Polityka ochrony danych osobowych

 POLITYKA BEZPIECZEŃSTWA

1. Postanowienia ogólne

1.1 Niniejszą Politykę sporządzono w celu wykazania przestrzegania ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO” lub „Rozporządzenie”) dostępnego pod adresem:

https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL

1.2 Niniejszą Politykę sporządzono również w celu zapewnienia, aby przetwarzanie danych osobowych spełniało wymogi (RODO) i przez to chroniło prawa osób, których dane dotyczą, a w szczególności prawa do prywatności, prawa do wolności wypowiedzi, swobody przemieszczania się, prawa do równego traktowania (zakaz dyskryminacji), oraz innych przepisów dotyczących przetwarzania i zabezpieczania danych osobowych.

1.3 Polityka określa sposób przetwarzania wszystkich danych osobowych przetwarzanych u Administratora Danych (zwanego dalej „Administratorem”) oraz zasady służące zapewnieniu ochrony przetwarzanych danych w postaci tradycyjnej (papierowej), oraz elektronicznej (w systemach informatycznych).

1.4 Niniejsza Polityka jest udostępniana do wglądu każdej osobie, która ma być upoważniona do przetwarzania danych osobowych, w celu zapoznania się, jak również każdej osobie posiadającej już takie upoważnienie na jej wniosek. Polityka może być również udostępniana za pośrednictwem intranetu.

 

2. Terminy i definicje

Użyte określenia i skróty oznaczają:

CPO – Chief Privacy Officer / Główny specjalista ds. ochrony danych: osoba reprezentująca Administratora, odpowiadająca za Ochronę Danych Osobowych w organizacji.

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Hasło – ciąg znaków literowych, cyfrowych lub innych specjalnych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę w systemie informatycznym.

Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

IOD – Inspektor Ochrony Danych: osoba reprezentująca Administratora, odpowiadająca za Ochronę Danych Osobowych w organizacji (pełni funkcję CPO – jeżeli jest powołany).

Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Odbiorca danych – każdy, komu udostępnia się dane osobowe.

Poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom/osobom.

Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, pobieranie, przeglądanie, wykorzystywanie, utrwalanie, przechowywanie, opracowywanie, zmienianie, adaptowanie lub modyfikowanie, organizowanie, porządkowanie, dopasowywanie lub łączenie, ograniczanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, usuwanie lub niszczenie.

Rozliczalność – właściwość zapewniająca, że działania podmiotu/osoby mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi/osobie.

System informatyczny (zwany też „systemem”) – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Szczególne kategorie danych osobowych – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia (w tym o korzystaniu z usług opieki zdrowotnej), dane dotyczące seksualności lub orientacji seksualnej osoby, której dane dotyczą.

Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;

Uwierzytelnianie -działanie, którego celem jest weryfikacja deklarowanej tożsamości osoby.

Użytkownik – osoba posiadająca upoważnienie do pracy z Systemem Informatycznym.

Zbiór danych – każdy zestaw uporządkowanych danych o charakterze osobowym, dostępny według określonych kryteriów.

3. ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH (ZGODNIE Z RODO)

3.1 Wszystkie dane osobowe są przetwarzane z poszanowaniem zasad przetwarzania określonych w RODO oraz określonych w mających zastosowanie przepisach prawa krajowego w szczególności:

Dane osobowe są przetwarzane zgodnie z prawem, to znaczy, że istnieje chociaż jedna podstawa prawna ich przetwarzania („zgodność z prawem) – patrz punkt 3.2.

Dane osobowe są przetwarzane rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą – Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15–22 („rzetelność i przejrzystość”).

Dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. („ograniczenie celu”).

Dane osobowe są adekwatne do celów, do których zostały zebrane – tj. zebrane i przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu/ów, w których są przetwarzane. („minimalizacja danych”);

Dane osobowe są prawidłowe i w razie potrzeby uaktualniane – dane nieprawidłowe są niezwłocznie usuwane lub sprostowane („prawidłowość”).

Dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, do których zostały zebrane lub nie dłuższy, niż określony w mających zastosowanie przepisach prawna. Czas przechowywania jest ograniczony, a po tym okresie dane są niszczone lub zanonimizowane („ograniczenie przechowywania”):

  1. Dane osobowe są przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”);

  2. W odniesieniu do osób, których dane dotyczą, Administrator wykonuje obowiązki wynikające z przyznanych im praw np. do:

a) informacji (spełnienie obowiązku informacyjnego)

b)dostępu do danych osobowych

c) sprostowania i uzupełnienia danych osobowych

d) do bycia zapomnianym

e) do żądania ograniczenia przetwarzania danych

f) do przenoszenia danych

g) do sprzeciwu wobec przetwarzania danych osobowych.

3.2 Przetwarzanie jest zgodne z prawem gdy spełniony jest co najmniej jeden z poniższych warunków.

Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów:

a) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

b) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;

c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

d) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym;

e) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią (są to np. marketing własnych produktów; dochodzenie roszczeń finansowych; czy przekazanie właściwemu organowi informacji o czynach zabronionych).

4. Obowiązki I ODPOWIEDZIALNOŚĆ w zakresie ochrony danych osobowych

4.1 Każda osoba przetwarzająca dane osobowe odpowiedzialna jest za:

Zapoznanie się z zasadami ochrony danych osobowych oraz bezwzględne ich przestrzeganie.

Przetwarzanie danych osobowych wyłącznie w celu i zakresie określonym przez Administratora.

Przetwarzanie i ochronę danych osobowych zgodnie z mającymi zastosowanie przepisami.

Zachowanie w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia, także po ustaniu zatrudnienia.

Niezwłoczne informowanie Administratora o stwierdzeniu lub podejrzeniu naruszenia ochrony danych osobowych lub słabościach funkcjonowania systemu ochrony danych osobowych.

Podjęcie wszystkich niezbędnych kroków, mających na celu zaradzenie naruszeniu ochrony danych osobowych, w tym w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Współpracę przy ustalaniu okoliczności naruszenia ochrony, jak również przy podejmowaniu działań naprawczych (usuwających skutki naruszenia) oraz korygujących (zapobiegających powtarzaniu się naruszenia).

4.2 Obowiązkiem Administratora Danych jest w szczególności:

Zapewnienie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać.

Wyboru środków dokonuje się uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.

Środki te obejmują m.in. wdrożenie przez Administratora odpowiednich polityk ochrony danych.

Środki techniczne i organizacyjne są co najmniej raz w roku lub w razie potrzeby poddawane przeglądom i uaktualniane.

Wydawanie stosownych poleceń i upoważnień do przetwarzania danych osobowych pracownikom mającym dostęp do danych osobowych. Administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z  jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego UE.

Zapewnienie odpowiedniego przygotowania każdej osoby, do pracy z danymi osobowymi, w szczególności zaznajomienia z niniejszą Polityką przez każdą nowo zatrudnioną osobę.

Prowadzenie rejestru czynności przetwarzania danych osobowych.

Na żądanie współpracuje z organem nadzorczym w ramach wykonywania swoich zadań.

Zgłaszanie, bez zbędnej zwłoki, naruszenia ochrony danych osobowych organowi nadzorczemu. Zawiadamianie osoby(osób), której(ych) dane dotyczą, o takim naruszeniu.

Zapewnia, by CPO(IOD) był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Wspiera CPO(IOD) ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39 RODO, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

 

4.3 CPO(IOD) podlega bezpośrednio najwyższemu kierownictwu Administratora i posiada następujące zadania:

Informowanie Administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia (Rodo) oraz innych, mających zastosowanie przepisów o ochronie danych i doradzanie im w tej sprawie.

Monitorowanie przestrzegania.

Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 Rodo, i  innych mających zastosowanie przepisów o ochronie danych, oraz polityk Administratora w dziedzinie ochrony danych osobowych, w tym:

a) podział obowiązków,

b) działania zwiększające świadomość,

c) szkolenia personelu uczestniczącego w operacjach przetwarzania oraz

d) powiązane z tym audyty;

e ) Współpraca z organem nadzorczym;                                         

5. Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 Rodo, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

CPO(IOD) wykonuje też następujące zadania:

1. Prowadzenie w imieniu Administratora „Rejestru czynności przetwarzania” oraz „Rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu innych administratorów” zgodnie z Art. 30 rozporządzenia.

