKI

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Projekt umowy powierzenia przetwarzania danych osobowych

Maciej Byczkowski ENSI 2017 ENSI 2017

SZCZEGÓŁOWY HARMONOGRAM KURSU

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Ochrona danych osobowych w biurach rachunkowych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Rozdział II. Dokumentowanie procesów przetwarzania danych osobowych

PRELEGENT Przemek Frańczak Członek SIODO

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

POLITYKA BEZPIECZEŃSTWA

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

a. z siedzibą w.., reprezentowanym przez:

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

REGULAMIN WEWNĘTRZNYCH PROCEDUR

Województwem Mazowieckim, ul. Jagiellońska 26, Warszawa, NIP: , REGON , reprezentowanym przez:

Nowe przepisy i zasady ochrony danych osobowych

Wdrożenie RODO - najważniejsze aspekty Outsourcing EXPO 27 września 2018 r.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Spis treści. Wykaz skrótów... Wprowadzenie...

ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

POLITYKA BEZPIECZEŃSTWA

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

poleca e-book Instrukcja RODO

Polityka Ochrony Danych Osobowych w Spirax Sarco Sp. z o.o., ul. Jutrzenki 98, Warszawa, z dnia

Polityka Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 24 maja 2018 r.

Wprowadzenie do RODO. Dr Jarosław Greser

PARTNER.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA PRYWATNOŚCI

Radom, 13 kwietnia 2018r.

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Obowiązki administratorów związane z naruszeniami ochrony danych osobowych

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

Transkrypt:

PROCEDURA OCENY POWAGI NARUSZENIA OCHRONY DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 47 W BYTOMIU Celem procedury jest ocena poziomu naruszenia bezpieczeństwa danych osobowych (ich dostępności, poufności, integralności oraz rozliczalności) w celu zakwalifikowania zdarzenia wymagającego lub nie, zgłoszenia do Urzędu Ochrony Danych Osobowych (UODO) i/lub poinformowania osób fizycznych, których dane dotyczą na temat naruszenia, zgodnie z ciążącymi na administratorze obowiązkami określonymi w art. 33 i w art. 34 RODO. Dokument jest uzupełnieniem i doprecyzowaniem 13 przyjętej Polityki Bezpieczeństwa Ochrony Danych Osobowych w Szkole Podstawowej nr 47 w Bytomiu. 1. Procedura została opracowana na podstawie rekomendacji UODO. Odnosi się do wytycznych opublikowanych 30 maja 2019 r. pt. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, 28 lutego 2019 r. pt. Zasada przejrzystości a zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz Rekomendacji dotyczących metodologii oceny powagi naruszenia danych osobowych przygotowanej przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). 2. Przez naruszenie praw i wolności osób, których dane dotyczą rozumiemy powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. 3. W przypadku naruszenia ochrony danych osobowych Administrator bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 24 godzin po stwierdzeniu naruszenia, zgłasza je Inspektorowi Ochrony Danych. 4. Za przeprowadzenie procedury oceny powagi naruszenia ochrony danych osobowych odpowiada Administrator. Ocenę z Inspektorem Ochrony Danych. poziomu naruszenia bezpieczeństwa danych osobowych konsultuje 5. Niezależnie od wyniku oceny (od niskiego, do bardzo wysokiego) incydent ten zostaje odnotowany w prowadzonym przez administratora rejestrze incydentów/naruszeń. 6. Opis narzędzia oceny dotkliwości naruszenia/punktowej powagi naruszenia (miernika): 6.1. Powaga naruszenia ochrony danych osobowych definiowana jest w kontekście metodologii jako oszacowanie rozmiaru potencjalnego wpływu na osoby fizyczne spowodowanego przez naruszenie ochrony danych; 6.2. Stosując tę metodologię, Administrator przechodzi przez cały proces wykorzystując określone kryteria ilościowe w celu przygotowania oceny; 6.3. Ostateczną ocenę dotkliwości powagi naruszenia można uzyskać stosując następujący wzór: SE = DPC x EI + CB;

