POLITYKA BEZPIECZEŃSTWA INFORMACJI
SEMIDA PINGOT Spółka Jawna
ul. Zimowa 22
44-105 Gliwice
Zgodna z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
(Dz. Urz. UE L 119, s. 1)
-
Podstawa prawna.
Niniejszy dokument jest polityką ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1), zwanego dalej: RODO.
-
Definicja, cele, założenia i zakres stosowania Polityki ochrony danych osobowych.
2.1 Definicja
2.1.1 Niniejsza Polityka ochrony danych osobowych(zwana dalej Polityką) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w Firmie SEMIDA PINGOT Spółka Jawna z siedzibą w 44-105 Gliwice ul. Zimowa 22, zwanego dalej: Administratorem.
2.1.2 Polityka składa się z:
2.1.2.1 opisu zasad ochrony danych osobowych, obowiązujących u Administratora;
2.1.2.2 załączników uszczegóławiających i uzupełniających niniejszą Politykę.
2.2 Cele
2.2.1 Celem Polityki Bezpieczeństwa Informacji jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonywać obowiązki Administratora w zakresie bezpieczeństwa danych osobowych.
2.2.2 W szczególności do celów Polityki należy:
2.2.2.1 zabezpieczenie zasobów systemów, infrastruktury technicznej, sprzętu i osprzętu przed kradzieżą, zniszczeniem lub uszkodzeniem,
2.2.2.2 uniemożliwienie instalowania i posługiwania się oprogramowaniem nielegalnym lub niebezpiecznym,
2.2.2.3 uniemożliwienie dostępu do informacji zawartych w systemach informatycznych osobom do tego nie upoważnionym,
2.2.2.4 uniemożliwienie zniszczenia lub nieuprawnionej zmiany danych osobowych,
2.2.2.5 zabezpieczenie dokumentacji papierowej zawierające dane osobowe przed ich kradzieżą lub kopiowaniem.
Niniejsza dokumentacja wraz z załącznikami stanowiącymi jej integralną część ilustruje proces wdrożenia i sposób przestrzegania w organizacji administratora przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „RODO”. W szczególności dokumentacja:
-
wypełnia obowiązki dokumentacyjne wynikające bezpośrednio lub pośrednio z RODO,
-
zapewni przestrzeganie praw i wolności osób fizycznych, których dane są przetwarzane,
-
pozwala wykazać przestrzeganie przez administratora przepisów RODO, a zatem zgodność przetwarzania danych osobowych przez administratora z zasadami wynikającymi z RODO,
-
pozwala osobom, których dane są przetwarzane, na sprawdzenie, czy ich dane przetwarzane są zgodnie z prawem,
-
ułatwi organom podległym Prezesowi Urzędu Ochrony Danych Osobowych (dalej „PUODO”) kontrole przestrzegania RODO przez administratora, a także okresowe audyty przeprowadzane na zlecenie administratora np. przez inspektora ochrony danych,
-
umożliwi osobom upoważnionym do przetwarzania danych w imieniu administratora zapoznanie się z organizacyjnymi środka mi ochrony danych (procedurami, instrukcjami, regulaminami itp.) i zapewni ich przestrzeganie,
-
w przypadkach, w których administrator występuje także w roli podmiotu przetwarzającego, pozwoli administratorowi, który powierzył swoje dane do przetwarzania, na przeprowadzenie audytu zgodności przetwarzania z prawem i zawartą umową.
2.3 Założenia
2.3.1 Ochrona danych osobowych u Administratora opiera się na następujących filarach:
2.3.1.1 Zgodności z prawem − Administrator dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
2.3.1.2 Bezpieczeństwa – Administrator dokłada wszelkich starań, aby zapewnić odpowiedni poziom bezpieczeństwa danych.
2.3.1.3 Praw osób, których dane dotyczą – Administrator umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
2.3.1.4 Rozliczalności – Administrator dokumentuje to, w jaki sposób wywiązuje się z ciążących na nim obowiązków ochrony danych osobowych, aby w każdej chwili móc wykazać zgodność przetwarzania danych osobowych z RODO.
