POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
ORAZ
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
PRZETWARZAJĄCYM DANE OSOBOWE
w
J&W Sp. z o.o.
WSTĘP
Realizując postanowienia ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz przepisów krajowych Rzeczypospolitej Polskiej wprowadza się zestaw reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej pozwalający na zapewnienie ochrony danych osobowych.
Rozdział 1
Postanowienia ogólne
Ilekroć w dokumencie jest mowa o:
- „danych osobowych” – należy przez to rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
- „przetwarzaniu” należy przez to rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
- „ograniczeniu przetwarzania” należy przez to rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
- „profilowaniu” należy przez to rozumieć, dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
- „pseudonimizacji” należy przez to rozumieć przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
- „zbiorze danych” należy przez to rozumieć uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
- „podmiocie przetwarzającym” należy przez to rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
- „Administratorze” lub „Administratorze Danych Osobowych (ADO)” – należy przez to rozumieć firmę J&W Sp. z o.o., z siedzibą we Wrocławiu przy ul. Opolskiej 11-19.
- „Administratorze Bezpieczeństwa Danych Osobowych (ABDO)” – należy przez to rozumieć osobę wskazaną przez Zarząd Administratora, do koordynowania wszelkich spraw dotyczących ochrony danych osobowych.
- „odbiorcy” należy przez to rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z przepisami prawa Unii lub państwa członkowskiego, nie są jednak uznawane za odbiorców.
- „stronie trzeciej” należy przez to rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
- „zgodzie osoby, której dane są przetwarzane” należy przez to rozumieć dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
- „naruszeniu ochrony danych osobowych” należy przez to rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
- „danych biometrycznych” należy przez to rozumieć dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
- „danych dotyczących zdrowia” należy przez to rozumieć dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
- „obszarze przetwarzania” należy przez to rozumieć budynki, pomieszczenia lub części pomieszczeń w których przetwarzane są dane osobowe.
- „zbiorze danych osobowych” należy przez to rozumieć uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
- „opisie struktury zbiorów” należy przez to rozumieć opis zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych oraz powiązania miedzy nimi.
- „opisie przepływu danych” należy przez to rozumieć opis przepływu danych osobowych pomiędzy zbiorami.
- „środkach technicznych i organizacyjnych” należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
- „procedurach bezpieczeństwa” należy przez to rozumieć procedury mające na celu zabezpieczenie przetwarzanych danych osobowych.
Rozdział 2
Zasady dotyczące przetwarzania danych osobowych:
- Dane osobowe przetwarzane przez Administratora muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane przepisami prawa w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- Każda osoba przetwarzająca dane osobowe z upoważnienia Administratora jest odpowiedzialna (w zakresie obejmującym przetwarzane przez nią dane osobowe) za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Rozdział 3
Podstawa przetwarzania danych
- Administrator będzie przetwarzał dane osobowe wyłącznie gdy spełniony będzie co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – jeżeli obowiązek taki wynika z prawa Unii Europejskiej lub prawa krajowego;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (przy czym wynika to z prawa Unii Europejskiej lub prawa krajowego), z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
- Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, jest dopuszczalne wyłącznie gdy:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
Rozdział 4
Zmiana celu przetwarzania
Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii Europejskiej lub prawa krajowego, administrator aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:
- wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
- kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
- charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 RODO lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10 RODO;
- ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
- istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Rozdział 5
Postępowanie z osobami, których dane dotyczą
- Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, wymaganych przepisami prawa oraz prowadzić z nią wszelką komunikację wymaganą przepisami prawa w sprawie przetwarzania.
- Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie.
- Informacje dla pracowników administratora udzielane będą elektronicznie (za pomocą służbowej skrzynki e-mail). Na żądanie pracownika informacja zostanie udzielona na piśmie.
- Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile nie będzie wątpliwości co do jej tożsamości.
- Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku ze złożonym przez nią żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.
- W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
- Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
- Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. W takiej sytuacji każdorazowo należy skontaktować się z radcą prawnym administratora.
- Komunikacja oraz informacje podawane osobie, której dane dotyczą, są wolne od opłat.
Rozdział 6
Informacje podawane osobie, której dane dotyczą
- W przypadku zbierania danych osobowych od osoby, której dane dotyczą, osobie takiej należy – podczas pozyskiwania danych – podać informacje określone w Załączniku nr 6.
- W przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, osobie takiej należy podać informacje określone w Załączniku nr 6.
Informacje te należy podać:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
- Jeżeli planuje się dalej przetwarzać dane osobowe w celu innym, niż cel w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem należy poinformować osobę, której dane dotyczą o tym nowym celu.