6.4. Kontekst przetwarzania danych (DPC) Dotyczy typu danych będących przedmiotem naruszenia wraz z czynnikami powiązanymi z ogólnym kontekstem przetwarzania. DPC jest najważniejszym elementem metodologii i służy do oceny krytyczności określonego zbioru danych w określonym kontekście przetwarzania; 6.5. Łatwość identyfikacji (EI) Określa poziom łatwości zidentyfikowania osoby, której dane dotyczą. Poziom niski występuje w sytuacji, gdy łatwość identyfikacji jest niewielka, co oznacza, że połączenie danych z określoną osobą jest bardzo trudne, ale w pewnych warunkach możliwe. Poziom maksymalny oznacza, że identyfikacja jest możliwa bezpośrednio przy pomocy danych będących przedmiotem naruszenia bez konieczności prowadzenia innych działań, aby określić tożsamość danej osoby. 6.6. Okoliczności naruszenia (CB) Dotyczą konkretnych okoliczności naruszenia powiązanych z typem naruszenia, w tym głównie utraty bezpieczeństwa danych będących przedmiotem naruszenia oraz jakiegokolwiek powiązanego z naruszeniem umyślnego działania. CB określa konkretne okoliczności naruszenia, które mogą wystąpić lub nie w określonej sytuacji. Dlatego też, jeżeli występuje, CB może tylko zwiększyć powagę naruszenia ochrony danych. Z tego powodu wstępna ocena punktowa może zostać dalej dostosowana za pomocą CB; 6.7. Wynik ten znajduje się w określonym przedziale wartości, który odpowiada jednemu z czterech poziomów powagi naruszenia: niskie, średnie, wysokie i bardzo wysokie; 6.8. Po określeniu poziomu powagi naruszenia, może on zostać opatrzony również oznaczeniem, wskazującym określone elementy naruszenia, które nie wpływają na wynik, ale mają znaczenie dla ostatecznej oceny. Dla potrzeb niniejszej metodologii określono dwa rodzaje oznaczeń: 6.8.1. Liczba podmiotów danych, których dotyczy naruszenie przekracza 100. Ujawnienie danych podmiotu danych naruszonych w ramach większego zdarzenia może być łatwiejsze, natomiast jednocześnie większa liczba podmiotów danych wpływa na ogólna skalę naruszenia, 6.8.2. Nieczytelne dane. Nieczytelność (np. mocne zaszyfrowanie bez ujawnienia klucza) może znacząco zmniejszyć wpływ na podmioty danych, ponieważ znacząco zmniejsza możliwość, że osoby nieupoważnione uzyskają dostęp do danych. 7. Ocena dotkliwości naruszenia 7.1. (DPC) Kontekst przetwarzania danych. Określenie rodzajów i klasyfikacja danych, których dotyczy naruszenie: Dane zwykłe (1-4) ocena wyjściowa 1, Dane behawioralne (1-4) ocena wyjściowa 2, Dane finansowe (1-4) ocena wyjściowa 3, Dane szczególnych kategorii (wrażliwe) (1-4) ocena wyjściowa 4.

Oceny punktowej kontekstu przetwarzania danych Administrator dokonuje zgodnie z załącznikiem nr 1. Dokonując oceny Administrator powinien zwrócić szczególną uwagę na numer PESEL. Zgodnie z opinią Prezesa Urzędu Ochrony Danych Osobowych (PUODO) naruszenie obejmujące utratę poufności w stosunku do numeru PESEL wraz z innymi danymi umożliwiającymi identyfikację np. imię i nazwisko wiąże się z dużym ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. W związku z tym, że metodologia nie uwzględnia tego czynnika ze względu na swoje międzynarodowe zastosowanie. Uzupełniono kontekst przetwarzania w załączniku nr 1. 7.2. (EI) Łatwość identyfikacji osoby, które dane dotyczą. Należy oszacować jak łatwo będzie podmiotowi, który ma nieuprawniony dostęp do danych, zidentyfikować osobę fizyczną, której dane dotyczą. W opisywanej metodologii określone zostały 4 poziomy tej kategorii: Poziom niski (0,25), Poziom ograniczony (0,5), Poziom znaczny (0,75), Poziom wysoki (1). 7.3. (CB) Okoliczności naruszenia, mające dodatkowy wpływ na powagę (dotkliwość) naruszenia. Należy oszacować okoliczności naruszenia, mające dodatkowy wpływ na powagę tj.; Utraty poufności danych (NP) - informacje uzyskują strony, które nie są upoważnione do takiego dostępu. Zakres utraty poufności różni się w zależności od zasięgu ujawnienia, tzn. ewentualnej liczby i rodzaju stron, które mogą mieć bezprawny dostęp do informacji: 0 gdy, dane mogły zostać narażone na utratę poufności, ale nie ma dowodów, że nastąpiło nielegalne przetwarzanie (np. laptop został zgubiony podczas transportu), +0,25 gdy dane mogły zostać ujawnione wielu znanym odbiorcom (np. wiadomość e-mail została błędnie przesłana do wielu znanych adresatów), +0,5 gdy dane zostały ujawnione wielu, nieznanym odbiorcom (np. opublikowanie danych na stronie Internetowej). Informacje uzyskują strony, które nie są upoważnione do takiego dostępu. Zakres utraty poufności różni się w zależności od zasięgu ujawnienia, tzn. ewentualnej liczby i rodzaju stron, które mogą mieć bezprawny dostęp do informacji Utraty integralności danych (NI) - oryginalne informacje zostają zmodyfikowane, a taka zmiana danych może być niekorzystna dla podmiotu danych: 0 gdy dane zostały zmienione, ale nie zidentyfikowano nieprawidłowości (np. bazy z danymi osobowymi zostały błędnie zaktualizowane, ale administrator posiada wersje oryginalne niezmienione),