2.4 Zasady
2.4.1 Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:
2.4.1.1 Zgodności z prawem – dane osobowe przetwarzane są w oparciu o konkretną podstawę prawną i zgodnie z prawem;
2.4.1.2 Rzetelności – dane osobowe przetwarzane są rzetelnie i uczciwie;
2.4.1.3 Przejrzystości – dane osobowe przetwarzane są w sposób przejrzysty dla osoby, której dane dotyczą;
2.4.1.4 Minimalizacji – dane osobowe przetwarzane są wyłącznie w zakresie niezbędnym do celów;
2.4.1.5 Adekwatności – przetwarzanie danych osobowych jest proporcjonalne do potrzeb Administratora;
2.4.1.6 Ograniczoności przechowywania – dane są przechowywane przez Administratora przez okres nie dłuższy niż niezbędne jest to do celów, w których dane te są przetwarzane;
2.4.1.7 Prawidłowości – przetwarzanie danych osobowych odbywa się z dbałością o prawidłowość danych osobowych;
2.4.1.8 Czasowości – przetwarzanie danych osobowych odbywa się w koniecznym czasie;
2.4.1.9 Integralności i poufności – Administrator zapewnia odpowiednie bezpieczeństwo przetwarzania danych osobowych.
2.5 Zakres stosowania Polityki
2.5.1 Zasady określone przez Politykę mają zastosowanie do wszystkich zbiorów danych osobowych administrowanych przez Administratora, w szczególności do:
2.5.1.1 wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są lub będą dane osobowe podlegające ochronie;
2.5.1.2 danych osobowych przetwarzanych przez Administratora zarówno w przypadku, gdy jest on administratorem danych, jak i w sytuacji, gdy przetwarza dane powierzone mu na podstawie umów powierzenia przetwarzania danych osobowych, w rozumieniu art. 28 RODO;
2.5.1.3 wszystkich nośników informacji, np. papierowych, magnetycznych, optycznych itp., na których są lub będą znajdować się dane osobowe podlegające ochronie;
2.5.1.4 wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane dane osobowe podlegające ochronie;
2.5.1.5 wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do danych osobowych podlegających ochronie.
2.5.1.6 Do stosowania zasad określonych przez Politykę zobowiązani są wszyscy pracownicy w rozumieniu przepisów Kodeksu Pracy, konsultanci, stażyści i inne osoby mające dostęp do informacji podlegających ochronie.
3. Terminologia
3.1. Administratorem Danych osobowych jest Firma SEMIDA PINGOT Spółka Jawna z siedzibą w 44-105 Gliwice ul. Zimowa 22, zarejestrowana w Krajowym Rejestrze Sądowym przy Sądzie Rejonowym w Gliwicach, pod numerem KRS 0000276609, NIP 631-251-72-07, REGON 240600062
3.2. Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
3.3. Zbiór danych osobowych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
3.4. Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3.5. Użytkownik – osoba mająca dostęp do zasobów systemu informatycznego posiadająca upoważnienie do przetwarzania danych osobowych w tym systemie; (login i hasło dostępu)
3.6. System informatyczny – zespół urządzeń, sprzętu komputerowego, oprogramowania oraz baz danych przetwarzających dane osobowe;
3.7. Nośniki danych – wszelkie nośniki, na których informacje zapisane są w postaci elektronicznej, w szczególności dyski (pendrive), dyskietki, dyski CD-ROM, karty magnetyczne lub pamięci przenośne;
3.8. Sieć informatyczna – fizyczna warstwa systemu informatycznego obejmująca okablowanie, węzły i urządzenia aktywne organizujące ruch w sieci;
3.9. Podmiot przetwarzający - oznacza osobę fizyczną lub prawną, który przetwarza dane osobowe w imieniu administratora na mocy umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 28 RODO.
4. System ochrony danych osobowych u Administratora:
4.1 Inwentaryzacja danych osobowych
4.1.1 Administrator dokonuje identyfikacji zasobów danych osobowych, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych, w szczególności: przypadków przetwarzania danych wrażliwych, przypadków przetwarzania danych niezidentyfikowanych, przypadków przetwarzania danych dzieci; profilowania.
4.1.2 Administrator weryfikuje czy dochodzi do przypadków współadministrowania danymi osobowymi.
4.2. Rejestr Czynności Przetwarzania Danych Osobowych
4.2.1 Administrator prowadzi Rejestr Czynności Przetwarzania Danych Osobowych, zwany dalej: Rejestrem.
4.2.2 Rejestr czynności przetwarzania danych osobowych, czyli procesów biznesowych, w których następuje przetwarzanie danych osobowych, na podstawie przepisu art. 30 ust. 1 RODO obejmuje
m. in.
