Polityka Bezpieczeństwa Danych Osobowych
1.1. CELE POLITYKI
1.1.1 Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych, sposobu przetwarzania informacji zawierającej dane osobowe.
1.1.2. Celem Polityki Bezpieczeństwa jest zagwarantowanie poszanowania podstawowych praw i wolności osób fizycznych.
1.1.3. Stosowanie zasad określonych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony danych osobowych rozumianej, jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów prawa oraz utratą, uszkodzeniem lub zniszczeniem.
1.1.4. Polityka Bezpieczeństwa, została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych.
1.1.5. Polityka Bezpieczeństwa jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
1.1.6. Polityka Bezpieczeństwa jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
1.1.7. Dla skutecznej realizacji Polityki Bezpieczeństwa Administrator Danych zapewnia odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne, kontrolę i nadzór nad przetwarzaniem danych osobowych oraz monitorowanie zastosowanych środków ochrony.
1.1.8. Celem Polityki bezpieczeństwa jest dostosowanie wewnętrznych procedur do oceny skutków ryzyka.
1.2. ZGODNOŚĆ
1.2.1. Niniejsza Polityka powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi w ramach Vik1ng sp. z o.o., które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.
1.2.2. Okresowy przegląd Polityki powinien mieć na celu stwierdzenie, czy postanowienia Polityki Bezpieczeństwa odpowiadają aktualnej i planowanej działalności Vik1ng sp. z o.o. oraz, czy stanowią zadość stanowi prawnemu aktualnemu w momencie dokonywania przeglądu. Przegląd powinien być dokonywany nie rzadziej niż raz na dwa lata.
1.2.3. Niniejsza Polityka powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi w ramach Vin1ng sp. z o.o., które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.
1.2.4. Zmiany niniejszej Polityki Bezpieczeństwa wymagają przeglądu innych dokumentów dotyczących ochrony danych osobowych obowiązujących w Vik1ng sp. z o.o.
1.2.5. Za zgodność Polityki Bezpieczeństwa z obowiązującymi przepisami oraz sytuacją faktyczną odpowiada Administrator.
1.3. ŹRÓDŁA WYMAGAŃ
1.3.1. Polityka Bezpieczeństwa została sporządzona na podstawie następujących aktów prawnych:
1) Ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz.U.2019.1781 t.j. z dnia 2019.09.19).
2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
1.4. ZAKRES ZASTOSOWANIA
1.4.1. Przez Administratora przetwarzane są informacje służące do wykonywania zadań niezbędnych dla zrealizowania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy. Przetwarzanie danych osobowych odbywa się na podstawie wyraźnej, swobodnie wyrażonej zgody na przetwarzanie danych osobowych.
1.4.2. Przetwarzanie danych osobowych może odbywać się także na postawie stosownej umowy o powierzenie danych osobowych. Wówczas przetwarzanie odbywa się tylko w czasie oraz celu określonym umową.
1.4.3. Dane osobowe mogą być pozyskiwane, przetwarzane i przechowywane zarówno w postaci papierowej jak i elektronicznej.
1.4.4. Polityka Bezpieczeństwa dotyczy wszystkich danych osobowych przetwarzanych przez Administratora niezależnie od formy ich przetwarzania oraz od tego, czy dane są lub mogą być przetwarzane.
1.4.5. Politykę Bezpieczeństwa stosuje się do:
a. danych osobowych przetwarzanych w systemie informatycznym,
b. danych osobowych przetwarzanych w wersji papierowej oraz elektronicznej,
c. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
d. wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji,
e. wszystkich danych pracowników,
f. wszystkich danych osób współpracujących na jakiejkolwiek podstawie prawnej lub faktycznej,
g. rejestru osób dopuszczonych do przetwarzania danych osobowych,
h. innych dokumentów zawierających dane osobowe,
i. danych osobowych przekazanych przez kontrahentów Administratora.
1.4.6. Zakresy określone przez dokumenty Polityki Bezpieczeństwa mają zastosowanie do całego systemu informacyjnego Administratora w szczególności do:
a. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe,
b. wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane dane osobowe,
c. wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób współpracujących z Administratorem na jakiejkolwiek podstawie prawnej lub faktycznej mających dostęp do informacji podlegających ochronie.
1.4.7. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby innych osób współpracujących z Administratorem na jakiejkolwiek podstawie prawnej lub faktycznej mające dostęp do informacji podlegających ochronie.
1.5. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA
1.5.1. Dokumenty Polityki Bezpieczeństwa, opracowane na podstawie oceny skutków dla ochrony danych osobowych, ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych danych osobowych.
