Polityka ochrony danych osobowych w SHAR-POL

I. Postanowienia wprowadzające

1. Cele i deklaracje

  1. Zarząd administratora danych, świadomy wagi zagrożeń jakie niesie ze sobą przetwarzanie danych osobowych dla wolności i praw osób, których dane dotyczą, uznaje ochronę tych danych, w szczególności zapewnienie ich bezpieczeństwa, za jeden z priorytetów działalności SHAR-POL.
  2. Zarząd administratora danych podejmuje działania mające na celu wdrożenie przez  SHAR-POL przepisów o ochronie danych osobowych oraz zapewnienie stałej zgodności działalności SHAR-POL z tymi przepisami. 
  3. W celu realizacji zadań określonych w ppkt. 1) i 2) ustanawia się Politykę ochrony danych osobowych w SHAR-POL. Niniejszy dokument stanowi politykę ochrony danych w rozumieniu art. 24 ust. 2 Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych  oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
  4. Zarząd administratora danych oczekuje, że zasady i procedury określone w niniejszym dokumencie będą faktycznie wdrożone i stosowane przez ich adresatów. Zobowiązuje się wszystkie osoby dopuszczone do przetwarzania danych osobowych w SHAR-POL do dostosowania ich postępowania do wymogów wynikających z niniejszej Polityki ochrony danych osobowych.

   2. Zakres stosowania

  1. Zasady i procedury określone w niniejszym dokumencie stosuje się zarówno do danych osobowych przetwarzanych w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i przetwarzanych w systemach informatycznych.
  2. Zasady i procedury określone w niniejszym dokumencie stosuje się do wszystkich osób przetwarzających dane osobowe w ramach SHAR-POL, zarówno do zatrudnionych w  SHAR-POL, jak i pozostałych, które zostały dopuszczone do przetwarzania na podstawie umów zawartych z SHAR-POL

   3. Definicje

Ilekroć w polityce bezpieczeństwa danych osobowych jest mowa o:

  1. administratorze danych – rozumie się przez to SHAR-POL sp. z o. o. reprezentowaną przez prezesa zarządu,
  2. haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi,
  3. identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
  4. integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione, usunięte lub zniszczone w sposób nieautoryzowany,
  5. odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
    • osoby, której dane dotyczą,
    • osoby upoważnionej do przetwarzania danych,
    • przedstawiciela, o którym mowa w art. 27 RODO,
    • podmiotu przetwarzającego, o którym mowa w art. 28 RODO,
    • organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z przepisami prawa,
  6. pełnomocniku bezpieczeństwa informacji – rozumie się przez to osobę, której administrator danych powierzył realizację zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych,
  7. poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
  8. podmiocie przetwarzającym – rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawartej zgodnie z art. 28 RODO,
  9. raportach – rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych,
  10. RODO – rozumie się przez to rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych  oraz uchylenia dyrektywy 95/46/WE,
  11. rozliczalności – rozumie się przez to właściwość zapewniającą, że podejmowane działania mogą być przypisane w sposób jednoznaczny konkretnej osobie lub podmiotowi,
  12. sieci publicznej – rozumie się przez to publiczną sieć telekomunikacyjną w rozumieniu art. 2 pkt 29 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. DzU z 2014, poz. 243 z późn. zm.),
  13. serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego,
  14. systemie informatycznym administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych,
  15. ustawie – rozumie się przez to ustawę z dnia 10.05.2018 o ochronie danych osobowych,
  16. uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, upoważnionym – rozumie się przez to osobę, która została upoważniona do przetwarzania danych osobowych,
  17. użytkowniku – rozumie się przez to upoważnionego, któremu nadano identyfikator i przyznano hasło.

II. Organizacja przetwarzania danych osobowych

1. Administrator danych osobowych

Administrator danych osobowych reprezentowany przez prezesa zarządu realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:

  1. podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie, organizacji administratora danych oraz technik zabezpieczenia danych osobowych;
  2. upoważnia i odwołuje upoważnienia dla poszczególnych osób do przetwarzania danych osobowych w określonym indywidualnie zakresie, odpowiadającym zakresowi ich obowiązków;
  3. wyznacza pełnomocnika bezpieczeństwa informacji oraz określa zakres jego zadań i czynności;
  4. wyznacza kierownika biura jako właściwego do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych oraz określa podmioty do przetwarzania danych osobowych na podstawie umowy
  5. we współpracy z pełnomocnikiem bezpieczeństwa informacji zapewnia użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych;
  6. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych.