2. Nadzorowanie opracowania i aktualizowania polityk bezpieczeństwa Administratora w dziedzinie ochrony danych.

3. Wydawanie w imieniu Administratora upoważnień do przetwarzania danych osobowych oraz prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.

4. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z  politykami Administratora w dziedzinie ochrony danych osobowych.

5. Analiza potrzeb szkoleniowych w zakresie bezpieczeństwa informacji.

6. Zapewnienie dokonywania sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (zobacz niżej).

7. Identyfikowanie i analizowanie zagrożeń oraz dokonywanie oceny ryzyka przetwarzania danych osobowych.

8. Realizowanie obowiązków określonych w art. 32–36 rozporządzenia (Rodo) poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych.

9. Pomaganie administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia (Rodo).

10. Zapewnienie dokonywania przeglądów zmian w przepisach prawnych dotyczących danych osobowych, nie rzadziej niż raz na kwartał i modyfikowanie dokumentacji ochrony danych w razie potrzeby.

11. Zapewnienie nadzorowania przestrzegania zasad ochrony przez użytkowników systemu informatycznego oraz osób upoważnionych i mających dostęp do danych osobowych, a reprezentujących podmioty zewnętrzne.

12. Zapewnienie prowadzenia, nie rzadziej niż raz do roku, przeglądu nadanych uprawnień w systemach informatycznych, ich aktualizowania w razie potrzeby oraz ponownego zatwierdzania.

13. W przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych niezwłoczne podejmowanie działań naprawczych (usuwających skutki naruszenia) oraz korygujących (zapobiegających powtarzaniu się naruszenia).

CPO(IOD) jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

5. Dopuszczanie do przetwarzania danych osobowych

5.1 Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby przeszkolone w zakresie ochrony danych osobowych i posiadające stosowne polecenie i upoważnienie.

Wzór upoważnienia stanowi załącznik „upoważnienie do przetwarzania danych osobowych” zawierający w swojej treści „oświadczenie”  ORAZ „zobowiązanie do zachowania tajemnicy”.

5.2 Nadanie i odebranie upoważnienia jest dokumentowane w formularzu: „Ewidencja osób upoważnionych do przetwarzania danych osobowych”, który stanowi załącznik do niniejszej polityki.

 

6. PROWADZENIE REJESTRU CZYNNOŚCI PRZETWARZANIA

6.1 Administrator prowadzi i aktualizuje rejestr czynności przetwarzania, którego wzór stanowi Załącznik do niniejszej polityki.

6.2 W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla naruszenia praw lub wolności osób fizycznych i uwzględnia kwestie ochrony danych w fazie ich projektowania zgodnie z w art. 25 i nast. RODO.

6.3 Administrator nie podejmuje czynności przetwarzania, które mogłyby się wiązać z dużym prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO przed rozpoczęciem przetwarzania.

 

7. Obszar przetwarzania danych osobowych

Obszar przetwarzania danych osobowych stanowią pomieszczenia wskazane w załączniku „Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe” oraz dodatkowo każdy inny obszar, w którym znajdują się komputery przenośne oraz inne nośniki zawierające dane osobowe przetwarzane w związku z działalnością Administratora.

 

8. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH INNEMU PODMIOTOWI

Przetwarzanie danych osobowych Administrator może powierzyć innemu podmiotowi (np. prowadzenie dokumentacji w sprawach związanych ze stosunkiem pracy przez wyspecjalizowany podmiot) jeżeli:

  1. podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.

  2. została zawarta pisemna umowa powierzenia przetwarzania, zgodna z wymaganiami art. 28 RODO dla takich umów.

