POLITYKA BEZPIECZEŃSTWA
OCHRONY DANYCH OSOBOWYCH
Safety Power Sylwester Krasowski, Stojeszyn Pierwszy 4, 23-310 Modliborzyce
Dokument przygotowany przez:
Inspektor audytor RODO Patrycja Niebudek
Wydanie I
Modliborzyce, 14.11.2019r.
Spis treści
Rozdział I
Postanowienia ogólne, definicje
Rozdział II
Obszary przetwarzania danych osobowych
Rozdział III
Zarządzanie przetwarzaniem danych osobowych oraz czuwanie nad ich bezpieczeństwem
Rozdział IV
Gromadzenie danych osobowych
Rozdział V
Przetwarzanie danych osobowych
Rozdział VI
Obowiązek informacyjny
Rozdział VII
Udostępnianie danych osobowych
Rozdział VIII
Ochrona przetwarzania danych osobowych
Rozdział IX
Postępowanie w przypadkach naruszenia bezpieczeństwa ochrony danych osobowych
Rozdział X
Ocena skutków dla ochrony danych i uprzednie konsultacje
Rozdział XI
Odpowiedzialność służbowa i karna
Rozdział XII
Aktualizacja postanowień Polityki Bezpieczeństwa
ZAŁĄCZNIKI
Rozdział I
Postanowienia ogólne, definicje
-
Postanowienia ogólne
- Polityka bezpieczeństwa danych osobowych jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach danych osobowych administrowanych przez Safety Power Sylwester Krasowski, Stojeszyn Pierwszy 4, 23-310 Modliborzyce.
- Podstawą do opracowania i wdrożenia dokumentu są:
- Ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku,
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. Nr 119, s.1).
- Przetwarzanie danych osobowych w Podmiocie jest dopuszczalne wyłącznie pod warunkiem przestrzegania ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych i wydanych na jej podstawie przepisów wykonawczych oraz rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 Z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. Nr 119, s.1).
- Polityka bezpieczeństwa danych osobowych ma zastosowanie do ochrony zbiorów danych osobowych przetwarzanych w Podmiocie, w celu ich bezpiecznego wykorzystania oraz określa zasady korzystania z systemów informatycznych.
-
Definicje
- Określenia i skróty użyte w Polityce bezpieczeństwa danych osobowych oznaczają:
- OchrDanychU – ustawę z dnia 10 maja 2018 roku o ochronie danych osobowych,
- RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. Nr 119, s.1),
- Administrator Danych Osobowych – Safety Power Sylwester Krasowski, Stojeszyn Pierwszy 4, 23-310 Modliborzyce
- Administrator Systemów Informatycznych – osobę wyznaczoną przez ADO, zwaną dalej „ASI”,
- system informatyczny – zespół środków technicznych, urządzenia komputerowe, drukujące, łączności, oprogramowanie, zespół zabezpieczeń środków technicznych, sieć informatyczna i udostępniane przez nią zasoby,
- bezpieczeństwo systemu informatycznego – wdrożenie środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów OchrDanychU i RODO oraz nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem danych,
- Inspektor Ochrony Danych – osobę wyznaczoną przez ADO, zwaną dalej „IOD”,
- zbiór danych osobowych – dane osobowe zgromadzone w usystematyzowany sposób, pozwalający na łatwe dotarcie do konkretnej informacji,
- profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,
- przetwarzanie danych osobowych – wykonywanie operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie, niezależnie od formy, w jakiej wykonywane są te czynności,
- osoba upoważniona lub użytkownik systemu – osobę posiadającą upoważnienie wydane przez ADO lub uprawnioną przez niego osobę i dopuszczoną jako użytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu, zwaną dalej „użytkownikiem”,
- osoby zatrudnione przy przetwarzaniu danych osobowych – wszystkie osoby, w tym użytkowników systemu informatycznego, mające dostęp do danych osobowych.
