REGULAMIN ZGŁASZANIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

W FIRMIE Tomasz Nowicki GAMER-MEDIA

ul. Cmentarna 4, 62-020 Swarzędz

NIP 7771877288

Naruszenie ochrony Danych osobowych

GAMER-MEDIA wprowadza odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzanymi przez GAMER-MEDIA Danymi osobowymi. Powinny one uwzględniać najnowszy stan wiedzy, charakter, zakres, kontekst i cele przetwarzania, a także ryzyko i dotkliwości w odniesieniu do praw i wolności osób, których dane dotyczą. GAMER-MEDIA zmierza do uniknięcia jakichkolwiek naruszeń ochrony Danych osobowych, a w przypadku ich zaistnienia podejmuje niezwłocznie wszelkie konieczne czynności, mające na celu usunięcie lub zmitygowanie naruszenia.

Za Naruszenie ochrony Danych osobowych uważa się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:

•          zniszczenia – gdy Dane osobowe przestały istnieć lub nie istnieją w formie przydatnej dla GAMER-MEDIA,
•          uszkodzenia – gdy dane zostały zmienione, uszkodzone lub nie są kompletne,
•          utracenia –gdy dane wprawdzie nadal istnieją, jednak GAMER-MEDIA utraciła do nich dostęp lub nie jest już w ich posiadaniu, np. na skutek ataku programu typu ransomware,
•          nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Naruszenie ochrony danych może mieć charakter:

•            Naruszenia poufności - w przypadku nieuprawnionego lub przypadkowego ujawnienia lub dostępu do Danych osobowych.
•            Naruszenia integralności danych - w przypadku nieuprawnionej lub przypadkowej zmiany Danych osobowych.
•            Naruszenia dostępności - w przypadku przypadkowej lub nieautoryzowanej utraty dostępu do, lub zniszczenia Danych osobowych.

W zależności od okoliczności naruszenie może jednocześnie dotyczyć poufności, integralności i dostępności Danych osobowych.

Naruszenia ochrony Danych osobowych katalogowane są w Rejestrze Naruszeń Danych osobowych. Rejestr ten uwzględnia każde Naruszenie Danych osobowych, niezależenie od tego, czy Naruszenie to będzie następnie zgłaszane organowi nadzorczemu lub osobie, której dane dotyczą.

Stwierdzenie Naruszenia ochrony Danych osobowych

W przypadku Naruszenia ochrony Danych osobowych, GAMER-MEDIA, w tym każdy Pracownik, który stwierdzi lub podejrzewa Naruszenie ochrony Danych osobowych zobowiązany jest do niezwłocznego poinformowania o tym wyznaczonego przez Administratora Pracownika odpowiedzialnego za ochronę Danych osobowych.

Pracownik, który stwierdzi naruszenie zobowiązany jest do:

•          zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem,
•          wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania,
•          przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia,
•          podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów Naruszenia ochrony Danych osobowych,
•          przywrócenia normalnego działania Systemu informatycznego,

Konsekwencje Naruszenia ochrony Danych osobowych

Naruszenie może mieć szereg istotnych niekorzystnych skutków dla osób, których dane dotyczą i może powodować szkody fizyczne, materialne lub niemajątkowe. Skutki te mogą polegać na:

•          utracie kontroli nad Danymi osobowymi,
•          ograniczeniu praw osób, których dane dotyczą,
•          dyskryminacji,
•          kradzieży tożsamości lub oszustwie,
•          stracie finansowej,
•          utracie reputacji,
•          utracie poufności Danych osobowych chronionych tajemnicą zawodową,
•          innych ekonomicznych lub społecznych niekorzystnych skutkach.

W przypadku wystąpienia jakiegokolwiek z powyższych ryzyka, pracownik odpowiedzialny za ochronę Danych osobowych w GAMER-MEDIA, zgłasza Naruszenie organowi nadzorczemu.

Zgłaszanie Naruszenia ochrony Danych osobowych organowi nadzorczemu

.