 

9. Środki techniczne i organizacyjne niezbędne dla zapewnienia BEZPIECZEŃSTWA przetwarzania danych OSOBOWYCH

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Administrator zapewnia wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Środki techniczne i organizacyjne stosowane są w celu zapewnienia poufności, integralności, dostępności danych osobowych, zapewnienia  odporności systemów i usług przetwarzania oraz przeciwdziałania naruszeniom takim jak:

  1.  Dane osobowe wysłane do niewłaściwego odbiorcy.

  2. Dokumentacja papierowa (zawierająca dane osobowe) przekazana do utylizacji bez użycia niszczarki.

  3. Dokumentacja papierowa (zawierająca dane osobowe) zgubiona, skradziona lub pozostawiona w niezabezpieczonej lokalizacji.

  4. Korespondencja utracona przez operatora pocztowego lub otwarta przed zwróceniem jej do nadawcy.

  5. Nieprawidłowa anonimizacja danych osobowych w dokumencie.

  6. Nieprawidłowe usunięcie/zniszczenie danych osobowych z nośnika/urządzenia elektronicznego przed jego zbyciem.

  7. Nieuprawnione uzyskanie dostępu do informacji.

  8. Nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń.

  9. Niezamierzona publikacja.

  10. Ograniczenie / odmowa wykonania usługi.

  11. Dostęp osoby nieupoważnionej do konta administratora (kompromitacja konta administratora).

  12. Dostęp osoby nieupoważnionej do konta użytkownika (kompromitacja konta użytkownika).

  13. Ujawnienie danych niewłaściwej osoby.

  14. Ustne ujawnienie danych osobowych.

  15. Uzyskanie poufnych informacji przez pozornie zaufaną osobę, w oficjalnej komunikacji elektronicznej, takiej jak e-mail czy komunikator internetowy (phishing).

  16. Zgubienie lub kradzież nośnika/komputera/dokumentów.

  17. Złośliwe oprogramowanie ingerujące w poufność, integralność i dostępność danych.

 

Administrator stosuje i wymaga stosowania środków technicznych i organizacyjnych w celu ochrony danych takich jak:

  1. Ograniczenie dostępu do obszaru przetwarzania danych, jedynie do osób upoważnionych. Przebywanie w tym obszarze innych osób jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych.

  2. Zabezpieczanie pomieszczeń tworzących obszar przetwarzania danych, na czas nieobecności w nim osób upoważnionych, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych.

  3. Stosowanie Systemu Sygnalizacji Włamania i Napadu (SSWiN) z powiadamianiem stanowiska dowodzenia (SD) licencjonowanej służby ochrony.

  4. Tam gdzie to możliwe i niezbędne wykorzystanie zamykanych na klucz mebli biurowych, a tam, gdzie jest to możliwe, szaf metalowych i sejfów do przechowywania dokumentów i nośników zawierających dane osobowe.

  5. Wykorzystanie zamykanych na klucz szaf na serwery.

  6. Stosowana jest polityka „czystego biurka” i „czystego ekranu” – ustawienie monitorów na stanowiskach pracy w sposób uniemożliwiający wgląd w dane osobowe osobom postronnym.

  7. Ustawienie drukarki tak, aby nie było możliwości podejrzenia bądź pobrania wydruków przez osoby nieuprawnione lub stosowanie technologii druku podążającego/poufnego.

  8. Nieaktualne, niepotrzebne lub błędne wydruki zawierające dane osobowe niszczone są niezwłocznie w niszczarkach (najlepiej klasy co najmniej P-1 wg DIN 66399, która jest zalecana dla nośników danych i dokumentów zawierających szczególnie wrażliwe i poufne dane).

  9. Zastosowanie firewall’a dla ochrony sieci wewnętrznej (lokalnej) przed działaniami inicjowanymi z zewnątrz – firewall sprzętowy i/lub programowy – sprzętowego na styku z siecią Internet, a programowego na stacji;

  10. Wykonywanie kopii zapasowych danych osobowych oraz programów służących do ich przetwarzania; szyfrowanie kopii zapasowych – zobacz niżej.

  11. Zastosowanie zasilaczy zapasowych UPS tam, gdzie to zasadne.

  12. Zastosowanie ochrony antywirusowej w czasie rzeczywistym.

  13. Wykorzystanie szyfrowania przy przesyłaniu danych oraz danych przechowywanych na nośnikach wymiennych i komputerach przenośnych (np. szyfrowanie programem veracrypt.fr czy 7zip).