-
cele przetwarzania;
-
opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
-
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
-
planowane terminy usunięcia poszczególnych kategorii danych;
-
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
W rejestrze tym uwzględniono ponadto następujące informacje dotyczące procesów:
-
właściciel procesu i jednostka odpowiedzialna za realizację procesu,
-
krótki opis czynności realizowanych w ramach procesu,
-
czy proces jest niezbędny,
-
czy ingerencja w prywatność jest proporcjonalna do celu przetwarzania,
-
podstawa prawna przetwarzania,
-
odbiorcy danych, w tym podmioty, którym powierzono dane do przetwarzania,
-
od kogo zbierane są dane
-
dokumenty, formularze, na których zbiera się dane; dokumenty i nośniki wejściowe,
-
forma spełnienia obowiązku informacyjnego,
-
zasoby niezbędne do realizacji procesu
Poza tym rejestr czynności przetwarzania obejmuje informacje i oceny, na podstawie których administrator dokonał oceny prawdopodobieństwa spowodowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz podjął decyzję o przeprowadzeniu DPIA, a mianowicie:
-
przesłanki przeprowadzenia DPIA,
-
zagrożenia dla naruszenia praw lub wolności osób fizycznych,
-
zabezpieczenia,
-
przypadki i czas (prawdopodobieństwo) wystąpienia incydentu naruszenia ochrony danych.
Wprawdzie przepisy art. 30 ust. 5 RODO przewiduje odstępstwa od obowiązku prowadzenie rejestru czynności przetwarzania w specyficznych przypadkach, jednakże administrator zadecydował o rejestrowaniu wszystkich czynności przetwarzania w swojej organizacji.
Rejestr czynności przetwarzania obejmujący wszystkie opisane powyżej elementy zawarty jest w pliku skoroszytu kalkulacyjnego w formacie MS Excel o nazwie SEMIDA DPiA, załącznik nr 5 do Polityki.
4.3 Podstawy prawne przetwarzania danych osobowych
4.3.1 Administrator identyfikuje i weryfikuje podstawy prawne przetwarzania danych osobowych, a w szczególności:
4.3.1.2 Utrzymuje system zarządzania zgodami na przetwarzanie danych osobowych;
4.3.1.3 Inwentaryzuje i przygotowuje uzasadnienia przypadków, gdy dochodzi do przetwarzania danych osobowych na podstawie prawnie uzasadnionych interesów Administratora.
4.3.1.4 Administrator rejestruje podstawy prawne przetwarzania danych osobowych w Rejestrze.
4.4 Prawa osoby, której dane dotyczą.
4.4.1. Administrator wywiązuje się z obowiązków informacyjnych względem osób, których dane dotyczą. W szczególności Administrator:
4.4.1.2 Przekazuje osobom, których dane dotyczą wszelkie wymagane prawem informacje w czasie pozyskiwania danych, jak również w innych sytuacjach, gdy prawo wymaga przekazania dodatkowych informacji osobom, których dane dotyczą; Realizacja obowiązków informacyjnych:
-
Podstawowych (art. 13 i 14 RODO)
Forma i sposób udzielenia informacji osobie, której dane dotyczą, realizować obowiązek określony w art. 12, 13 i 14 RODO opisane są w rejestrze czynności przetwarzania. Klauzule informacyjne dla poszczególnych procesów i kategorii osób fizycznych zostały zebrane w pliki tekstowe w formacie LibreOffice Writer o nazwach:
-
Klauzula Informacja dla kontrahentów faktura-dział księgowości,
-
Klauzula informacyjna dla kontrahentów-marketing,
-
Klauzula informacyjna dla zatr. pracownika Semida,
-
Klauzula informacyjna kandydata do pracy Semida.
Specjalista ODO, w imieniu administratora, po wypełnieniu obowiązku wynikającego z realizacji praw, o których mowa w przepisach art. art. 16, art. 17 ust. 1 i art. 18 RODO poinformuje każdą zainteresowaną osobę fizyczną o podjętym działaniu w takiej formie, w której dana osoba zwróciła się do administratora z żądaniem działania w celu realizacji przysługujących jej praw. W wyjątkowych wypadkach, gdy okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku (w przypadku, gdy administrator nie będzie dysponował kontaktem do danej osoby lub liczba osób będzie bardzo duża), administrator odstąpi od powiadomienia zainteresowanych osób.
