Procedura upravljanja dokumentima
1. SVRHA
Svrha ove procedure je dati smjernice za izvještavanje i upravljanje povredama osobnih podataka. Ova procedura je dodatak Politici informacijske sigurnosti i Politici zaštite osobnih podataka koje opisuju prava korisnika sukladno Općoj uredbi o zaštiti podataka (GDPR).
Procedura se primjenjuje na:
- Sve osobne podatke kreirane ili prikupljene od strane Unilinea u bilo kojem formatu
- Sve osobne podatke koji se obrađuju od strane Unilinea
- Sve ostale informacijske sustave na kojima se podaci nalaze ili na kojima se obrađuju.
2. DEFINICIJE
Povreda osobnih podataka (incident) - znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
3. PRIJAVA POVREDA OSOBNIH PODATAKA
U slučaju povrede osobnih podataka ključno je, u najkraćem mogućem roku od trenutka spoznaje, slučaj prijaviti kako bi se smanjile moguće posljedice. Sve osobe koje imaju pristup informacijskim sustavima Unilinea odgovorne su za prijavu sumnjivih aktivnosti (incidenata) koje mogu dovesti do narušavanja povjerljivosti, integriteta i/ili dostupnosti osobnih podataka. Prijave je moguće napraviti slanjem e-maila na dpo@uniline.hr.
3.1. Inicijalna provjera
Službenik za zaštitu podataka za upravljanje incidentima će nakon primitka e-maila istražiti uzrok incidenta ili ovlastiti drugu osobu koja će napraviti istragu. Svi zapisi i dokazi o incidentu će se direktno slati i davati na čuvanje službeniku za zaštitu podataka. Tijekom istrage se provjerava ozbiljnost incidenta i njegov utjecaj na prava i slobode kupaca i djelatnika Unilinea.
4. OGRANIČAVANJE I OPORAVAK
U slučaju kada se ustanovi da je došlo do narušavanja sigurnosti osobnih podataka, Uniline će u najkraćem mogućem roku provesti aktivnosti kako bi se incident ograničio. Sukladno ozbiljnosti incidenta, odgovorna osoba će po potrebni uključiti i informirati ostale osobe kako bi se moglo:
- Utvrditi postoji li mogućnost da se napravi oporavak gubitaka i ograničavanje štete koje može uzrokovati incident
- Utvrditi je li potrebno obavijestiti osobe koje su pogođene incidentom
- Utvrditi je li potrebno obavijestiti nadležno nadzorno tijelo
4.1. Analiza utjecaja
Potrebno je odrediti koje daljnje aktivnosti treba poduzeti na temelju zaprimljene prijave o incidentu s ciljem ublažavanja posljedica povrede osobnih podataka i sprječavanja ponavljanja. Uniline dokumentira sve povrede osobnih podataka, uključujući posljedice i mjere poduzete za popravljanje štete.
5. IZVJEŠTAVANJE
Uniline će bez nepotrebnog odlaganja obavijestiti svoje kupce o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca.
U obavijesti će biti opisana priroda povrede osobnih podataka kao i preporuke kako bi kupci mogli ublažiti potencijalne negativne učinke, a ista će biti poslana u najkraćem mogućem roku od trenutka spoznaje o povredi osobnih podataka. Prilikom pisanja obavijesti kupcima, Uniline će postupati sukladno uputama nadzornog tijela ili drugih nadležnih tijela.
U slučaju povrede osobnih podataka Uniline bez nepotrebnog odgađanja, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo. Iznimka su povrede osobnih podataka koje neće prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, Uniline će opisati razloge kašnjenja.
Izvješće prema nadzornom tijelu obvezno sadrži (ali nije ograničeno na):
- prirodu povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj korisnika, te kategorije i približan broj evidencija osobnih podataka;
- ime i kontakt podatke službenika za zaštitu podataka od koje se može dobiti više informacija;
- opis vjerojatnih posljedica povrede osobnih podataka;
- opis mjera koje je Uniline poduzeo ili planira poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja mogućih štetnih posljedica.
6. REGISTAR POVREDA OSOBNIH PODATAKA
Uniline će podatke iz zadnjeg stavka prethodnog članka, bilo da se radi o povredi za koju izvještava nadzorno tijelo ili ne, upisati u vlastiti registar povreda osobnih podataka koji će čuvati na svom datotečnom sustavu.