Rozdział II
Obszary przetwarzania danych osobowych
-
Obszar przetwarzania danych osobowych
- Obszar przetwarzania danych osobowych w Podmiocie obejmuje budynek, pomieszczenie w których przetwarzane są dane osobowe (miejsce, w których wykonuje się operacje na danych osobowych, tj. wpisuje, zmienia, kopiuje), oraz miejsce, gdzie przechowuje się nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające elektroniczne nośniki informacji).
- Obszar przetwarzania danych osobowych określony jest w „Wykazie obszarów, w których przetwarzane są dane osobowe”, stanowiącym załącznik nr 1 do Polityki bezpieczeństwa danych osobowych. Wykaz ten prowadzony jest przez ADO i zawiera następujące informacje:
- lokalizację budynku,
- wskazanie piętra budynku,
- określenie zabezpieczenia pomieszczenia.
- Obszar przetwarzania danych oraz warunki ochrony tego obszaru określone zostały w załączniku nr 2 do Polityki bezpieczeństwa danych osobowych „Zasady ochrony pomieszczeń, w których przetwarzane są dane osobowe”.
-
Wykaz zbiorów danych przetwarzanych w Podmiocie i programów zastosowanych do przetwarzania danych
- Wykaz zbiorów danych przetwarzanych w Podmiocie określony został w załączniku nr 3 do Polityki bezpieczeństwa danych osobowych – „Wykaz zasobów danych osobowych i systemów ich przetwarzania”. Wykaz ten zawiera następujące informacje:
- nazwę zbioru danych,
- określenie systemu przetwarzania danych osobowych,
- lokalizację miejsca przetwarzania danych osobowych,
- stosowane przy przetwarzaniu danych osobowych oprogramowanie,
- precyzyjny zakres danych osobowych w systemie (pola i relacje pomiędzy nimi),
- określenie pól informacyjnych w systemie,
- określenie sposobu przepływu danych pomiędzy systemami,
- wskazanie możliwość wydruku zakresu przetwarzania danych osobowych.
- Przetwarzanie danych osobowych odbywa się na stacjach roboczych użytkownika.
-
Rejestr Czynności Przetwarzania
- Administrator danych prowadzi Rejestr czynności przetwarzania danych, załącznik nr 5 do Polityki bezpieczeństwa danych osobowych. Rejestr czynności przetwarzania danych zawiera:
- nazwę administratora danych osobowych;
- nazwę współadministratorów;
- dane kontaktowe administratora danych;
- dane Inspektora ochrony danych oraz dane kontaktowe do IOD, jeżeli został powołany;
- cel przetwarzania danych;
- kategoria przetwarzanych danych;
- kategoria osób, których dane dotyczą;
- kategoria odbiorców, którym dane ujawniono lub zostaną ujawnione;
- planowane terminy usunięcia danych;
- opis wdrożonych zabezpieczeń technicznych i organizacyjnych.
STRUKTURA ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH W PODMIOCIE
Lp. | Zbiór Danych Osobowych | Zawartość poszczególnych pól informacyjnych i powiązania między nimi | |
|
I. | Pracownicy, (kandydaci) | imię i nazwisko, imiona rodziców, data urodzenia, adres zamieszkania, PESEL, wykształcenie, seria numer dowodu, numer telefonu, zawód, wykształcenie, NIP | |
II. | Klienci (osoby fizyczne) | imię i nazwisko, adres, numer telefonu, adres e-mail, data urodzenia, adres zamieszkania, PESEL, wykształcenie, seria numer dowodu, numer telefonu, zawód, wykształcenie | |
III. | Kontrahenci/osoby prowadzące jednoosobową działalność gospodarczą | imię i nazwisko, data urodzenia, adres zamieszkania, PESEL, seria numer dowodu, numer telefonu, zawód, NIP, REGON, nazwa firmy | |
IV. | Pracownicy kontrahentów działających w formie spółek | imię i nazwisko, nazwa firmy, adres mailowy, numer telefonu | |
-
Określenie niezbędnych środków technicznych i organizacyjnych
- Środki techniczne i organizacyjne zapewniają poufność, integralność i rozliczalność przetwarzania danych osobowych. W systemie informatycznym obowiązują zabezpieczenia na poziomie średnim. Szczegółowe omówienie środków zabezpieczenia technicznego i organizacyjnego znajduje się w „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych”, załącznik nr 4.