+0,25 gdy dane zostały zmienione i wykorzystane niepoprawnie, ale administrator może przywrócić poprawną wersję (np. zmieniono rekord niezbędny do świadczenia usługi online, a użytkownik musi poprosić o usługę offline), +0,5 gdy dane zostały zmienione i wykorzystane w niewłaściwy sposób, a administrator nie ma możliwości przywrócenia poprzedniej wersji. Utraty dostępności danych (ND) - nie ma dostępu do oryginalnych danych w sytuacji, gdy jest to potrzebne: 0 gdy dane mogą zostać odzyskane bez trudności (np. utracono kopię pliku, ale administrator dysponuje kopią zapasową), +0,25 gdy dane osobowe nie są dostępne przez jakiś czas (np. dane zostały utracone i konieczne jest ich ponowne zebranie), +0,5 gdy utracono dane osobowe i nie ma możliwości jej odtworzenia (np. nie istnieją kopie zapasowe ani nie można odtworzyć tych danych). Istotne jest także czy naruszenie było celowym czy przypadkowym działaniem (IDS): +0,5 gdy dane zostały utracone na skutek celowego działania (np. pracownik celowo przekazał dane klientów firmy jej konkurencji). 7.4. Końcowy wynik oceny okoliczności naruszenia (CB), po uwzględnieniu przyjętych wartości punktowych dla poszczególnych kryteriów można uzyskać korzystając z następującego wzoru: CB=NP+NI+ND+IDS 7.5. W przypadku incydentu odnoszącego się do kliku rodzajów danych osobowych, Administrator wykonuje ocenę powagi naruszenia ochrony danych, dla każdego osobno. Do podjęcia decyzji o zakwalifikowaniu naruszenia wymagającego lub nie, zgłoszenia do UODO i/lub poinformowania osób fizycznych, których dane dotyczą przyjmuję się najwyższy wynik oceny dotkliwości naruszenia. 7.6. Otrzymany wynik oznacza: SE < 2 Poziom Niski Osoby fizyczne nie będą dotknięte tym naruszeniem lub mogą napotkać niewielkie niedogodności, które będą mogły bez problemu pokonać (np. ponownie należy poświęcić czas na wprowadzenie danych), 2 SE < 3 Poziom średni Osoby fizyczne mogą napotkać znaczne trudności, które jednak będą w stanie pokonać (np. dodatkowe koszty, odmowa dostępu do usługi, stres), 3 SE< 4