Dokumenty Polityki Bezpieczeństwa składa się z:
a. niniejszego dokumentu Polityki Bezpieczeństwa,
b. Instrukcji zarządzania systemami informatycznymi w zakresie wymogów bezpieczeństwa przetwarzania danych osobowych,
c. Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, opisująca tryb postępowania w sytuacjach naruszenia zabezpieczenia zasobów danych osobowych, zaobserwowanych prób naruszenia tego zabezpieczenia, a także uzasadnionego podejrzenia o przygotowywanej próbie naruszenia,
d. Polityki Prywatności.
1.5.2. Polityka Prywatności jest udostępniana każdorazowo w momencie przekazania danych osobowych do przetwarzania przez Administratora.
1.6. PODSTAWOWE POJĘCIA
1. Jednostka/Administrator Danych Osobowy – Vik1ng sp. z o.o. z siedzibą w Gdańsku,
2. dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
3. przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
4. użytkownik – oznacza osobę upoważniona do przetwarzania danych osobowych,
5. identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownik) w razie przetwarzania danych osobowych w takim systemie,
6. administrator systemu – oznacza osobę upoważniona do zarządzania systemem informatycznym,
7. system informatyczny – oznacza system przetwarzania danych w Jednostce wraz z zasobami ludzkimi, technicznymi oraz finansowymi, który dostarcza i rozprowadza informacje,
8. uwierzytelniania – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownik),
9. zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą,
10. zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
11. zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
12. naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
2) ADMINISTRACJA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH
2.1. PODSTAWOWE ZASADY
2.1.1. Utrzymanie bezpieczeństwa przetwarzanych przez Jednostkę informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie.
2.1.2. Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki Bezpieczeństwa.
2.1.3. Administrator zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką Bezpieczeństwa oraz obowiązującymi przepisami.
2.1.4. Rozumienie pojęć:
a. Poufność informacji – rozumiana jako zapewnienie, że tylko uprawnione osoby mają dostęp do informacji,
b. Integralność informacji – rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania,
c. Dostępność informacji – rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne,
d. Zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć przetwarzania danych.
2.1.5. Należy stosować adekwatny do zmieniających się warunków i technologii poziom bezpieczeństwa przetwarzania danych osobowych
2.2. ADMINISTRATOR DANYCH OSOBOWYCH - INFORMACJE PODSTAWOWE
2.2.1. Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania danych osobowych odpowiada Administrator Danych Osobowych.
2.2.2. Administratorem danych osobowych jest Vik1ng sp. z o.o.. Administrator obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinni zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą utratą uszkodzeniem lub zniszczeniem.
2.2.3. Administrator prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Prowadzi również ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
a. imię, nazwisko i stanowisko osoby upoważnionej;
b. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych/ nazwę użytkowanego programu (aplikacji).
2.2.4. Upoważnienie do przetwarzania danych osobowych wydawane przez Administratora stanowi Załącznik nr 2, a ewidencję osób upoważnionych do przetwarzania danych osobowych stanowi załącznik nr 3 do Polityki Bezpieczeństwa.
2.2.5. Administrator danych osobowych:
a. odpowiadają za realizację aktów prawnych dotyczących o ochrony danych osobowych,
b. określają strategię zabezpieczania systemów informatycznych Jednostki,
c. sprawują nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których dane są przetwarzane oraz kontrolą przebywających w nich osób,
d. identyfikują i analizują zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych Jednostki,
e. określają potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe.
2.2.6. Administrator:
a. sprawuje nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
b. sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe,
c. sprawuje nadzór nad bezpieczeństwem danych zawartych w komputerach przenośnych, dyskach wymiennych, w których przetwarzane są dane osobowe,
d. monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych,
e. sprawuje nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych,
f. prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych,
g. sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe,
h. prowadzi ewidencję osób zaangażowanych przy przetwarzaniu danych osobowych w systemach informatycznych.
2.3. OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH
2.3.1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie. Upoważnienia są wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez Administratora.
2.3.2. Wszystkie osoby, których rodzaj wykonywanej pracy lub zadań będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy lub wykonywanego zadania, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Jednostce zasad ochrony danych osobowych.
2.3.3. Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.
2.3.4. Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, mogą być udostępnione jeżeli w sposób wiarygodny uzasadnią na piśmie potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
2.3.5. Do obowiązków osoby upoważnionej do przetwarzania danych osobowych należy również:
a. przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych,
b. postępowania zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych;
c. zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia, w trakcie i po ustaniu zatrudnienia;
d. ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
e. informowania Administratora o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe.