2. Pełnomocnik bezpieczeństwa informacji

Pełnomocnik bezpieczeństwa informacji realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza:

  1. sprawuje nadzór nad wdrożeniem stosownych środków fizycznych, organizacyjnych  i technicznych – w celu zapewnienia bezpieczeństwa danych,
  2. sprawuje bieżący nadzór nad funkcjonowaniem systemu zabezpieczeń danych osobowych,
  3. przeprowadza wewnętrzne audyty (sprawdzenia) przestrzegania przepisów o ochronie danych osobowych, aktualności dokumentacji z zakresu ochrony danych osobowych oraz przestrzegania określonych w niej zasad,
  4. nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom,
  5. zapoznaje się na bieżąco z przepisami dotyczącymi ochrony danych osobowych i wytycznymi organu nadzorczego w tej dziedzinie, dbając o dostosowanie działalności SHAR-POL do aktualnych wymogów. 
  6. przygotowuje lub zatwierdza dokumenty lub odpowiednie klauzule w dokumentach dotyczące ochrony danych osobowych,
  7. prowadzi lub nadzoruje prowadzenie dokumentacji z zakresu ochrony danych osobowych,
  8. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych,
  9. nadzoruje realizację obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie tych danych, w szczególności decyduje o terminach i sposobach przeprowadzenia szkoleń w tym zakresie,
  10. w porozumieniu z administratorem danych osobowych na czas nieobecności (urlop, choroba) wyznacza swojego zastępcę.

4. Kierownik biura

Kierownik biura realizuje następujące zadania w zakresie ochrony danych osobowych – prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych,

5. Upoważniony

Każdy upoważniony do przetwarzania danych osobowych jest zobowiązany przestrzegać następujących zasad:

  1. może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez administratora danych w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych;
  2. musi zachować w tajemnicy treść danych osobowych oraz sposób ich zabezpieczenia.  Użytkownik jest zobowiązany do zachowania powyższych tajemnic przez cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji;
  3. zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami Polityki bezpieczeństwa danych osobowych Shar-POL oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;
  4. stosuje się do wydawanych przez administratora danych, pełnomocnika bezpieczeństwa informacji oraz innych przełożonych procedur, wytycznych oraz poleceń służbowych mających na celu zapewnienie zgodnego z prawem przetwarzania danych osobowych;
  5. korzysta z systemu informatycznego administratora danych w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników;
  6. zabezpiecza dane przed ich utratą, nieautoryzowanym zmienieniem lub ujawnieniem osobom nieupoważnionym.

III. Infrastruktura przetwarzania danych osobowych

1. Obszar przetwarzania danych osobowych

Obszar przetwarzania danych osobowych obejmuje lokale SHAR-POL.

2. Zasoby danych osobowych

  1. Na zasoby danych osobowych SHAR-POL składają się zarówno dane osobowe przetwarzane w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i przetwarzanych w systemach informatycznych.  
  2. Opis zasobów danych osobowych SHAR-POL obejmujący  informację o treści i strukturze każdego z zasobów oraz o sposobie przepływu danych pomiędzy zasobami 

3. System informatyczny

  1. System informatyczny administratora danych opisuje dokument „Opis systemu informatycznego”
  2. Sposób przetwarzania danych osobowych w systemie informatycznym administratora danych określają Opis zasobów danych osobowych oraz Ewidencja czynności przetwarzania.

4. Dokumentacja ochrony danych osobowych

SHAR-POL prowadzi dokumentację ochrony danych osobowych na którą składają się:

  1. opis obszaru przetwarzania danych osobowych
  2. opis zasobów danych osobowych 
  3. ewidencje 
  4. rejestr czynności przetwarzania
  5. dokumentacja audytów
  6. umowy z podmiotami przetwarzającymi

W ramach dokumentacji ochrony danych osobowych kierownik biura prowadzi  ewidencje:

  1. osób upowaznionych do przetwarzania danych osobowych i umów powierzenia danych z podmiotami zewnętrznymi
  2. użytkowników systemu informatycznego

IV. Identyfikacja zagrożeń bezpieczeństwa danych osobowych

Identyfikuje się nastepujące zagrożenia bezpieczeństwa danych osobowych przetwarzanych w SHAR-POL:

  1. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu,
  2. niewłaściwe parametry środowiska zakłócające prace urzdzeń komputerowych awarie sprzętu lub oprogramowania (losowe, spowodowane niewłaściwym działaniem użytkowników),
  3. zastosowanie niewłaściwych metod zabezpieczenia systemu informatycznego lub brak dostosowania poziomu zabezpieczeń do aktualnego poziomu wyzwań technologicznych
  4. działania przestępcze,
  5. naruszenia zasad i procedur przez osoby upoważnione do przetwarzania danych osobowych będących skutkiem nieprzestrzegania procedur ochrony danych.

