Professional Documents
Culture Documents
Naruszenia - Instrukcja Dla Pracownika
Naruszenia - Instrukcja Dla Pracownika
Instrukcja postępowania w razie naruszenia ochrony danych osobowych w Benefit Systems S.A.
(„Spółka”)
Masz obowiązek zgłaszać naruszenia ochrony danych osobowych ("naruszenie") niezwłocznie, nie
później niż w ciągu godziny od ich wykrycia na adres e-mail incydenty@benefitsystems.pl.
Ponadto, im szybciej dowiemy się o naruszeniu, tym szybciej będziemy mogli podjąć działania
zabezpieczające dane osobowe i działania naprawcze.
Postępowanie w przypadku naruszenia obejmuje 3 kroki. Poniżej przeprowadzamy Cię przez nie.
Stosując instrukcję zapewniasz, że Spółka dba o bezpieczeństwo danych osobowych posiadanych przez
Spółkę i działa zgodnie z RODO.
KROK 1
Przedstawiamy przykłady naruszeń najczęściej występujących w pracy biurowej. Pamiętaj, mogą się
one wydarzyć zarówno w pracy "z biura", jak i "pracy zdalnej" oraz w klubie fitness.
• Zgubienie lub kradzież telefonu, tabletu lub laptopa dostarczonego przez Spółkę;
• Zgubienie lub kradzież pendrive’a lub innego nośnika informacji zawierającego dane osobowe;
1
• Pozostawienie dokumentów służbowych w autobusie/kawiarni/innym miejscu publicznym;
• Przypadkowe usunięcie plików zawierających dane osobowe (np. z systemów / baz danych
Spółki);
• Błąd systemu pozwalający na dostęp do danych osobom, które nie są do tego upoważnione
(np. dział HR ma dostęp do danych działu prawnego);
Jak widzicie po powyższych przykładach, bezpieczeństwo danych osobowych rozumiemy szeroko, jako
zapewnienie im:
• dostępności (dostęp do danych oraz inne sposoby ich wykorzystywania nie napotykają
żadnych przeszkód).
Naruszenie może być wynikiem przypadku, błędu systemów IT, zaniedbania lub rozmyślnego działania
sprawcy.
Pamiętaj! Mamy do czynienia z naruszeniem, nawet gdy nie ma żadnych negatywnych skutków dla
osoby, której dane dotyczą (np. pracownika lub klienta Spółki).
Przykład: zgubienie telefonu stanowi naruszenie, nawet jeśli telefon jest zaszyfrowany i dostęp do
danych przez osobę nieuprawioną jest mało prawdopodobny.
2
• podejrzana aktywność na Twoim koncie firmowym, np. wiadomości w skrzynce nadawczej
(sent), których nie wysyłałeś/łaś, czy nowe pliki w Document Worklist lub Checked-out
Documents, których nie otwierałeś/aś;
• każdy e-mail od nieznanej osoby, który zawiera załącznik lub link – nawet jeśli na pierwszy rzut
oka wygląda jak zapytanie biznesowe.
4. Zgłoś naruszenie!
Często nie będziesz w stanie w pełni ocenić czy dane zdarzenie stanowi naruszenie ochrony danych
osobowych czy nie. Aby zagwarantować bezpieczeństwo danych osobowych w Spółce kieruj się zasadą
"Zawsze zgłoś" i przejdź do Kroku nr 2.
KROK 2
Każdy w Spółce ma obowiązek informowania o naruszeniach, bez względu na stanowisko lub tytuł
zatrudnienia.
Masz obowiązek zgłosić naruszenie, gdy jesteś jego świadkiem lub źródłem, a także, gdy możesz
wnioskować, że doszło do naruszenia. Nie czekaj aż zgromadzisz "wystarczającą" ilość podejrzeń lub
informacji.
Jeżeli jesteś jednym ze świadków naruszenia, a nie jesteś pewny, czy któraś z pozostałych osób
powiadomiła nas o nim, poinformuj nas. Poinformuj nas także, gdy o naruszeniu dowiedziałeś/łaś się
od innej osoby ze Spółki, a nie jesteś pewny/a, czy osoba ta powiadomiła nas.
Ważne, abyśmy uzyskali wstępną informację jak najwcześniej, nawet jeśli będzie niepełna. Pozwoli to
nam na szybką reakcję – wyjaśnienie sprawy lub działania zabezpieczające.
Jeżeli podejrzewasz, że doszło do naruszenia, masz obowiązek niezwłocznie poinformować nas o tym,
nie później niż w ciągu jednej godziny od chwili powzięcia podejrzenia, na adres e-mail:
incydenty@benefitsystems.pl.
KROK 3
3
Aby pozwolić nam „zaopiekować się” naruszeniem i wyjaśnić jego okoliczności, przygotuj opis
naruszenia i prześlij do nas e-mailem.
Opisz nam dokładnie co się stało, podając m.in. co i kiedy się wydarzyło, jak i skąd dowiedziałeś/łaś się
o naruszeniu, jakich danych może on dotyczyć, kim są osoby dotknięte naruszeniem, jakie działania
podjąłeś/łaś do tej pory w związku z naruszeniem, kto może wiedzieć coś więcej na jego temat.
Jeżeli nie masz wszystkich powyższych informacji, wystarczy, że podasz to co wiesz. Nie wymagamy od
Ciebie wiedzy specjalistycznej z ochrony danych osobowych.
W Dodatku nr 1 do niniejszej instrukcji znajduje się wzór e-maila wraz z pytaniami dotyczącymi
naruszenia, na które powinieneś nam odpowiedzieć. Użyj go żeby przesłać do nas informację o
naruszeniu.
(i) Podjąć odpowiednie działania zabezpieczające dane osobowe lub inne informacje;
(iv) Zgłosić naruszenie do osób dotkniętych naruszeniem, gdy mamy taki wymóg prawny;
(v) Podjąć działania mające na celu zapobieganie występowania takich naruszeń w przyszłości.
Liczymy na Twoją pomoc. Więcej o naszej procedurze reagowania na naruszenia możesz znaleźć w
"Polityce zarządzania naruszeniami ochrony danych osobowych” dostępnej w Intranecie Spółki.
4
Dodatek nr 1
Wzór e-maila o naruszeniu
Cześć,
Piszę by Was poinformować o możliwym wystąpieniu naruszenia ochrony danych osobowych. Poniżej znajdują się
szczegółowe informacje:
Pytanie Odpowiedź
Co się wydarzyło?
Pozdrawiam
Imię i nazwisko