  14. Identyfikację i rozliczalność działań użytkownika w systemie poprzez zastosowanie uwierzytelniania (login, hasło).

  15. Stosowanie niepowtarzalnych i poufnych haseł składających się z co najmniej 8 znaków i zmianę haseł co najmniej raz na 3 miesiące.

  16. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych, w tym obowiązkowo stosuje szyfrowanie wobec przetwarzanych danych osobowych; (np. szyfrowanie).

  17. Udostępnianie użytkownikowi wybranych zasobów systemu informatycznego zawierających dane osobowe.

  18. Zabezpieczenie za pomocą hasła dostępu do urządzeń przetwarzających dane osobowe lub będących elementem bezpieczeństwa.

  19. Podłączenie urządzenia końcowego (komputera, drukarki) do sieci komputerowej dokonywane jest wyłącznie przez wskazanego przez Administratora pracownika wsparcia systemu informatycznego.

  20. Każdy komputer, którym będzie się odbywało przetwarzanie danych osobowych jest rejestrowany przez pracownika wsparcia systemu informatycznego, który przed użyciem konfiguruje go w następującym zakresie:

a) ustawienia BIOS/UEFI,

b) ustawienia konta użytkowników,

c) ustawienia zasad dotyczących haseł (długość, złożoność, częstotliwość zmiany),

d) ustawienia zapory (ochrona przed atakami zewnętrznymi),

e) ustawienia Ochrony antywirusowej,

f) ustawienia Aktualizacji systemu operacyjnego (np. Windows Update) i oprogramowania (Pracownik wsparcia systemu informatycznego identyfikuje aplikacje krytyczne dla Administratora i zarządza ich poprawkami bezpieczeństwa),

g) ustawienia zasad usuwanie danych (czyszczenia kosza),

h) ustawienia szyfrowania (np. włączenie funkcji BitLocker w systemie operacyjnym Windows 10) / szyfrowanie dysku w trybie Pre-boot authentication,

(Dla systemu Windows zobacz narzędzie Local Group Policy Editor / wyszukaj gpedit.msc);

10. Sposób postępowania w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych

  1. 10.1 Zgodnie z Art.4 punkt 12 Rodo „naruszenie ochrony danych osobowych” przesyłanych, przechowywanych lub w inny sposób przetwarzanych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem ich :

a) zniszczenia,

b) utracenia, (w tym zabranie przez osobę nieupoważnioną)

c) zmodyfikowania,

d) nieuprawnionego ujawnienia (tj. ujawnienie danych osobom nieuprawionym) lub

nieuprawnionego dostępu (tj. umożliwienie dostępu osobom nieuprawionym).

 

Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:

  1. naruszenie bezpieczeństwa Systemu informatycznego, w którym przetwarzane są dane osobowe.

  2. umożliwienie dostępu lub udostępnienie danych osobom lub podmiotom do tego nieupoważnionym.

  3. niedopełnienie obowiązku zapewnienia danym osobowym ochrony.

  4. niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.

  5. przetwarzanie danych osobowych niezgodnie z celem w jakim zostały zebrane.

  6. spowodowanie zniszczenia, utracenia, nieuprawnionego zmodyfikowania, ujawnienia lub nieuprawnionego dostępu do danych osobowych.

  7. naruszenie praw osób, których dane są przetwarzane.

 

10.2 W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych każda osoba, która stwierdzi lub podejrzewa naruszenie ochrony danych osobowych, zobowiązana jest do podjęcia niezwłocznie wszystkich niezbędnych kroków, mających na celu zaradzenie naruszeniu ochrony danych osobowych, w tym do niezwłocznego powiadomienia Administratora, w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem:

1. szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak: 

a) utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw,

b) dyskryminacja,

c) kradzież lub sfałszowanie tożsamości,

d) strata finansowa,

e) nieuprawnione odwrócenie pseudonimizacji,

f) naruszenie dobrego imienia,

g )naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.​

10.3 W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO.  Zgłoszenie nie jest wymagane jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, w szczególności jeżeli naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych i mogłoby poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną.