Rozdział 7
Dostęp do danych
- Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji dotyczących:
- celów przetwarzania;
- kategorii odnośnych danych osobowych;
- informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
- planowanego okresu przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
- informacji o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych jej dotyczących oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
- informacji o prawie wniesienia skargi do organu nadzorczego;
- jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkich dostępnych informacji o ich źródle.
- Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.
- Na żądanie osoby, której dane dotyczą administrator dostarczy jej kopię danych osobowych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
Rozdział 8
Sprostowanie danych
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe oraz - z uwzględnieniem celów przetwarzania - uzupełnienia niekompletnych danych osobowych.
Rozdział 9
Usuwanie danych
- Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie;
- osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
- Jeżeli administrator upublicznił dane osobowe, a na mocy obowiązujących przepisów ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Rozdział 10
Ograniczenie przetwarzania
Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Rozdział 11
Sprzeciw wobec przetwarzania
- Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych.
- Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego lub w celach rekrutacyjnych, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na takie potrzeby, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim lub rekrutacją.
- Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego lub celów rekrutacyjnych, danych osobowych nie wolno już przetwarzać do takich celów.
- Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, do wniesienia sprzeciwu wobec przetwarzania.
Rozdział 12
Administrator
1. Administrator, w celu należytej ochrony danych osobowych i zapewnienia aby przetwarzanie odbywało się zgodnie z prawem może:
- Powołać Administratora Bezpieczeństwa Danych Osobowych.
- Powołać Administratora Systemu Informatycznego.
2. Administrator powinien w szczególności:
- Określić i wdrożyć odpowiednie środki techniczne i organizacyjne (np. pseudonimizacja, minimalizacja danych), aby przetwarzanie odbywało się zgodnie z przepisami prawa. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.
- Zapewnić możliwość wykazania, że dane są przetwarzane zgodnie z obowiązującymi przepisami prawa („rozliczalność).
- Wdrożone środki poddawać przeglądom i uaktualniać; przeglądy powinny odbywać się przynajmniej raz w roku oraz po każdej zmianie przepisów prawa dot. ochrony danych osobowych - w przeglądach tych powinni uczestniczyć szefowie komórek przetwarzających dane osobowe (np. HR), osoba odpowiedzialna za funkcjonowanie infrastruktury IT i w razie potrzeby służby prawne Administratora.
- Egzekwować Politykę bezpieczeństwa przetwarzania danych osobowych oraz Instrukcję zarządzania systemem informatycznym przetwarzającym dane osobowe.
- Wydawać i anulować upoważnienia do przetwarzania danych osobowych osobom, które mają te dane przetwarzać.
- Prowadzić ewidencje osób upoważnionych do przetwarzania danych osobowych.
- Prowadzić ewidencje zbiorów danych osobowych wraz z opisem oprogramowania użytego do ich przetwarzania, sposobem przepływu danych pomiędzy systemami oraz opisem zastosowanych zabezpieczeń.
- Prowadzić opis struktury zbiorów danych wraz z opisem pól informacyjnych i powiązań pomiędzy nimi. (załącznik nr 12.6)
- Prowadzić ewidencje oświadczeń zgody na przetwarzanie danych osobowych osób, których dane te dotyczą. (załącznik nr 12.7)
- Prowadzić rejestr czynności przetwarzania danych osobowych
- Sporządzić Regulamin Ochrony Danych Osobowych. (załącznik nr 12.9)
Rozdział 13
Środki techniczne i organizacyjne
- W celu ochrony danych osobowych i zapewnienia ich przetwarzania zgodnie z przepisami prawa stosuje się następujące zabezpieczenia organizacyjne:
- Została opracowana i wdrożona Polityka bezpieczeństwa przetwarzania danych osobowych oraz Instrukcja zarządzania systemem informatycznym przetwarzającym dane osobowe.
- Do przetwarzania danych osobowych zostają dopuszczone wyłącznie osoby, którym dostęp do danych jest niezbędny („need to know”) w celu wykonywania obowiązków pracowniczych i jednocześnie posiadające ważne upoważnienia do ich przetwarzania.
- Prowadzona jest ewidencja osób posiadających upoważnienia do przetwarzania danych osobowych.
- Osoby posiadające upoważnienia zostały przeszkolone w zakresie ochrony danych osobowych i zabezpieczeń systemu informatycznego.
- Osoby posiadające upoważnienia złożyły oświadczenie o zachowaniu poufności przetwarzanych danych osobowych.
- Przetwarzanie danych osobowych jest w warunkach zabezpieczających dane osobowe przed dostępem osób nieupoważnionych.
- Przebywanie osób nieupoważnionych w obszarze przetwarzania jest możliwe tylko w obecności osób upoważnionych oraz w warunkach zapewniających bezpieczeństwo danych osobowych.
- W celu ochrony danych osobowych stosuje się następujące zabezpieczenia fizyczne:
- Dane osobowe w wersji papierowej są przechowywane w meblach zamykanych na klucz.
