lipiec, 2025

Bez kategorii 2, FAQ (często zadawane pytania)
0
Procedura Reagowania na Incydenty Ochrony Danych Osobowych

Podmiot odpowiedzialny: OptimaSales
Zakres: przetwarzanie danych osobowych w ramach usługi OptimaSales CRM

1. Cel procedury

Celem niniejszej procedury jest określenie zasad reagowania na incydenty związane z naruszeniem ochrony danych osobowych zgodnie z przepisami RODO oraz zapewnienie szybkiego podjęcia działań naprawczych i minimalizacji ryzyka.

2. Definicja incydentu

Za incydent uznaje się wszelkie zdarzenia naruszające bezpieczeństwo danych, w szczególności:

  • nieuprawniony dostęp do danych,
  • ujawnienie danych osobom trzecim,
  • utrata danych,
  • niewłaściwe przetwarzanie (np. poza celem, niezgodnie z instrukcjami administratora),
  • podejrzenie włamania do systemu.

3. Identyfikacja i klasyfikacja

Każdy incydent jest identyfikowany przez właściciela firmy, klienta, użytkownika lub partnera technicznego (np. dostawcę infrastruktury). Po wykryciu incydentu należy niezwłocznie:

  • określić typ danych objętych incydentem (zwykłe / szczególne),
  • ocenić liczbę osób dotkniętych incydentem,
  • oszacować potencjalne skutki.

4. Zgłoszenie do UODO

Jeśli incydent może powodować ryzyko naruszenia praw lub wolności osób fizycznych:

  • musi zostać zgłoszony do Prezesa UODO w ciągu 72 godzin od jego wykrycia,
  • zgłoszenie powinno zawierać:
    • opis incydentu,
    • dane kontaktowe podmiotu,
    • ocenę skutków oraz środki naprawcze.

5. Powiadomienie osoby, której dane dotyczą

Jeśli ryzyko jest wysokie:

  • należy poinformować osoby, których dane dotyczą, prostym i zrozumiałym językiem,
  • wskazać: rodzaj danych, charakter zagrożenia, podjęte środki naprawcze i kontakt z usługodawcą.

6. Działania naprawcze

Usługodawca podejmuje działania techniczne lub organizacyjne, m.in.:

  • blokada dostępu,
  • zmiana haseł,
  • przywrócenie danych z backupu,
  • zgłoszenie dostawcy infrastruktury,
  • aktualizacja zabezpieczeń.

7. Dokumentacja

Każdy incydent jest dokumentowany w formie:

  • Rejestru incydentów (wewnętrzny wykaz),
  • Raportu incydentu – z datą, opisem, działaniami i oceną skutków.

8. Zapobieganie powtórzeniu

Po zakończeniu działań usługodawca dokonuje:

  • przeglądu przyczyn zdarzenia,
  • aktualizacji procedur technicznych (np. zmiany konfiguracji),
  • edukacji użytkowników lub zespołu,
  • weryfikacji dostawców usług hostingowych i backupowych.

Kontakt w sprawie ochrony danych osobowych:
e-mail: info@optimasales.pl, tel. kom.: 604 106 206

1 lipca 2025