Scribd Logo
Upload

Welcome to Scribd!

  • Naruszenia - Instrukcja Dla Pracownika

    Uploaded by

    karolinawozniak2503
    22 views5 pages

    Original Title

    Naruszenia_instrukcja Dla Pracownika

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pdf or txt
    22 views5 pages

    Naruszenia - Instrukcja Dla Pracownika

    Uploaded by

    karolinawozniak2503

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pdf or txt
    of 5

    ZAŁĄCZNIK NR 2

    Instrukcja postępowania w razie naruszenia ochrony danych osobowych w Benefit Systems S.A.
    („Spółka”)

    Masz obowiązek zgłaszać naruszenia ochrony danych osobowych ("naruszenie") niezwłocznie, nie
    później niż w ciągu godziny od ich wykrycia na adres e-mail incydenty@benefitsystems.pl.

    Powinieneś/naś powiadomić o naruszeniu z pierwszeństwem przed innymi obowiązkami


    służbowymi. Żadne, nawet pilne czy zlecone przez przełożonych obowiązki służbowe nie
    usprawiedliwiają opóźnienia.

    Dlaczego szybka reakcja ma znaczenie?

    Spółka ma 72 godziny na analizę oraz na ewentualne zawiadomienie Urzędu Ochrony Danych


    Osobowych („UODO”) o naruszeniu. Stąd bardzo ważne jest, żebyś działał/a szybko.

    Ponadto, im szybciej dowiemy się o naruszeniu, tym szybciej będziemy mogli podjąć działania
    zabezpieczające dane osobowe i działania naprawcze.

    Postępowanie w przypadku naruszenia obejmuje 3 kroki. Poniżej przeprowadzamy Cię przez nie.

    Stosując instrukcję zapewniasz, że Spółka dba o bezpieczeństwo danych osobowych posiadanych przez
    Spółkę i działa zgodnie z RODO.

    KROK 1

    Zachowaj czujność i rozpoznaj naruszenie

    1. Najczęściej występujące przykłady naruszeń

    Przedstawiamy przykłady naruszeń najczęściej występujących w pracy biurowej. Pamiętaj, mogą się
    one wydarzyć zarówno w pracy "z biura", jak i "pracy zdalnej" oraz w klubie fitness.

    • Wysłanie wiadomości e-mail do niewłaściwego adresata;

    • Wysłanie kart MultiSport do niewłaściwego klienta;

    • Umieszczenie adresatów masowej wiadomości e-mail w polu do wiadomości (CC) zamiast


    ukryte do wiadomości (BCC);

    • Zgubienie lub kradzież telefonu, tabletu lub laptopa dostarczonego przez Spółkę;

    • Wyrzucenie dokumentu zawierającego dane osobowe do zwykłego kosza na śmieci (w biurze


    lub w domu), zamiast do niszczarki lub specjalnego pojemnika;

    • Zgubienie lub kradzież pendrive’a lub innego nośnika informacji zawierającego dane osobowe;

    1
    • Pozostawienie dokumentów służbowych w autobusie/kawiarni/innym miejscu publicznym;

    • Przypadkowe zniszczenie lub utrata dokumentów służbowych;

    • Przypadkowe usunięcie plików zawierających dane osobowe (np. z systemów / baz danych
    Spółki);

    • Utrata klucza (hasła) pozwalającego na odczytanie zaszyfrowanych danych osobowych;

    • Awaria serwera powodująca utratę danych osobowych zapisanych w systemie;

    • Zainfekowanie systemu IT złośliwym oprogramowaniem typu ransomware (np. kliknięcie w


    podejrzaną wiadomość lub link);

    • Błąd systemu pozwalający na dostęp do danych osobom, które nie są do tego upoważnione
    (np. dział HR ma dostęp do danych działu prawnego);

    • Logowanie się do systemów IT z użyciem hasła innej osoby;

    • Podanie swojego hasła do systemu IT innej osobie.