Rozdział III
Zarządzanie przetwarzaniem danych osobowych oraz czuwanie nad ich bezpieczeństwem
-
Zadania administratora danych osobowych
- Zadania administratora danych osobowych w Podmiocie pełni – Safety Power Sylwester Krasowski, Stojeszyn Pierwszy 4, 23-310 Modliborzyce. Do obowiązków ADO należą w szczególności:
- obowiązek informacyjny wobec osoby, której dane dotyczą (art. 13 i 14 RODO);
- dochowanie szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane dotyczą;
- udzielanie, w określonych terminach, informacji o celu i zakresie przetwarzanych danych osobowych;
- uzupełnianie, uaktualnienie, sprostowanie danych, czasowego lub stałego wstrzymania, przetwarzania kwestionowanych danych lub ich usunięcie ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora;
- ograniczenie przetwarzania danych na wniosek osób której dane dotyczą (art. 18 RODO);
- przeniesienie danych na wniosek osoby, której dane dotyczą (art. 20 RODO);
- usunięcie danych na wniosek osoby, której dane dotyczą (art. 17 RODO);
- poinformowanie o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku (art.19 RODO);
- poinformowanie na żądanie osoby, której dane dotyczą o odbiorcach jej danych (art. 19 RODO);
- stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 24 i 32 ust. 1 RODO);
- kontrola wprowadzania do zbioru i przekazywania danych;
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
- uwzględnienie ochrony danych osobowych w fazie projektowania (art. 25 ust. 1 RODO);
- wdrożenie odpowiednich mechanizmów zapewniających domyślną ochronę danych (art. 25 ust. 2 RODO);
- rejestrowanie czynności przetwarzania danych (art. 30 ust. 1 RODO);
- współpraca z organem nadzorczym (art. 31 RODO);
- zgłaszanie naruszeń ochrony danych osobowych (at. 33 RODO);
- dokonanie oceny skutków dla ochrony danych (art. 35 RODO).
Rozdział IV
Gromadzenie danych osobowych
§8
Uzyskiwanie danych osobowych
- Dane osobowe przetwarzane w Podmiocie mogą być uzyskiwane bezpośrednio i pośrednio od osób, których te dane dotyczą, lub z innych źródeł, w granicach dozwolonych przepisami prawa.
§9
Wykorzystanie danych osobowych
- Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą.
- W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych.
§10
Obowiązek uzupełniania danych osobowych
- W przypadku, gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem OchrDanychU albo są zbędne do realizacji celu, dla którego zostały zebrane, ADO jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.
Rozdział V
Przetwarzanie danych osobowych
§11
Tworzenie zbiorów danych osobowych
- ADO jest obowiązany podczas tworzenia nowych zbiorów danych osobowych do zapewnienia odpowiednich środków ochrony, w szczególności z uwzględnieniem zasady minimalizacji oraz pseudnimizacji.
Rozdział VI
Obowiązek informacyjny
§12
Informacja zainteresowanych
- ADO jest odpowiedzialny za poinformowanie osób, których dane osobowe przetwarzają o:
- adresie siedziby Podmiotu, pod którym dane są zbierane i przetwarzane;
- danych kontaktowych ABI / IOD, jeżeli został powołany;
- nazwie i danych kontaktowych przedstawiciela na terenie Unii, jeżeli istnieje;
- celu zbierania danych;
- podstawie prawnej przetwarzania danych
- okresie przechowywania danych;
- dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej;
- w przypadku istnienia obowiązku podania danych: wskazanie ewentualnych konsekwencji ich niepodania;
- zautomatyzowanym podejmowaniu decyzji w tym profilowaniu;
- prawie wglądu do treści swoich danych oraz możliwości ich poprawiania;
- prawie do usunięcia danych;
- prawie do ograniczenia przetwarzania;
- prawie wniesienia skargi do organu nadzorczego;
- prawie do przenoszenia danych;
- prawie do cofnięcia zgody.