- W obszarze przetwarzania są dostępne niszczarki dokumentów i nośników danych.
- W celu ochrony danych osobowych stosuje się następujące zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
- Zastosowano UPS do serwera lub komputerów, na których znajdują się przetwarzane dane osobowe.
- Dostęp do komputerów, na których znajdują się dane osobowe odbywa się poprzez podanie loginu i hasła lub karty dostępowej.
- Dostęp zdalny za pośrednictwem Internetu do danych osobowych odbywa się przez szyfrowane połączenie SSL VPN – Open VPN i wymaga podania loginu i hasła.
- Stosuje się system antywirusowy oraz firewall na komputerach, na których znajdują się dane osobowe.
Rozdział 14
Procedury zapewniające bezpieczeństwo danych osobowych
- Procedura nadawania uprawnień do przetwarzania danych osobowych:
- Upoważnienia do przetwarzania danych osobowych nadaje Administrator.
- Przed nadaniem upoważnienia do przetwarzania danych osobowych osoba zostaje przeszkolona w zakresie ich ochrony oraz zapoznana z zasadami bezpieczeństwa systemu informatycznego.
- Osoba posiadająca upoważnienie do przetwarzania danych osobowych podpisuje oświadczenie o zachowaniu poufności danych osobowych do których ma dostęp.
- Metody i środki zabezpieczające dostęp do danych osobowych:
- Hasła dostępu do danych osobowych nie mogą być powszechnie znanymi nazwami własnymi.
- Osoba upoważniona zobowiązuje się do zachowania w poufności hasła dostępu do danych osobowych oraz jego natychmiastowej zmiany w przypadku ujawnienia.
- Zabronione jest przechowywanie hasła w sposób jawny lub przekazywania go innym osobom.
- Hasło jest zmieniane pół-automatycznie lub manualnie co 30 dni przez osoby upoważnione.
- Hasło składa się z co najmniej 8 znaków, w tym małe i duże litery oraz cyfry lub znaki specjalne.
- Procedura rozpoczęcia, zawieszenia i zakończenia pracy wymagającej przetwarzania danych osobowych:
- Osoba upoważniona loguje się do systemu lub programu informatycznego przy użyciu loginu i hasła.
- Osoba upoważniona jest zobowiązana do informowania Administratora Systemu Informatycznego o nieautoryzowanych próbach zalogowania do systemu lub programu jeżeli system lub program takie zjawiska monitoruje.
- Osoba upoważniona jest zobowiązana do uniemożliwienia wglądu w dane osobowe wyświetlane na ekranie monitora lub w wersji papierowej osobom nieupoważnionym.
- Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana w trakcie czasowego opuszczenia miejsca pracy do uruchomienia wygaszacza ekranu chronionego hasłem lub wylogowania się z systemu oraz usunięcia wydruków z danymi osobowymi z biurka.
- Po zakończeniu pracy osoba upoważniona jest zobowiązana do wylogowania się lub wyłączenia komputera oraz usunięcia z biurka wszelkich nośników zawierających dane osobowe jak i zabezpieczenia pomieszczenia przed włamaniem, zalaniem, pożarem lub innym ryzykiem nieautoryzowanego ujawnienia lub zniszczenia dokumentów lub nośników zawierających dane osobowe.
- Procedura tworzenia kopii zapasowych:
- W zależności od wielkości przyrostu ilościowego i pojemnościowego danych osobowych tworzy się ich kopie zapasowe w odstępach nie częstszych niż 1 dzień i nie rzadszych niż 1 miesiąc.
- Kopie zapasowe danych osobowych w wersji elektronicznej mogą być przechowywane na zewnętrznym nośniku danych zabezpieczonym zgodnie z zabezpieczeniami organizacyjnymi.
- Osoba sporządzająca kopie zapasowe jest zobowiązana do ich oznaczenia oraz sprawdzenia spójności danych i możliwości ich ponownego odtworzenia.
- Kopie zapasowe przechowuje się nie krócej niż 1 rok i nie dłużej niż 6 lat.
- Po upływie okresu przechowywania kopie zapasowe są trwale niszczone lub anonimizowane.
- Procedura przechowywania nośników danych osobowych w wersji papierowej i elektronicznej. Nośniki danych osobowych takie jak:
- Laptop/Komputer
- Telefon komórkowy/Smartfon
- Pendrive/Karta pamięci
- Zewnętrzny dysk twardy
- Płyta CD/DVD/BR
- Wydruk papierowy
są przechowywane w sposób uniemożliwiający dostęp do nich osób nie upoważnionych jak i zabezpieczający je przed przypadkowym uszkodzeniem.
- Osoby upoważnione są zobowiązane do trwałego niszczenia/usuwania danych osobowych po ustaniu celu ich przetwarzania.