V. Przeciw działanie zagrożeniom danych osobowych

1. Strefy bezpieczeństwa

W siedzibie adminisratora danych wydzielono klasy bezpieczeństwa. W klasie I dostęp do informacji zabezpieczony jest wewnętrznymi środkami kontroli. W sklad strefy wchodzą: serwerownia, w której mogą przebywac wylacznie administrator systemu, inne osoby upowanione upowaznione do przetwarzania tylko w obecności administratora, osoby postronne nie mają wstępu, klucz jest przechowywany w sejfie W klasie II maja dostęp osoby upowaznione do przetwarzania danych osobowych zgodnie z zakresami upowaznień, a osoby postronne moga w niej przebywać tylko w obecności pracownika upoważnionego. Strefa ta obejmuje wszystkie pomieszczenia zaliczone do pbszaru przetwarzania danych.

2. Zabezpieczenie sprzętu

  1. Serwer jest zlokalizowany w odrebnym pomieszczeniu bez okna z klimatyzavcją, drzwi zamykane na klucz
  2. administrator systemu wskazuje użytkownikom , jak postępować, aby zapewnić prawidłową eksploatację urządzeń i systemu informatycznego
  3. Wszystkie urządzenia systemu informatycznego są zasilane za pośrednictwem zasilaczy awaryjnych(UPS)
  4. Okablowanie sieciowe- dostęp do linii transmisyjnych jest możliwy tylko z pomieszczeń zamykanych na klucz. Kable sieciowe nie krzyżują się z kablami zasilającymi co zapobiega interferencjom.
  5. Bieżąca konserwacja sprzętu wykorzystywana do przetwarzania danych osobowych prowadzona jest przez upoważnioną firmę lub pod ich nadzorem przez innych upoważnionych
  6. W przypadku konieczności naprawy sprzętu wykorzystywanego do przetwarzania danych osobowych dokonuje się tego z podmiotem wykonującym naprawę umowy o powierzenie przetwarzania danych osobowych lub po usunięciu tych danych
  7. Dopuszcza się konserwowanie i naprawę sprzętu poza siedzibą administratora danych jedynie po trwałym usunięciu danych osobowych lub po podpisaniu umowy o powierzenie przetwarzania danych osobowych
  8. Zużyty sprzęt może być zbywany po trwałym usunięciu danych osobowych. Urządzenia uszkodzone mogą być utylizowane przez podmioty z którymi zawarto umowy o powierzenie przetwarzania danych osobowych jeśli trwałe usunięcie danych jest zbyt kosztowne

3. Zabezpieczenie systemu informatycznego

  1. System informatyczny posiada szerokopasmowe połączenie z Internetem, Administrator danych wykorzystuje centralną zaporę sieciową w celu separacji lokalnej sieci od publicznej.
  2. Przed atakami z sieci zewnętrznej wszystkie komputery ( w tym także przenośne) chronione są środkami dobranymi przez administratora w porozumieniu z pełnomocnikiem bezpieczeństwa informacji. Aktualizacja zabezpieczeń odbywa się bez udziału użytkowników rozbudowy systemu informatycznego.
  3. Administratora w porozumieniu z pełnomocnikiem bezpieczeństwa informacji dobiera elektroniczne środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń, a także stosownie do rozbudowy systemu i powiększania bazy danych.

4. Kontrola dostępu do systemu i monitorowanie pracy użytkowników

  1. Poszczególnym osobom upowaznionym do przetwarzania danych osobowych przydziela się konta optrzone niepowtarzalnym identyfikatorem umożliwiającym dostęp do danych zgodnie z zakresem upoważnienia.
  2. System informatyczny administratora danych poprzez moduł może śledzić kto kiedy i jakie programy uruchamia na poszczególnych stacjach roboczych. Ponadto system ten zapewnia odnotowanie:
    • daty pierwszego wprowadzenia danych do systemu
    • identyfikatora użytkownika wprowadzającego dane osobowe do systemu
    • źródła danych – w przypadku zbierania danych nie od osoby, której one dotyczą 
    • informacji o odbiorcach danych którym dane osobowe zostały udostępnione, o dacie i zakresie tego udostepnienia
    • wniesienia sprzeciwu wobec przetwarzania danych osobowych o którym mowa w art. 21 RODO
  3. Odnotowanie daty pierwszego wprowadzenia danych do systemu ora identyfikatora użytkownika następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
  4. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym system zapewnia sporzadzenie i wydrukowanie raportu zawierajacego w powszechnie zrozumiałej formie informacje.
  5. System informatyczny administratora danych umozliwia zapisywanie zdarzeń wyjątkowych na potrzeby audytu i przechowywanie informacji o nich przez określony czas. Zapisy obejmują:
    • identyfikator użytkownika
    • datę i czas zalogowania i wylogowania systemu
    • tożsamość stacji roboczej
    • zapisy udanych i nieudanych prób dostępu do systemu
    • zapisy udanych i nieudanych prób dostępu do danych i innych zasobów systemowych  