- W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy dodatkowo poinformować o źródle danych i kategorii danych osobowych (art. 14 RODO), oraz informacji o prawie dostępu do treści swoich danych oraz prawie do ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu, cofnięcia zgody w dowolnym momencie.
- W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, informacje o których mowa w par. 15 ust. 1 i 2, ADO podaje:
- w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą;
- jeżeli planuje się ujawnić innemu odbiorcy - najpóźniej przy ich pierwszym ujawnieniu.
§13
Zgoda na przetwarzanie danych osobowych
- Materiały dotyczące innej niż ustawowa działalności Podmiotu mogą być wysyłane tylko do tych osób, które wcześniej wyraziły zgodę na piśmie na przetwarzanie ich danych osobowych w tym celu.
- Kandydaci do pracy w Podmiocie w procesie rekrutacji są zobowiązani wyrazić pisemną zgodę na przetwarzanie ich danych osobowych.
- Dokumenty złożone w celu określonym w ust. 2 są przechowywane w komórce organizacyjnej, która przetwarza te dane, i są włączane do akt osobowych pracownika.
Rozdział VII
Udostępnianie danych osobowych
§14
Osoby uprawnione do wglądu do danych osobowych
- ADO udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
- Dane osobowe mogą być udostępniane w następujących przypadkach:
- na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów;
- na podstawie umowy z innym podmiotem, w ramach której istnieje konieczność udostępnienia danych
- na podstawie wniosku osoby, której dane dotyczą.
- Wniosek o udostępnienie danych osobowych powinien zawierać informacje umożliwiające wyszukanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie. Wzór wniosku stanowi załącznik nr 6 do Polityki bezpieczeństwa danych osobowych.
- Udostępniając dane osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
- W przypadku żądania udzielenia informacji na temat przetwarzanych danych osobowych na pisemny wniosek pochodzący od osoby, której dane dotyczą, odpowiedź na wniosek następuje w terminie 30 dni od daty jego otrzymania.
- Wniosek o udostępnienie przekazywany jest do ADO.
- ADO jest odpowiedzialny za przygotowanie danych osobowych do udostępnienia w zakresie wskazanym we wniosku.
§15
Odmowa udostępnienia danych osobowych
- Odmowa udostępnienia danych osobowych następuje wówczas, gdy spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą, lub innych osób oraz jeżeli dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania wnioskodawcy.
Rozdział VIII
Ochrona przetwarzania danych osobowych
§16
Obowiązek posiadania upoważnienia
- Do przetwarzania danych mogą być dopuszczeni pracownicy Podmiotu posiadający upoważnienie nadane przez ADO. Wzór upoważnienia określa załącznik nr 8 do Polityki bezpieczeństwa danych osobowych.
- ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. Wzór ewidencji stanowi załącznik nr 8 do Polityki bezpieczeństwa danych osobowych.
§17
Przechowywanie imiennych upoważnień do przetwarzania danych osobowych
- ADO zobowiązany jest do zbierania, ewidencjonowania i przechowywania:
- oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi mają styczność, oraz środkach bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych; wzór formularza oświadczenia stanowi załącznik nr 10 do Polityki bezpieczeństwa danych osobowych;
- oświadczeń osób zatrudnianych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy cywilnej o zachowaniu tajemnicy; wzór formularza oświadczenia stanowi załącznik nr 10 do Polityki bezpieczeństwa danych osobowych
§18
Powierzenie przetwarzania danych osobowych
- Powierzenie przetwarzania danych osobowych odbywa się zgodnie art. 28 RODO na podstawie umowy zawartej na piśmie pomiędzy ADO a danym podmiotem, któremu zleca się czynności związane z przetwarzaniem danych osobowych.
- ADO przygotowuje projekt umowy powierzenia danych osobowych innemu podmiotowi.