4.4.2 Zapewnia dokumentację realizacji obowiązków.
4.4.3 Administrator zapewnia osobom, których dotyczą realizację praw przysługujących im na podstawie RODO. W szczególności Administrator dokłada starań, aby żądania osób, których dane dotyczą były realizowane w terminach wyznaczonych przez RODO oraz rzetelnie dokumentowane. Poniżej opisano sposób realizacji praw osób fizycznych:
-
Prawo dostępu do danych i uzyskania informacji (art. 15 RODO)
W przypadku żądania ze strony osoby fizycznej, której dane osobowe przetwarzane są przez administratora, dostępu do swoich danych, uzyskania informacji lub kopii swoich danych zgłoszonego w dowolnej skutecznej formie, specjalista ODO w imieniu administratora niezwłocznie spełni żądanie tej osoby. W przypadku, gdy sporządzenie kopii danych w postaci elektronicznej wymaga wsparcia ze strony wyspecjalizowanego personelu informatycznego, czas dostarczenia tej kopii może ulec wydłużeniu, o czym należy poinformować osobę zainteresowaną.
Sporządzenie i przekazanie zainteresowanej osobie kopii jej danych nie może odbyć się z uszczerbkiem dla naruszenia ochrony danych innych osób.
W przypadku żądania ze strony osoby fizycznej kolejnej kopii swoich danych administrator informuje ją o wysokości opłaty za sporządzenie tej kopii, której wysokość powinna wynikać z kosztów administracyjnych. W takim przypadku kopię sporządza się dopiero po zaakceptowaniu opłaty przez zainteresowanego.
-
Prawo do sprostowania danych (art. 16 RODO)
Po otrzymaniu żądania sprostowania lub uzupełnienia danych od osoby, której dane dotyczą, a także w przypadku powzięcia informacji o nieprawidłowości danych osobowych, administrator niezwłocznie dokonuje niezbędnej korekty.
Osobą odpowiedzialną za realizację tego prawa w imieniu administratora jest specjalista ODO.
-
Prawo do usunięcia danych (art. 17 RODO)
Administrator ma obowiązek zastosowania się do tego prawa osób fizycznych w każdym przypadku, gdy spełnione są przesłanki wymienione w art. 17 ust. 1 RODO, a w szczególności, gdy:
-
dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, czyli ustał cel przetwarzania,
-
osoba, której dane są przetwarzane cofnie zgodę lub wnosi sprzeciw wobec przetwarzania.
Analizując procesy biznesowe, w których występuje przetwarzanie danych osobowych, opisane w rejestrze czynności przetwarzania, administrator określił okres przechowywania danych osobowych. Po upływie tego okresu dane osobowe są usuwane w sposób wynikający z ich formy (papierowa lub elektroniczna).
W przypadku cofnięcia zgody lub wniesienia sprzeciwu dane osoby, która cofnęła zgodę lub wniosła sprzeciw, o ile nie istnieją prawne przesłanki sprzeciwiające się uśnięciu danych, dane są usuwane w sposób wynikający z ich formy (papierowa lub elektroniczna).
W przypadku cofnięcia zgody udzielonej w formie oświadczenia danej osoby fizycznej, administrator pozostawia w swoich zasobach jedynie oświadczenie wyrażenia zgody, aby wyważać się z obowiązku określonego w przepisie art. 7 ust.1 RODO, czyli wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
Osobą odpowiedzialną za realizację tego prawa w imieniu administratora jest specjalista ODO.
-
Prawo do ograniczenia przetwarzania (art. 18 RODO)
W stosownym przypadku administrator podejmuje wszelkie działania mające na celu realizację prawa osoby fizycznej, która zwróciła się do niego w tej sprawie.
Osobą odpowiedzialną za realizację tego prawa w imieniu administratora jest specjalista ODO.
-
Prawo do przenoszenia danych (art. 20 RODO)
W stosownym przypadku administrator podejmuje wszelkie działania mające na celu realizację prawa osoby fizycznej, która zwróciła się do niego w tej sprawie.
Przyjmuje się, że u strukturyzowanym, powszechnie używanym formatem nadającym się do odczytu maszynowego, wobec braku jakichkolwiek regulacji w tym zakresie, będzie format plików PDF.
Osobą odpowiedzialną za realizację tego prawa w imieniu administratora jest specjalista ODO.
-
Prawo do sprzeciwu (art. 21 RODO)
Realizacja prawa do sprzeciwu wobec przetwarzania, możliwa w przypadku administratora praktycznie jedynie w przypadku, o którym mowa jest w art. 6 ust. 1 lit. f) RODO, czyli istnienia prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, jest podobna, jak w przypadku prawa do usunięcia danych.
W przypadku wniesienia sprzeciwu dane zainteresowanej osoby dane są usuwane w sposób wynikający z ich formy (papierowa lub elektroniczna), o ile nie istnieją prawne przesłanki sprzeciwiające się uśnięciu danych,
Osobą odpowiedzialną za realizację tego prawa w imieniu administratora jest specjalista ODO.
4.4.5 Administrator stosuje procedury działania w przypadku naruszenia ochrony danych osobowych, pozwalające na identyfikację i weryfikację naruszenia, a w razie potrzeby jego niezwłoczne zgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych oraz zawiadomienie osoby, której dane dotyczą.
Administrator opracował i wdrożył procedurę postępowania na wypadek wystąpienia incydentu skutkującego naruszeniem ochrony danych osobowych, czyli naruszeniem bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Procedura ta znalazła swój wyraz w tzw. instrukcji alarmowej. Jest ona adresowana głównie do pracowników i współpracowników administratora, którzy muszą wiedzieć, jakie zdarzenia i zjawiska mogą świadczyć o potencjalnym naruszeniu ochrony danych osobowych. Muszą także wiedzieć, jak postępować w razie stwierdzenia takiego zdarzenia, a w szczególności jak się zachować oraz kogo, w jakim czasie i w jakiej formie zawiadomić.
Instrukcja zawiera też postanowienia dotyczące dokumentowania naruszeń, zgłaszania ich do PUODO oraz powiadamiania osób fizycznych, których ochrona danych została naruszona.
Przestrzeganie instrukcji pozwoli administratorowi na wywiązanie się z obowiązków nałożonych przepisami art. 33 i 34 RODO.
Instrukcja alarmowa stanowi element dokumentu Ogólna instrukcja ochrony danych osobowych, który stanowi załącznik nr 7 do Polityki.
4.5 Minimalizacja
Administrator stosuje metodykę zarządzania minimalizacją (privacy by default), która ustala zasady: zarządzania adekwatnością danych, reglamentacji i zarządzania dostępem do danych, zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności.
4.6 Bezpieczeństwo danych osobowych
4.6.1 Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania.
4.6.2 Administrator ustala przydatność oraz stosuje takie środki i podejście jak:
- pseudonimizacja,
- szyfrowanie danych osobowych,
- inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
- środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu.
4.6.3 Administrator zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:
- przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;
- przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
- dostosowuje środki ochrony danych do ustalonego ryzyka;
- wdraża system zarządzania bezpieczeństwem informacji;
- zarządza incydentami naruszenia ochrony danych osobowych.
4.7 Zasady powierzania danych osobowych podmiotom przetwarzającym
4.7.1 Powierzanie przetwarzania danych osobowych podmiotom przetwarzającym następuje w drodze umowy zawartej na piśmie.
4.7.2 Wymagania i wytyczne dla umów powierzenia danych osobowych stanowi załącznik nr 2 do Polityki Bezpieczeństwa Informacji .
4.8 Przekazywanie danych osobowych
4.8.1 Administrator na bieżąco weryfikuje czy dane osobowe nie są przekazywane do państw trzecich (tj. poza Europejski Obszar Gospodarczy) lub do organizacji międzynarodowych.
4.8.2 W przypadku przekazywania danych osobowych zapewnia zgodność przekazywania danych z RODO.
4.8.3 Administrator na bieżąco weryfikuje, czy zachodzą przypadki transgranicznego przetwarzania danych osobowych.
4.9 Privacy by design
Administrator uwzględnia ochronę danych osobowych w fazie projektowania.