2.3.6. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Oświadczenie o zapewnieniu ochrony danych osobowych stanowi załącznik nr 1 do Polityki bezpieczeństwa.
2.3.7. Wszelkie przekazywanie lub udostępnianie danych lub zbioru danych podmiotom zewnętrznym wymaga uprzedniej zgody Administratora oraz stosownej umowy pomiędzy Jednostką a podmiotem zewnętrznym.
3) ORGANIZACJA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH
3.1. Bezpieczeństwo przetwarzania danych osobowych w formie tradycyjnej
3.1.1. Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionej do ich przetwarzania osoby. Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Podczas nieobecności pomieszczenie winno być zamknięte na klucz.
3.1.2. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie osoby upoważnione do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych.
3.2. Bezpieczeństwo w przetwarzaniu danych osobowych w systemach informatycznych
3.2.1. Jednostka zapewnia ochronę przed niepowołanym dostępem do danych osobowych znajdujących się w systemie informatycznym. Poszczególne komputery wchodzące w skład tego systemu, powinny być umiejscowione w sposób uniemożliwiający osobom nieuprawnionym bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń służących do przetwarzania, a zwłaszcza kopiowania danych.
3.2.2. Jednostka realizując Politykę Bezpieczeństwa w zakresie ochrony danych osobowych dąży do systematycznego unowocześniania stosowanych przez nią informatycznych, technicznych i organizacyjnych środków ochrony tych danych, w szczególności Jednostka zapewnia aktualizacje informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz inni zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.
3.2.3. Klucze dostępowe, karty, hasła itd. służące do uzyskania dostępu do systemów informatycznych służących do przetwarzania danych osobowych należy zabezpieczać a sposób ich uzyskiwania należy szczegółowo zdefiniować w procedurach.
3.2.4. Szczegółowe zasady bezpiecznego użytkowania systemu informatycznego zawarte są w Instrukcji Zarządzania Systemem Informatycznym, obligatoryjnej do zapoznania się i stosowania przez wszystkich użytkowników systemu informatycznego Jednostki.
3.3. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
3.3.1. Dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe oraz części pomieszczeń, gdzie Jednostka prowadzi działalność. Do takich pomieszczeń, zalicza się w szczególności:
a. pomieszczenia biurowe, w których zlokalizowane są stacje robocze lub serwery służące do przetwarzania danych osobowych;
b. pomieszczenia, w których przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego zawierające dane osobowe;
c. pomieszczenia, w których przechowywane są sprawne i uszkodzone urządzenia, elektroniczne nośniki informacji oraz kopie zapasowe zawierające dane osobowe.
3.3.2. Wykaz obszarów przetwarzania danych osobowych przez Jednostkę stanowi Załącznik nr 6 do Polityki bezpieczeństwa.
3.3.3. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych, w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym.
3.3.4. Osoby upoważnione zobowiązane są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku drzwi.
3.3.5. Wydruki i nośniki elektroniczne zawierające dane osobowe należy przechowywać w zamykanych szafach, które znajdują się w obszarach przetwarzania danych osobowych.
3.3.6. Niepotrzebne wydruki lub inne dokumenty należy niszczyć za pomocą niszczarek.
3.3.7. Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieuprawnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych.
3.3.8. Pomieszczenia wchodzące w skład obszaru przetwarzania danych osobowych należy wyposażyć w odpowiednie środki ochrony fizycznej i organizacyjnej chroniące przed nieautoryzowanym lub nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami pracy.
3.4. Procedura postępowania w przypadku naruszenia ochrony danych osobowych
3.4.1. Każdy osoba, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to Administratorowi.
3.4.2. W razie braku możliwości zawiadomienia Administratora lub osoby przez niego upoważnionej, należy zawiadomić bezpośredniego przełożonego.
3.4.3. Do czasu przybycia na miejsce Administratora w miarę możliwości należy:
a. niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony;
b. ustalić przyczynę i sprawcę naruszenia ochrony;
c. rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, na ile to możliwe należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia ochrony i udokumentowanie zdarzenia, podjąć stosowne działania, jeśli zaistniały przypadek został przewidziany w dokumentacji systemu operacyjnego, bazy danych, czy Regulaminie aplikacji użytkowej;
d. nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora.
3.4.4. Po przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych Administrator podejmuje następujące kroki:
a. zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy Jednostce
b. może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem,
c. nawiązuje kontakt ze specjalistami spoza Jednostki (jeśli zachodzi taka potrzeba).