Poziom wysoki Osoby fizyczne będą dotknięte znacznymi konsekwencjami, które z pewnym trudem będą mogły pokonać (np. umieszczenie na liście dłużników banku, uszkodzenie mienia, wezwanie do sadu, pogorszenie stanu zdrowia), 4 SE Poziom bardzo wysoki Osoby indywidualne mogą dotknąć znaczące a nawet nieodwracalne konsekwencje (np. kłopoty finansowe, niezdolność do pracy, dolegliwości psychiczne lub fizyczne, śmierć). 8 Jeżeli dane naruszenie powoduje: 8.1. (SE < 2) - Małe prawdopodobieństwo ryzyka wystąpienia naruszenia praw lub wolności osób, których dane dotyczą, administrator powinien: 2. Wdrożyć środki zaradcze, tak by w przyszłości nie dochodziło do tego typu naruszeń. 8.2. (2 SE < 3) - Prawdopodobne ryzyko naruszenia praw lub wolności osób, których dane dotyczą, administrator powinien: 2. Wdrożyć środki zaradcze, tak by w przyszłości nie dochodziło do tego typu naruszeń; 3. Potencjalnie powiadomić organ nadzorczy o naruszeniu (UODO); 4. Uzupełnić informację, gdyby pierwotne zawiadomienie (do 72h od zdarzenia) nie zawierało wszystkich informacji lub wystąpiły nowe istotne okoliczności; 5. W przypadku wskazania przez organ nadzorczy, Powiadomić osoby, których dane dotyczą o naruszeniu, jego potencjalnych skutkach oraz metodach zaradzenia im. 8.3. (3 SE< 4) - Występuje wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, administrator powinien: 2. Wdrożyć środki zaradcze, tak by w przyszłości nie dochodziło do tego typu naruszeń; 3. Powiadomić organ nadzorczy o naruszeniu (UODO); 4. Potencjalne powiadomić osoby, których dane dotyczą o naruszeniu, jego potencjalnych skutkach oraz metodach zaradzenia im; 5. Uzupełnić informację, gdyby pierwotne zawiadomienie (do 72h od zdarzenia) nie zawierało wszystkich informacji lub wystąpiły nowe istotne okoliczności. 6. W przypadku wskazania przez organ nadzorczy, Powiadomić osoby, których dane dotyczą o naruszeniu, jego potencjalnych skutkach oraz metodach zaradzenia im 8.4. (4 SE) - Występuje bardzo wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, administrator powinien:

2. Wdrożyć środki zaradcze, tak by w przyszłości nie dochodziło do tego typu naruszeń; 3. Powiadomić organ nadzorczy o naruszeniu (UODO); 4. Powiadomić osoby, których dane dotyczą o naruszeniu, jego potencjalnych skutkach oraz metodach zaradzenia im; 5. Uzupełnić informację, gdyby pierwotne zawiadomienie (do 72h od zdarzenia) nie zawierało wszystkich informacji lub wystąpiły nowe istotne okoliczności. 9. Po zakończeniu oceny, Administrator bierze pod uwagę inne ewentualnie pasujące kryteria (liczba osób oraz nieczytelność danych), które nie zostały uwzględnione w metodologii, ale powinny być oceniane i oznaczane, które mają znaczenie dla ostatecznej oceny (małe prawdopodobieństwo dostępu do danych osobowych występuję w przypadku szyfrowania danych lub pseudonimizacji. Wówczas, gdy poziom zabezpieczenia uniemożliwia nieuprawniony dostęp do danych). 10. Decyzję o zakwalifikowaniu naruszenia wymagającego lub nie, zgłoszenia do UODO i/lub poinformowania osób fizycznych, których dane dotyczą na temat zdarzenia podejmuję ostatecznie Administrator po przeprowadzeniu oceny zgodnie z procedurą i uwzględniając całościowy kontekst zdarzenia. 11. Zgłoszenia do UODO dokonuję Administrator zgodnie z art. 33 RODO i 13 przyjętej Polityki Bezpieczeństwa Ochrony Danych Osobowych w Szkole Podstawowej nr 47 w Bytomiu i obowiązującymi wytycznymi UODO. 12. Zawiadomienia osób, której dane dotyczą na temat naruszenia dokonuje Administrator zgodnie z art. 34 RODO za pośrednictwem dostępnych środków komunikacji tak, aby dochować niezwłoczności powiadomienia. Dobierając kanał komunikacji z podmiotem danych, należy cały czas pamiętać o możliwości wykazania, że zawiadomienie zostało przez administratora przekazane. 13. Zawiadomienie, o którym mowa powyżej, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz co najmniej: opisuje charakter naruszenia ochrony danych osobowych, opisuje możliwe konsekwencje naruszenia ochrony danych osobowych, opisuje środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków (zalecenia dla osoby fizycznej, co do minimalizacji potencjalnych niekorzystnych skutków), zawiera imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji. 14. Obowiązek powiadomienia jest wyłączony w przypadku, gdy (art. 34 ust. 3 RODO): Administrator wdrożył odpowiednie środki bezpieczeństwa i uniemożliwił dostęp do danych objętych naruszeniem osobom nieupoważnionym, Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia,

powiadomienie wymagałoby niewspółmiernie dużego wysiłku i administrator wydał publiczny komunikat o naruszeniu lub zastosował inne podobne rozwiązanie. 15. Procedura obowiązuje od dnia: 31 sierpnia 2021r.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres