Blog

Procedura Reagowania na Incydenty Bezpieczeństwa Danych

1. Cel procedury

Celem niniejszej procedury jest zapewnienie szybkiej, skutecznej i zgodnej z przepisami reakcji na incydenty naruszenia ochrony danych osobowych i informacji firmowych w TSL Silesia Group.

2. Zakres stosowania

Procedura dotyczy:

  • wszystkich pracowników i współpracowników TSL Silesia Group,
  • wszystkich systemów informatycznych, dokumentów papierowych i procesów biznesowych,
  • incydentów takich jak: wyciek danych, nieuprawniony dostęp, zagubienie dokumentacji, phishing, ransomware.

3. Definicja incydentu bezpieczeństwa danych

Incydentem jest każde zdarzenie, które może prowadzić do:

  • utraty poufności, integralności lub dostępności danych,
  • naruszenia zasad przetwarzania danych osobowych zgodnie z RODO,
  • szkody dla osoby, której dane dotyczą, lub dla interesów firmy.

4. Etapy reagowania na incydent

Etap 1: Zgłoszenie incydentu

  • Incydent zgłasza każdy pracownik, który go zauważy – mailowo lub telefonicznie do zespołu ds. bezpieczeństwa (adres wewnętrzny: w.kwiatkowska@tsl-group.pl).
  • Zgłoszenie powinno zawierać:
  • datę i godzinę incydentu,
  • opis zdarzenia i okoliczności,
  • dane systemów, osób i danych objętych incydentem,
  • podjęte działania tymczasowe (jeśli dotyczy).

Etap 2: Rejestracja i wstępna analiza

  • Zespół ds. bezpieczeństwa rejestruje zgłoszenie w wewnętrznym Rejestrze incydentów.
  • W ciągu maks. 24 godzin od zgłoszenia przeprowadzana jest wstępna analiza:
  • klasyfikacja incydentu,
  • ocena ryzyka naruszenia praw osób, których dane dotyczą,
  • decyzja o eskalacji do Inspektora Ochrony Danych .

Etap 3: Eskalacja i działania zaradcze

  • Zespół ds. bezpieczeństwa, wdraża działania ograniczające skutki incydentu:
  • izolacja systemów,
  • zmiana haseł,
  • informowanie pracowników,
  • uruchomienie kopii zapasowych (jeśli konieczne).

Etap 4: Zgłoszenie do UODO i klientów

  • Jeśli incydent może skutkować ryzykiem naruszenia praw osób fizycznych, zgłoszenie do UODO następuje w ciągu 72 godzin od wykrycia (art. 33 RODO).
  • Informacja dla klientów (osób, których dane dotyczą) przekazywana jest bez zbędnej zwłoki i zawiera:
  • opis naruszenia,
  • możliwe konsekwencje,
  • środki zaradcze,
  • dane kontaktowe IOD.

Etap 5: Dokumentacja i zamknięcie incydentu

  • Po zakończeniu działań tworzony jest Raport końcowy z incydentu, zawierający:
  • daty, osoby, działania, wnioski,
  • rekomendacje dla zapobiegania podobnym sytuacjom w przyszłości.
  • Raport przechowywany jest przez min. 5 lat.
  • Rejestr incydentów aktualizowany jest na bieżąco.

5. Odpowiedzialność

6. Szkolenia i testy procedury

  • Pracownicy są szkoleni z procedury incydentowej, dostępna na www.tsl-group.pl w strefie kadry
  • Procedura podlega przeglądowi i aktualizacji, jeśli zachodzi taka potrzeba.

7. Załączniki do procedury

  • Formularz zgłoszenia incydentu
  • Wzór raportu końcowego
  • Szablon komunikatu do UODO
  • Szablon informacji do osoby, której dane dotyczą