4.10.Opis procedury oceny ryzyka dla procesów i DPIA, dokumentacja (art. 35 RODO)
Ocenę prawdopodobieństwa spowodowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz ocenę skutków operacji przetwarzania dla ochrony danych osobowych (DPIA), wymagane przepisami art. 35 RODO, przeprowadzono metodą mieszaną (ilościowo-jakościową) opartą na rozwiązaniach wzorowanych na normach rodziny 27000, uproszczoną i dostosowaną do przepisów RODO i wytycznych Grupy Roboczej Art. 29. Procedura oceny ryzyka operacji przetwarzania (proc esów) i DPIA (data protection impact assessment) przedstawia się następująco:
-
inwentaryzacja procesów biznesowych administratora związanych z przetwarzaniem danych osobowych,
-
analiza i opis zidentyfikowanych procesów,
-
doprecyzowanie kryteriów i klauzul generalnych RODO pod kątem ustalenia przesłanek dla oceny procesów,
-
ocena procesów pod kątem konieczności przeprowadzenia DPIA,
-
identyfikacja i analiza podatności analizowanych procesów,
-
ustalenie planu postępowania z ryzykiem dla poszczególnych zasobów,
-
wybór rozwiązania do realizacji wynikającego z planu postępowania z ryzykiem.
Cały proces opisany powyżej został udokumentowany w oparciu o wymagania art. 35 ust. 7 RODO, a mianowicie:
-
systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
-
ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
-
ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą zawarte są już w rejestrze czynności przetwarzania danych
Ponadto opisano podatności i zagrożenia, jakim mogą być poddane poszczególne procesy przetwarzania oraz opisano wdrożone oraz planowane środki w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Opis zawarty jest w pliku arkusza kalkulacyjnego DARPIN DPIA.
4.11. Specjalista ds. ochrony danych osobowych
4.11.1 Administrator nie wyznaczył inspektora ochrony danych, jednakże wskazał osobę odpowiedzialna za realizację wybranych obowiązków w sferze ochrony danych osobowych, zwaną w niniejszym dokumencie „specjalistą ODO”
4.11.2 Dane kontaktowe specjalisty zostały udostępnione wszystkim osobom przetwarzającym dane osobowe u administratora.
-
. Upoważnienia do przetwarzania (art. 29, 32 ust. 4 RODO)
Wszystkie osoby przetwarzające dane osobowe, w szczególności pracownicy administratora uzyskają od niego imienne upoważnienie, w którym zostaną określone:
-
procesy i cele przetwarzania,
-
kategorie osób fizycznych, których dane podlegają przetwarzaniu i ewentualnie zakres przetwarzanych danych,
-
okres obowiązywania upoważnienia.
Upoważnienie lub polecenie przetwarzania danych może być także częścią zawartej umowy osobą upoważnioną lub częścią zakresu obowiązków/przydziału zadań służbowych.
Na podstawie upoważnienia nadanego przez administratora lub innej informacji określającej zadania i kompetencje osoby przetwarzającej dane osobowe, administrator systemu informatycznego nadaje mu odpowiednie uprawnienia w infrastrukturze informatycznej administratora.
Wzór upoważnienia wraz z oświadczeniem o zapoznaniu się z przepisami i zasadami dotyczącymi ochrony danych osobowych oraz zobowiązaniem do stosowania się do tych zasad zawarty jest w załączniku nr 3 do Polityki Upoważnienie do przetwarzania danych wraz z oświadczeniem-pracownika.
W odniesieniu do pracowników, którzy posiadają upoważnienia i podpisali stosowne oświadczenia przed wejściem w życie niniejszej Polityki, zachowano dotychczasowe dokumenty.
5. Postanowienia końcowe
5.1 Procedury nadawania uprawnień, metody i środki uwierzytelnienia oraz procedury tworzenia kopii zapasowych reguluje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, załącznik nr 1.
5.2 Aktualizacji niniejszej Polityki dokonuje Administrator, który wszelkie propozycje zmian przedstawia osobie wyznaczonej lub podmiotowi odpowiedzialnemu za jej wdrożenie.
5.3 Niniejsza Polityka wchodzi w życie z dniem 25 maja 2018 roku.
6. Załączniki
1. Instrukcja zarządzania systemem informatycznym
2. Wymagania dla umów powierzenia przetwarzania danych osobowych
3. Upoważnienie do przetwarzania danych wraz z oświadczeniem-pracownika
4. Rejestr naruszeń ochrony danych osobowych
5. Rejestr czynności przetwarzania danych osobowych i analiza DPIA – arkusz kalkulacyjny Darpin DPIA
6. Polityka Czystego Biurka
7. Ogólna instrukcja ochrony danych osobowych.