- Zabrania się wynoszenia danych osobowych poza obszar przetwarzania bez zgody Administratora Bezpieczeństwa Danych Osobowych lub Administratora, a w przypadku uzyskania takiej zgody i konieczności przetwarzania danych poza siedzibą Administratora, zobowiązuje się osoby upoważnione do zapewnienia co najmniej takich samych warunków bezpieczeństwa przetwarzania danych osobowych jakie obowiązują w siedzibie Administratora.
- Dane osobowe wysyłane drogą elektroniczną poza obszar przetwarzania muszą być zabezpieczone hasłem.
- Zabrania się przekazywania nośników danych zawierających dane osobowe podmiotom zewnętrznym, bez zgody Administratora.
Rozdział 15
Rejestr czynności
(obowiązuje po spełnieniu wymogów określonych w art. 30 RODO)
- Prowadzi się rejestr czynności przetwarzanych danych, określający w szczególności:
- Cel przetwarzania danych.
- Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych.
- Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich.
- Szczegóły przekazania danych osobowych do państwa trzeciego, w tym dane nazwę państwa trzeciego i podmiotu, do którego dane zostały przekazane i dokumentację odpowiednich zabezpieczeń.
- Planowane terminy usunięcia poszczególnych kategorii danych – jeżeli określenie tych terminów jest możliwe.
- Rejestr będzie prowadzony w formie pisemnej, włączając w to formę elektroniczną.
Rozdział 16
Przypadki naruszenia ochrony danych
- W sytuacji podejrzenia lub stwierdzenia przypadku naruszenia ochrony danych osobowych, każda osoba podlegająca niniejszej procedurze zobowiązana jest do bezzwłocznego poinformowania Administratora Bezpieczeństwa Danych Osobowych.
- Jeżeli jest to możliwe w zgłoszeniu należy podać:
- charakter naruszenia, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
- dostępne środki mogące zaradzić naruszeniu ochrony danych osobowych lub zminimalizować negatywne skutki naruszenia.
- Administrator Bezpieczeństwa Danych Osobowych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
- Administrator Bezpieczeństwa Danych Osobowych, po przeanalizowaniu zgłoszenia może podjąć decyzje o konieczności powiadomienia o naruszeniu Generalnego Inspektora Ochrony Danych Osobowych lub inny właściwy organ nadzorczy, a także osoby, których dane dotyczą.
Rozdział 17
Procedury kontrolne oraz szkolenia pracowników
- Przynajmniej raz do roku przeprowadza się kontrole przestrzegania obowiązujących reguł dotyczących ochrony danych osobowych.
- Z kontroli sporządza się protokół, który jest podstawą do dokonania aktualizacji procedur oraz niniejszego dokumentu.
- Raz do roku przeprowadza się szkolenie aktualizacyjne pracowników w zakresie ochrony danych osobowych.
- Każdy pracownik przed otrzymaniem upoważnienia zostaje przeszkolony indywidualnie.
- Wszelka naprawa lub konserwacja sprzętu komputerowego zawierającego dane osobowe lub pomieszczeń stanowiących obszar przetwarzania może odbywać się tylko pod nadzorem osób upoważnionych.
Rozdział 18
Postanowienia końcowe
- Wszelkie procedury i zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych, ze szczególnym uwzględnieniem dobra osób których dane te dotyczą.
- Niniejsza polityka ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
- Powierzenie przetwarzania danych osobowych podmiotowi zewnętrznemu może być dokonanie jedynie w drodze umowy zawartej na piśmie z zastrzeżeniem, iż podmiot ten spełnia co najmniej takie same warunki bezpieczeństwa przetwarzania danych osobowych jak Administrator.
Załączniki:
6.2 Informacje podawane podczas zbierania danych od osoby, której dane dotyczą.
6.2 Informacje podawane w przypadku pozyskiwania danych w sposób inny niż od osoby, której dane dotyczą.
12.1 Dokument powołania Administratora Bezpieczeństwa Danych Osobowych.
12.2 Dokument powołania Administratora Systemu Informatycznego.
12.3 Upoważnienie do przetwarzania danych osobowych osobom, które mają te dane przetwarzać.
12.4 Ewidencja osób upoważnionych do przetwarzania danych osobowych.
12.5 Ewidencje zbiorów danych osobowych wraz z opisem oprogramowania użytego do ich przetwarzania, sposobem przepływu danych pomiędzy systemami oraz opisem zastosowanych zabezpieczeń.
12.6 Opis struktury zbiorów danych wraz z opisem pól informacyjnych i powiązań pomiędzy nimi.
12.7 Ewidencje oświadczeń zgody na przetwarzanie danych osobowych osób, których dane te dotyczą.
12.8 Rejestr czynności przetwarzania danych osobowych.
12.9 Regulamin Ochrony Danych Osobowych.