3.4.5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
3.4.6. Zawiadomienie, o którym mowa powyżej, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych.
3.4.7. Zawiadomienie, o którym mowa powyżej nie jest wymagane, w następujących przypadkach:
a. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
c. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny
3.4.8. Administrator dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport wg wzoru stanowiącego Załącznik Nr 5 do Polityki bezpieczeństwa, który zawiera następujące informacje:
a. wskazanie osoby zawiadamiającej o naruszeniu, oraz innych osób zaangażowanych w wyjaśnienie okoliczności naruszenia bezpieczeństwa;
b. określenie czasu i miejsca zawiadomienia o naruszeniu bezpieczeństwa, jak i samego naruszenia (o ile da się ustalić);
c. określenie okoliczności towarzyszących i rodzaju naruszenia;
d. opis podjętego działania wraz z wyjaśnieniem wyboru sposobu działania;
e. wstępną ocenę przyczyn wystąpienia naruszenia bezpieczeństwa;
f. ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego;
g. raport z wystąpienia zdarzenia administrator bezpieczeństwa informacji przekazuje Administratorowi.
3.4.9. Szczegółowe zasady postępowania znajdują się w Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych stanowiącej Załącznik nr 7.
4) UDOSTĘPNIANIE, PRZETWARZANIE, POWIERZENIE DANYCH OSOBOWYCH
4.1. Udostępnianie i przetwarzanie danych osobowych
4.1.1. Dane osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa oraz osobom, których dotyczą.
4.1.2. Udostępnianie danych osobowych może nastąpić wyłącznie za zgodą Administratora.
4.1.3. Informacje zawierające dane osobowe powinny być przekazywane uprawnionym podmiotom lub osobom za potwierdzeniem odbioru listem poleconym za pokwitowaniem odbioru lub innym bezpiecznym sposobem, określonym wymogiem prawnym lub umową.
4.1.4. Udostępniając dane osobowe innym podmiotom należy odnotowywać informacje o udostępnieniu bezpośrednio w systemie informatycznym, z którego udostępniono dane lub w inny zatwierdzony sposób. Odnotować należy: informacje o odbiorcy danych, dacie i zakresie udostępnionych danych osobowych.
4.1.5. Udostępniając dane osobowe należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
4.1.6. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących przetwarzanych danych osobowy oraz Administratora.
4.1.7. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
a. cele przetwarzania;
b. kategorie odnośnych danych osobowych;
c. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
d. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
e. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
f. informacje o prawie wniesienia skargi do organu nadzorczego;
g. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
4.1.8. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
4.1.9. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
4.1.10. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
b. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
c. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba,
d. dane osobowe były przetwarzane niezgodnie z prawem.
4.1.11. Dane osobowe są przetwarzane z poszanowaniem zasad przewidzianych przez przepisy prawa:
a. w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych,
b. dane są przetwarzane są rzetelnie i w sposób przejrzysty,
c. dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
d. dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych,
e. dane osobowe są prawidłowe i w razie potrzeby uaktualniane,
f. czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,
g. wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,
h. dane są zabezpieczone przed naruszeniem zasad ich ochrony.
4.2. Powierzenie przetwarzania danych osobowych
4.2.1. Powierzenie przetwarzania danych osobowych może mieć miejsce wyłącznie na podstawie pisemnej umowy określającej w szczególności zakres i cel przetwarzania danych. Umowa musi określać również zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych z tytułu niewykonania lub nienależytego wykonania umowy.
4.2.2. W umowach stanowiących podstawę powierzenia przetwarzania danych albo eksploatacji systemu informatycznego lub części infrastruktury należy umieścić zobowiązanie podmiotu zewnętrznego do przestrzegania niniejszej Polityki Bezpieczeństw oraz zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo i odpowiedni poziom ochrony danych.
4.2.3. Powierzenie przetwarzania danych osobowych nie oznacza zwolnienia z odpowiedzialności Jednostki za zgodne z prawem przetwarzanie powierzonych danych, co wymaga w umowach stanowiących podstawę powierzenia przetwarzania danych umieszczenia prawa Jednostki do kontroli wykonania przedmiotu umowy w siedzibie podmiotu zewnętrznego m. in. w zakresie przestrzegania Polityki obowiązujących regulacji wewnętrznych, umów i właściwych przepisów prawa.
4.2.4. Wzór Umowy o powierzenie przetwarzania danych osobowych stanowi Załącznik nr 4 do Polityki bezpieczeństwa.
5) POSTANOWIENIA KOŃCOWE
5.1. Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce Bezpieczeństwa może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia.
5.2. W sprawach nieuregulowanych niniejszą Polityką Bezpieczeństwa zastosowanie mają przepisy powszechnie obowiązujące.
5.3. Polityka bezpieczeństwa wchodzi w życie z dniem ogłoszenia.