Zgłoszenie Naruszenia ochrony Danych osobowych, musi co najmniej:

•          opisywać charakter naruszenia ochrony Danych osobowych, w tym wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych osobowych, których dotyczy naruszenie (kategorie osób zawierać będą m.in. dzieci, osoby niepełnosprawne, pracowników czy Klientów; kategorie danych dotyczyć będą typu ujawnionych danych m.in. dane wrażliwe, dane finansowe).
•          zawierać imię i nazwisko oraz dane kontaktowe osoby lub podmiotu, od którego można uzyskać więcej informacji,
•          opisywać możliwe konsekwencje naruszenia ochrony Danych osobowych,
•          opisywać środki zastosowane lub proponowane przez GAMER-MEDIA w celu zaradzenia naruszeniu ochrony Danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Obowiązek notyfikacji Naruszenia organowi nadzorczemu rozpoczyna swój bieg od momentu stwierdzenia naruszenia, przy czym świadomość ta powstaje w momencie uzyskania rozsądnego stopnia pewności, że wystąpiło złamanie zasad bezpieczeństwa, które doprowadziło do naruszenia Danych osobowych.

Złamanie zasad bezpieczeństwa powinno być oceniane pod kątem: znacznego prawdopodobieństwa wystąpienia ryzyka, braku ryzyka lub wysokiego ryzyka Naruszenia Danych osobowych.

Osoba, która stwierdziła Naruszenie oraz pracownik odpowiedzialny za ochronę Danych osobowych w GAMER-MEDIA dokumentuje wszelkie Naruszenia ochrony Danych osobowych zgodnie z Instrukcją postępowania w sytuacji naruszenia ochrony Danych osobowych stanowiącą Załącznik nr 8 do Regulaminu. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania obowiązującego prawa.

W przypadku braku pełnego rozeznania co do wszystkich okoliczności sprawy, możliwa jest częściowa notyfikacja organowi nadzorczemu. W przypadku spóźnionej notyfikacji należy wskazać powody opóźnienia.

Zgłoszenie Naruszenia ochrony Danych osobowych organowi nadzorczemu nie jest wymagane, gdy nie zachodzi ryzyko naruszenia praw i wolności osób fizycznych, m.in. gdy dane były uprzednio upublicznione lub są szyfrowane i  klucz odczytu nie został wykradziony.

Zawiadomienie osoby, której dane dotyczą o Naruszeniu ochrony Danych osobowych

Jeżeli naruszenie ochrony Danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, GAMER-MEDIA bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie jasnym i prostym językiem opisuje charakter naruszenia ochrony Danych osobowych. Zawiadomienia dokonuje się drogę e-mail lub drogą korespondencyjną (listem poleconym).

Ocena ryzyka Naruszenia ochrony Danych osobowych musi uwzględniać powagę i prawdopodobieństwo zagrożeń, które należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych.

Oceniając ryzyko uwzględnia się:

•          typ Naruszania
•          kategorie danych i ilość naruszonych danych (np. dane wrażliwe, znaczna ilość naruszonych danych),
•          łatwość zidentyfikowania osoby, której dane dotyczą wskutek Naruszenia,
•          powagę konsekwencji Naruszenia dla osoby, której dane dotyczą,
•          przynależność do szczególnej kategorii osób tj. dzieci, osoby niepełnosprawne,
•          ilość osób dotkniętych Naruszeniem,
•          prawdopodobieństwo naruszenia praw lub wolności osób fizycznych (wysokie czy niskie).

Administrator nie zawiadamia osoby, której dane dotyczą, jeśli:

•            Zostały wdrożone odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do Danych osobowych, których dotyczy Naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych Danych osobowych;
•            Zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
•            wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Dochodzenie w celu wyjaśnienia przyczyn Naruszenia ochrony Danych osobowych

Po przywróceniu normalnego stanu Przetwarzania Danych osobowych należy przeprowadzić szczegółową analizę przyczyn Naruszenia ochrony Danych osobowych oraz podjąć środki naprawcze i zaradcze.

Przyczyny Naruszenia oraz przyjęte działania:

1.        błąd Użytkownika Systemu informatycznego -należy przeprowadzić szkolenie wszystkich osób biorących udział w Przetwarzaniu Danych osobowych, tak aby wyeliminować ryzyko błędów,

1. infekcja Systemu informatycznego wirusem -należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości,
2. zaniedbanie ze strony Użytkownika Systemu informatycznego - należy wyciągnąć konsekwencje dyscyplinarne wynikające z Kodeksu pracy oraz RODO,
3. czynniki zewnętrzne (pożar, zalanie, włamanie itp.) - podejmuje się odpowiednie środki mające wykluczyć podobne zdarzenie w przyszłości.

Przygotowuje się szczegółowy raport o przyczynach, przebiegu i wnioskach
ze zdarzenia i w terminie 7 dni od daty jego zaistnienia przekazuje się raport Administratorowi.