    2. Czym jest bezpieczeństwo danych?

    Jak widzicie po powyższych przykładach, bezpieczeństwo danych osobowych rozumiemy szeroko, jako
    zapewnienie im:

    • poufności (do danych mają dostęp tylko osoby upoważnione),

    • integralności (dane nie podlegają przypadkowym i niezamierzonym zmianom),

    • dostępności (dostęp do danych oraz inne sposoby ich wykorzystywania nie napotykają
    żadnych przeszkód).

    3. Jak rozpoznać naruszenie?

    Naruszenie to zdarzenie, które zagraża, choćby potencjalnie, bezpieczeństwu danych osobowych.

    Naruszenie może być wynikiem przypadku, błędu systemów IT, zaniedbania lub rozmyślnego działania
    sprawcy.

    Pamiętaj! Mamy do czynienia z naruszeniem, nawet gdy nie ma żadnych negatywnych skutków dla
    osoby, której dane dotyczą (np. pracownika lub klienta Spółki).

    Przykład: zgubienie telefonu stanowi naruszenie, nawet jeśli telefon jest zaszyfrowany i dostęp do
    danych przez osobę nieuprawioną jest mało prawdopodobny.

    Twoją czujność powinny wzbudzić między innymi te sytuacje:

    • wiadomość od klienta lub dostawcy, informująca o otrzymaniu od Spółki


    dziwnego/podejrzanego e-maila;

    2
    • podejrzana aktywność na Twoim koncie firmowym, np. wiadomości w skrzynce nadawczej
    (sent), których nie wysyłałeś/łaś, czy nowe pliki w Document Worklist lub Checked-out
    Documents, których nie otwierałeś/aś;

    • każdy e-mail od nieznanej osoby, który zawiera załącznik lub link – nawet jeśli na pierwszy rzut
    oka wygląda jak zapytanie biznesowe.

    4. Zgłoś naruszenie!

    Często nie będziesz w stanie w pełni ocenić czy dane zdarzenie stanowi naruszenie ochrony danych
    osobowych czy nie. Aby zagwarantować bezpieczeństwo danych osobowych w Spółce kieruj się zasadą
    "Zawsze zgłoś" i przejdź do Kroku nr 2.

    KROK 2

    Informuj o swoich spostrzeżeniach

    1. Kto musi informować o naruszeniu?

    Każdy w Spółce ma obowiązek informowania o naruszeniach, bez względu na stanowisko lub tytuł
    zatrudnienia.

    Masz obowiązek zgłosić naruszenie, gdy jesteś jego świadkiem lub źródłem, a także, gdy możesz
    wnioskować, że doszło do naruszenia. Nie czekaj aż zgromadzisz "wystarczającą" ilość podejrzeń lub
    informacji.

    Jeżeli jesteś jednym ze świadków naruszenia, a nie jesteś pewny, czy któraś z pozostałych osób
    powiadomiła nas o nim, poinformuj nas. Poinformuj nas także, gdy o naruszeniu dowiedziałeś/łaś się
    od innej osoby ze Spółki, a nie jesteś pewny/a, czy osoba ta powiadomiła nas.

    2. Komu zgłosić i w jakiej formie?

    Ważne, abyśmy uzyskali wstępną informację jak najwcześniej, nawet jeśli będzie niepełna. Pozwoli to
    nam na szybką reakcję – wyjaśnienie sprawy lub działania zabezpieczające.

    Jeżeli podejrzewasz, że doszło do naruszenia, masz obowiązek niezwłocznie poinformować nas o tym,
    nie później niż w ciągu jednej godziny od chwili powzięcia podejrzenia, na adres e-mail:
    incydenty@benefitsystems.pl.

    Nie czekaj aż zgromadzisz "wystarczającą" ilość podejrzeń lub informacji!

    Przekaż nam informację o naruszeniu zgodnie z Krokiem nr 3.