- Projekt umowy powinien określać:
- przedmiot umowy, czyli to, jakie dane i w jakim zakresie zostają powierzone podmiotowi przetwarzającemu;
- czas trwania przetwarzania;
- charakter przetwarzania;
- cel przetwarzania;
- rodzaj danych osobowych;
- kategorie osób, których dane dotyczą;
- obowiązki i prawa administratora.
- Każda osoba delegowana do wykonywania zadań na rzecz Podmiotu, związanych z powierzeniem przetwarzania danych osobowych, obowiązana jest podpisać oświadczenie o zachowaniu w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
- Wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik nr 10 do Polityki bezpieczeństwa danych osobowych.
§19
Obowiązki podmiotu przetwarzającego dane osobowe
- Podmiot przetwarzający dane osobowe jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych.
- Podmiot, o którym mowa w ust. 1, jest zobowiązany przetwarzać dane osobowe wyłącznie w zakresie określonym w umowie.
- Podmiot przetwarzający dane osobowe ponosi odpowiedzialność za ochronę przetwarzanych danych osobowych.
- Podmiot, o którym mowa w ust. 1, jest zobowiązany prowadzić Rejestr kategorii czynności przetwarzania (art. 30, ust. 2 RODO). Rejestr kategorii czynności przetwarzania zawiera następujące informacje:
- imię i nazwisko lub nazwa podmiotu przetwarzającego;
- dane kontaktowe podmiotu przetwarzającego;
- imię i nazwisko lub nazwa każdego administratora, w imieniu którego działa podmiot przetwarzający;
- nazwa przedstawiciela administratora lub podmiotu przetwarzającego, gdy ma to zastosowanie;
- imię i nazwisko Inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - gdy ma to zastosowanie;
- jeżeli jest to możliwe, ogólny opis techniczny i organizacyjny środków bezpieczeństwa, o których mowa w art. 32, ust 1 RODO.
Rozdział IX
Postępowanie w przypadkach naruszenia
bezpieczeństwa ochrony danych osobowych
§20
Określenie sytuacji naruszenia bezpieczeństwa danych osobowych
- Przepisy niniejszego rozdziału stosuje się w przypadku:
- stwierdzenia naruszenia zabezpieczenia systemu informatycznego w obszarze danych osobowych;
- podejrzenia naruszenia bezpieczeństwa danych osobowych ze względu na stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej.
-
§21
Określenie osób zobowiązanych
- Zasady postępowania przypadku naruszenia bezpieczeństwa danych osobowych obowiązują wszystkie osoby biorące udział w procesie przetwarzania danych osobowych
§22
Określenie naruszenia zabezpieczenia systemu informatycznego
- Naruszeniem zabezpieczenia systemu informatycznego, przetwarzającego dane osobowe jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:
- nieautoryzowany dostęp do danych;
- nieautoryzowane modyfikacje lub zniszczenie danych;
- udostępnienie danych nieautoryzowanym podmiotom;
- nielegalne ujawnienie danych;
- pozyskiwanie danych z nielegalnych źródeł.
§23
Działania pracowników
- W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie bezpośredniego przełożonego (ewentualnie osobę przez niego upoważnioną), a następnie postępować stosownie do podjętej przez niego decyzji.
- Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:
- opisanie działania wskazującego na naruszenie ochrony danych osobowych;
- określenie sytuacji i czasu, w jakim stwierdzono naruszenie ochrony danych osobowych;
- wskazanie istotnych informacji mogących wskazywać na przyczynę naruszenia
- określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia
§24
Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
- W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu.
- W przypadku, gdy jest mało prawdopodobne by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienia przyczyn opóźnienia.
- Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je ADO, bez zbędnej zwłoki.
- Zgłoszenie naruszenia ochrony danych osobowych o którym mowa ust. 1 i 2 musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych, w tym kategorię i przybliżoną liczbę zainteresowanych podmiotów danych oraz kategorię i przybliżoną liczbę osób, których dane dotyczą;
- imię i nazwisko oraz dane kontaktowe IOD lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków przedsięwziętych lub proponowane przez ADO w celu zminimalizowania skutków.
