Procedura postępowania w przypadku naruszenia
danych osobowych z dnia 01.03.2025 r.

Administrator Danych Osobowych:
Fundacja Świadomy Medykz siedzibą w Katowicach
adres: ul. Węglowa 9, 40-106 Katowice,
KRS: 0001150845

§1. Deklaracja Administratora Danych Osobowych

1. Mając na uwadze zgodne z prawem przetwarzanie danych osobowych Administrator Danych Osobowych wprowadza do stosowania niniejszą procedurę.
2. Administrator Danych Osobowych stosuje procedurę postępowania w przypadku naruszenia danych w stosunku do danych osobowych osób fizycznych, które przetwarza w związku z wykonywaną działalnością.
3. Przy opracowaniu niniejszej procedury brano pod uwagę zapewnienie zgodności z:
   a) Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej Ogólne rozporządzenie o ochronie danych lub RODO (Dz. U. UE. L. 2016. 119. 1),
   b) Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.).

§2. Naruszenie danych osobowych

1. Naruszeniem danych jest każde zdarzenie nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia, bez względu na to, czy przetwarzanie odbywa się w sposób tradycyjny czy w systemie informatycznym.
2. Do sytuacji naruszenia dochodzi w szczególności, gdy nastąpi:
   a) ujawnienie danych osobowych;
   b) nieautoryzowana modyfikacja na danych;
   c) wykorzystanie danych osobowych w celach niezgodnych z tym, dla którego zostały zgromadzone;
   d) udostępnienie lub umożliwienie dostępu do danych osobowych osobom lub podmiotom do tego nieupoważnionym;
   e) utrata danych;
   f) zagubienie danych, utrata kontroli nad danymi.

§3. Postępowanie w przypadku naruszenia

1. W przypadku naruszenia ochrony danych Administrator Danych Osobowych przeprowadza sprawdzenie w celu ustalenia:
   a) dlaczego doszło do naruszenia;
   b) jakie dane osobowe zostały naruszone (ujawnione, zagubione, zniszczone, zmodyfikowane, etc.);
   c) czy nastąpiło naruszenia praw lub wolności osób fizycznych,
   d) jakie środki zapobiegawcze wprowadzić w przyszłości, aby zapobiegać podobnym zdarzeniom.
2. Wszystkie naruszenia ochrony danych Administrator Danych Osobowych ewidencjonuje w rejestrze naruszeń, który na bieżąco aktualizuje.

§4. Zgłoszenie naruszenia do PUODO

1. W przypadku naruszenia, które powoduje ryzyko utraty praw i wolności osoby fizycznej, Administrator Danych Osobowych zgłasza przypadek naruszenia ochrony danych osobowych w ciągu 72 godzin od chwili stwierdzenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
2. Ryzyko naruszenia praw lub wolności osób fizycznych to takie sytuacje, które mogą dla osoby, której dane zostały naruszenie powodować takie następstwa, jak, np.:
   a) powstanie uszczerbku fizycznego osoby, której dane dotyczą;
   b) szkody majątkowe lub niemajątkowe osoby fizycznej;
   c) utrata kontroli nad własnymi danymi;
   d) ograniczenie praw osoby fizycznej;
   e) kradzież lub fałszowanie tożsamości;
   f) naruszenie dobrego imienia, naruszenie poufności danych objętych tajemnicą zawodową;
   g) inne szkody gospodarcze lub społeczne, które mogą powstać w wyniku naruszenia danych jako konsekwencje dla osoby, której dane dotyczą.
3. Naruszenia nie zgłasza się organowi nadzorczemu jeśli Administrator Danych Osobowych będzie w stanie wykazać, że jest mało prawdopodobne, by doszło do naruszenia praw lub wolności osób fizycznych.
4. Decyzję odnośnie kwalifikacji naruszenia jako powodującego ryzyko utraty praw i wolności osoby, której dane dotyczą podejmuje Administrator Danych Osobowych w oparciu o następujące kryteria:
   a) jakich kategorii danych dotyczy naruszenie – czy to dane zwykłe, czy wrażliwe,
   b) zakres danych, które zostały naruszone – jakie konkretnie dane zostały naruszone,
   c) jakie konsekwencje mogą nastąpić dla osoby, której dane dotyczą,
   d) czy istnieje ryzyko naruszenia praw lub wolności,
   e) czy jest możliwe zastosowanie natychmiastowych środków, które mogłyby zaradzić ewentualnym konsekwencjom naruszenia.
5. W przypadku zgłoszenia naruszenia do PUODO zgłoszenie następuje w formie elektronicznej na platformie biznes.gov.pl lub przez elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP.
6. Zgłoszenie powinno zawierać wypełniony formularz „Zgłoszenie naruszenia ochrony danych osobowych – formularz interaktywny” w formie elektronicznej dostępny na stronie Urzędu Ochrony Danych Osobowych: https://www.biznes.gov.pl/pl/e-uslugi/00_0889_00
7. Zgłoszenia można także wysłać pocztą kurierską lub poleconą na adres Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

§5. Zgłoszenie naruszenia do osoby, której dane dotyczą

1. W przypadku wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej niezwłocznie zawiadomienie w prostej i zrozumiałej formie przekazuje się także osobie, której te dane dotyczą.
2. W zawiadomieniu do osoby, której dane dotyczą Administrator Danych Osobowych podaje co najmniej:
   a) dane kontaktowe osoby, od której osoba, której dane dotyczą będzie mogła uzyskać więcej informacji;
   b) opis zdarzenia;
   c) opis możliwych konsekwencji naruszenia, które powodują ryzyko naruszenia praw i wolności, której dane dotyczą;
   d) środki, które zastosował administrator danych w celu zminimalizowania jego negatywnych skutków.
3. Naruszenia ochrony danych nie zgłasza się osobie, której dane dotyczą, jeśli Administrator Danych Osobowych będzie w stanie wykazać, że wdrożono odpowiednie organizacyjne i techniczne środki bezpieczeństwa (np. szyfrowanie danych), które uniemożliwią dostęp do danych osobom nieupoważnionym lub gdy zastosowano po zdarzeniu środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.