    KROK 3

    Pomóż wyjaśnić, co się stało

    3. Przygotuj opis naruszenia i prześlij do nas e-mailem

    3
    Aby pozwolić nam „zaopiekować się” naruszeniem i wyjaśnić jego okoliczności, przygotuj opis
    naruszenia i prześlij do nas e-mailem.

    Opisz nam dokładnie co się stało, podając m.in. co i kiedy się wydarzyło, jak i skąd dowiedziałeś/łaś się
    o naruszeniu, jakich danych może on dotyczyć, kim są osoby dotknięte naruszeniem, jakie działania
    podjąłeś/łaś do tej pory w związku z naruszeniem, kto może wiedzieć coś więcej na jego temat.

    Jeżeli nie masz wszystkich powyższych informacji, wystarczy, że podasz to co wiesz. Nie wymagamy od
    Ciebie wiedzy specjalistycznej z ochrony danych osobowych.

    W Dodatku nr 1 do niniejszej instrukcji znajduje się wzór e-maila wraz z pytaniami dotyczącymi
    naruszenia, na które powinieneś nam odpowiedzieć. Użyj go żeby przesłać do nas informację o
    naruszeniu.

    Przygotowaną informację prześlij do nas na adres e-mail wskazany w Kroku nr 2.

    W zależności od sytuacji, przesłane przez Ciebie wyjaśnienia i materiały pomogą nam:

    (i) Podjąć odpowiednie działania zabezpieczające dane osobowe lub inne informacje;

    (ii) Wyjaśnić przyczyny oraz okoliczności naruszenia;

    (iii) Zgłosić naruszenie do UODO, gdy mamy taki wymóg prawny;

    (iv) Zgłosić naruszenie do osób dotkniętych naruszeniem, gdy mamy taki wymóg prawny;

    (v) Podjąć działania mające na celu zapobieganie występowania takich naruszeń w przyszłości.

    Liczymy na Twoją pomoc. Więcej o naszej procedurze reagowania na naruszenia możesz znaleźć w
    "Polityce zarządzania naruszeniami ochrony danych osobowych” dostępnej w Intranecie Spółki.

    4
    Dodatek nr 1
    Wzór e-maila o naruszeniu

    Temat: Naruszenie ochrony danych osobowych

    Cześć,

    Piszę by Was poinformować o możliwym wystąpieniu naruszenia ochrony danych osobowych. Poniżej znajdują się
    szczegółowe informacje:

    Pytanie Odpowiedź

    Co się wydarzyło?

    Opisz proszę tak szczegółowo jak to tylko możliwe, co


    wiesz o naruszeniu, w tym gdzie i kiedy (dzień, godzina,
    minuta) naruszenie miało miejsce.

    Kiedy i jak dowiedziałeś/łas się o naruszeniu?

    Jeżeli podejrzewasz naruszenie na podstawie informacji


    pozyskanych od innej osoby (np. e-mail, sms), prześlij
    nam proszę tę informację (np. za pośrednictwem e-
    maila/ sms).

    Jakie dane osobowe mogą być objęte naruszeniem?


    (np. imię, nazwisko, adres e-mail, numer telefonu, adres
    zamieszkania, numer karty MultiSport, rodzaj karty
    MultiSport, informacje o osobach przypisanych do karty
    MultiSport, informacje o zadłużeniu, nazwa
    pracodawcy)

    Jaka jest przybliżona liczba osób dotknięta


    naruszeniem?

    Kim one są? (np. użytkownicy kart MultiSport, klienci,


    inni pracownicy, kandydaci do pracy)

    Kto, poza Tobą, może wiedzieć coś więcej na temat


    naruszenia? (np. świadkowie, klienci, osoby od których
    pozyskałeś/łaś informację o naruszeniu)

    Jakie działania podjąłeś w celu zminimalizowania


    negatywnych skutków naruszenia?

    Dajcie mi proszę znać, jeżeli macie dodatkowe pytania.

    Pozdrawiam

    Imię i nazwisko

    You might also like