10.4 Zgodnie z Art.33 ust.5 Rodo należy dokumentować wszystkie naruszenia ochrony danych osobowych, w szczególności określając okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi być prowadzona rzetelnie, tak, aby w razie kontroli pozwolić organowi nadzorczemu weryfikowanie przestrzegania wymagań artykułu 33 Rodo.

Szczegółowy sposób postępowania Administratora w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych określony jest w „Procedurze postępowania w przypadku stwierdzenia lub podejrzenia wystąpienia naruszenia ochrony danych osobowych”.

 

11. Szkolenia w zakresie OCHRONY danych osobowych

11.1 Każda nowo upoważniona osoba jest zaznajamiania z niniejszą Polityką bezpieczeństwa danych osobowych.

11.2 Osoby przetwarzające dane osobowe z upoważnienia Administratora podlegają okresowym szkoleniom w zakresie zasad bezpiecznego przetwarzania danych osobowych w zależności od stwierdzonych potrzeb.

11.3 Źródłami identyfikacji potrzeb szkoleniowych są:

1. naruszenia związane z ochroną danych osobowych;

2. wyniki audytów i kontroli;

3. pojawienie się nowych ryzyk/zagrożeń;

4. zmiany wewnętrzne i zewnętrzne mające wpływ na czynności przetwarzania danych osobowych np.;

a) zmiana zakresu przetwarzanych danych i zasad ich przetwarzania,

b) zmiana sprzętu i oprogramowania,

c) zmiana obszaru przetwarzania danych;

d) zmiany przepisów o ochronie danych osobowych.

 

12. UDOSTĘPNIANIE DANYCH OSOBOWYCH

Administrator będzie udostępniał dane osobowe jedynie osobie, której dane dotyczą lub na polecenie tej osoby oraz odbiorcom wskazanym w klauzuli informacyjnej i stronom które mogą wykazać swoje prawo do otrzymania tych danych (np. na podstawie przepisu prawa)

Udostępnienie jest dokumentowane w:

1. Wniosek o udostępnienie danych osobowych

2. Wykaz udostępnionych danych osobowych

13. Postanowienie końcowe

13.1 Za niedopełnienie obowiązków wynikających z niniejszego dokumentu i polityk bezpieczeństwa w zakresie ochrony danych pracownik/współpracownik ponosi odpowiedzialność na podstawie aktualnych przepisów. Niedopełnienie obowiązków o którym mowa wyżej może być potraktowane jako „ciężkie naruszenie obowiązków pracowniczych”. Kara dyscyplinarna wobec osoby, która dopuściła się naruszeń ochrony danych nie wyklucza odpowiedzialności karnej wobec tej osoby, zgodnie z aktualnie obowiązującymi przepisami oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego.

13.2 Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) w Art. 58 stanowi, że:

„Jeżeli Prezes Urzędu, na podstawie posiadanych informacji, uzna, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych, może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń, i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.”

 

14. Podstawa prawna:

Niniejszą Politykę opracowano na podstawie następujących przepisów:

  1. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

  2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000

  3. Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej Dz.U. 2018 poz. 2369

  4. Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.U. 2019 poz. 730

  5. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy Dz.U. 1974 nr 24 poz. 141

 

©Wszelkie prawa zastrzeżone. Niniejszy dokument jest chroniony prawem autorskim. Autor jako twórca korzysta z wyłącznych praw autorskich osobistych i majątkowych i rozporządza tymi prawami. Dokument został opracowany do wykorzystania przez odbiorcę dokumentu (klienta). Autor nie zezwala, bez jego uprzedniej zgody wyrażonej na piśmie, na wykorzystanie, zwielokrotnianie, rozpowszechnianie czy odsprzedaż niniejszego dokumentu lub jego fragmentów prze osoby/strony trzecie. Naruszenie powyższych warunków może skutkować odpowiedzialnością określoną w ustawie o zwalczaniu nieuczciwej konkurencji, ustawie kodeks karny i/lub ustawie o prawach autorskich i prawach pokrewnych.