Pogotowie RODO

1. Zgłoszenie naruszenia danych osobowych do UODO: Jeśli naruszenie danych osobowych wiąże się z ryzykiem dla praw i wolności osób fizycznych, organizacja ma obowiązek zgłoszenia incydentu do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od momentu stwierdzenia naruszenia. Jeśli organizacja nie zgłosi naruszenia w tym terminie, musi wyjaśnić powody opóźnienia.

Zgłoszenie powinno zawierać:

• Opis incydentu,
• Kategorię i liczbę osób, których dane dotyczą,
• Rodzaj danych, które zostały naruszone,
• Opis skutków naruszenia,
• Podjęte działania naprawcze.

2. Informowanie osób, których dane dotyczą: Jeśli naruszenie danych osobowych wiąże się z wysokim ryzykiem dla osób, których dane zostały naruszone, organizacja musi poinformować te osoby bez zbędnej zwłoki.

Powiadomienie powinno zawierać:

• Opis naruszenia,
• Nazwa i dane kontaktowe IOD (jeśli jest powołany),
• Możliwe konsekwencje naruszenia ochrony danych,
• Podjęte środki naprawcze lub zapobiegawcze.

3. Dokumentowanie incydentów: Każdy incydent związany z ochroną danych osobowych musi być dokładnie dokumentowany przez organizację, niezależnie od tego, czy wymaga zgłoszenia do UODO, czy nie. To pozwala na wykazanie, że organizacja stosuje odpowiednie procedury ochrony danych, a także umożliwia lepszą analizę i zapobieganie przyszłym naruszeniom.

4. Podejmowanie działań naprawczych: Organizacja powinna natychmiast podjąć odpowiednie działania w celu naprawienia skutków naruszenia.

Może to obejmować:

• Zablokowanie dostępu do danych.
• Przeprowadzenie analizy przyczyn incydentu.
• Zmiana procedur ochrony danych, aby zapobiec podobnym incydentom w przyszłości.