- Wzór zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu stanowi załącznik nr 12 do Polityki bezpieczeństwa danych osobowych.
- ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Wzór udokumentowania naruszeń ochrony danych stanowi załącznik nr 13 do Polityki bezpieczeństwa danych osobowych.
§25
Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych
- W przypadku, gdy naruszenie ochrony danych osobowych może nieść wysokie ryzyko naruszenia praw i wolności osób fizycznych. ADO zawiadamia osoby, których dane dotyczą o naruszeniu ochrony danych osobowych.
- Zawiadomienie, o którym mowa w ust. 1 jasnym i prostym językiem opisuje charakter naruszenia oraz zawiera przynajmniej informacje o których mowa w par. 27 ust. 4 pkt. 2,3 i 4.
Rozdział X
Ocena skutków dla ochrony danych i uprzednie konsultacje
§26
Ocena skutków dla ochrony danych
- Jeżeli dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. ADO przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
- Ocena skutków przetwarzania pod kątem ochrony danych jest wymagana w przypadku:
- systematycznej, oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu;
- przetwarzania na duża skalę szczególnych kategorii danych osobowych;
- systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
- Wzór oceny skutków dla ochrony danych stanowi załącznik nr 14 do polityki bezpieczeństwa danych osobowych.
§27
Uprzednie konsultacje
- Jeżeli ocena skutków pod kątem ochrony danych, wskaże, że przetwarzanie niosło by duże zagrożenie, gdyby ADO nie przedsięwziął środków w celu zminimalizowania tego zagrożenia, to przed przetworzeniem danych osobowych ADO konsultuje się z organem nadzorczym.
- Organ nadzorczy w terminie 8 tygodni od dnia wpłynięcia wniosku w sprawie uprzednich konsultacji, wydaje zalecenia w formie pisemnej.
Rozdział XI
Odpowiedzialność służbowa i karna
§28
Przepisy karne
- Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi określonymi w art. 107 OchrDanychU, art. 83 RODO oraz w art. 130, 266–269, 287 Kodeksu karnego.
Rozdział XII
Aktualizacja
§29
Aktualizacja postanowień Polityki Bezpieczeństwa
- Na podstawie audytów kontrolnych, przeprowadzanych nie rzadziej niż raz na 12 miesięcy, ADO dokona analizy zmiany w zakresie ochrony danych osobowych.
- W przypadku ustalenia konieczności zmian zabezpieczeń w zakresie ochrony danych osobowych, w szczególności, w zakresie procedur, ADO dokona stosownej zmiany niniejszej Polityki Bezpieczeństwa.
-
Postanowienia końcowe
- Administrator zapewnia stosowanie środków bezpieczeństwa przetwarzanych danych osobowych na wysokim poziomie.
- Integralną część Polityki stanowią załączniki znajdujące się poniżej.
ZAŁĄCZNIKI
Załącznik nr 1: Wykazie obszarów, w których przetwarzane są dane osobowe
Załącznik nr 2: Zasady ochrony pomieszczeń, w których przetwarzane są dane osobowe
Załącznik nr 3: Wykaz zasobów danych osobowych i systemów ich przetwarzania
Załącznik nr 4: Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych
Załącznik nr 5: Rejestr czynności przetwarzania danych
Załącznik nr 6: Wzór klauzuli informacyjnej
Załącznik nr 7: Wzór wniosek o udostępnienie danych osobowych
Załącznik nr 8: Wzór upoważnienie do przetwarzania danych osobowych
Załącznik nr 9: Wzór ewidencja osób upoważnionych do przetwarzania danych osobowych
Załącznik nr 10: Wzór oświadczenia o zachowaniu tajemnicy
Załącznik nr 11: Wzór umowa o powierzenie danych osobowych
Załącznik nr 12: Wzór zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu
Załącznik nr 13: Wzór udokumentowania naruszeń ochrony danych
Załącznik nr 14: Wzór oceny skutków dla ochrony danych