5. Polityka osobowa      

  1. Nabór pracowników na stanowiska zwiazane z przetwarzaniem danych osobowych dokonywany jest z uwzględnieniem kompetencji merytorycznych oraz kwalifikacji moralnych kandydatów.
  2. Dopuszczenie do stanowisk związanych z przetwarzaniem danych osobowych następuje po zrealizowaniu obowiązków wynikających z przepisów prawa oraz niniejszej Polityki bezpieczeństwa informacji, w szczególności po wystawieniu stosowanego indywidualnego upoważnienia oraz zapoznaniu osób dopuszczonych do przetwarzania z zasadami bezpieczeństwa danych osobowych.
  3. Ryzyko naruszenia zasad ochrony danych osobowych ze strony osób, które nie zostały upoważnione do przetwarzania danych osobowych (np. personel sprzątający) jest minimalizowane przez odpowiednie przeszkolenie ich (pouczenie) oraz zobowiązywanie do zachowania tajemnicy.

6. Indywidualne wymagania dotyczące użytkowników

Użytkownicy zobowiązani sa do zachowania następujących reguł bezpieczeństwa:

  1. powstrzymywania się od samodzielnej ingerencji w oprogramowanie i konfigurację powierzonego sprzetu oraz instalowania nieautoryzowanego oprogramowania, nawet gdy z pozoru mogloby to usprawnić pracę lub podnieść poziom bezpieczeństwa danych,
  2. dbania o prawidłowa wentylację komputerów,
  3. niepodłączania do listew podtrzymujących napięcie przeznaczonych dla sprzętu komputerowego innych urządzeń
  4. zamykania okien
  5. przestrzegania indywidualnych uprawnień i realizacji obowiązków w zakresie przetwarzania danych osobowych w szczególności właściwego korzystania z powierzonych sprzętów i udostępnionych zasobów oraz używania wyłącznie własnego identyfikatora i hasła
  6. odpowiedniego zabezpieczenia identyfikatora i hasła oraz nieudostępniania go innym osobom
  7. zachowania danych osobowych i sposobu ich zabezpieczenia w tajemnicy, w tym także wobec osób najbliższych
  8. ustawiania ekranów komputerowych tak, aby osoby nieuprawnione nie widziały treści wyświetlanych na ekranie
  9. niepozostawianie osób postronnych w pomieszczeniu, w którym przetwarzane s dane osobowe bez obecności osób upoważnionych do przetwarzania danych osobowych
  10. niepozostawiania bez kontroli włączonych urządzeń zawierających dane osobowe oraz niezabezpieczonych dokumentów
  11. niszczenia niepotrzebnych wydruków i kopii dokumentów po ich wykorzystaniu oraz kasowania po wykorzystaniu z dysków przenośnych
  12. powstrzymania się od przesyłania danych osobowych pocztą elektroniczną
  13. kończenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego dnia w odpowiednie obszary serwera, a następnie prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera
  14. zadbanie o odpowiednie zabezpieczenie: pomieszczeń oraz wszelkich dokumentów i wydruków zawierających dane osobowe przed opuszczeniem miejsca pracy

7. Komputery przenośne i praca poza siedzibą administratora

  1. Wynoszenie poza obszar przetwarzania danych urządzeń i dokumentów zawierających dane osobowe jest dopuszczalne jedynie za wiedzą i zgodą pełnomocnika bezpieczeństwa informacji lub bezpośredniego przełożonego, gdy konieczność taka została uzgodniona z pełnomocnikiem bezpieczeństwa informacji.
  2. Urządzenia zawierające dane osobowe wynoszone poza obszar przetwarzania danych należy chronić przed uszkodzeniami fizycznymi. Należy też bezwzględnie przestrzegać zaleceń producentów dotyczących ochrony sprzętu. W szczególności należy pamiętać, że urządzenia elektroniczne mogą ulec uszkodzeniu w skutek działanie silnego pola elektromagnetycznego i chronić je przed takim oddziaływaniem.
  3. Urządzenia przenośne, nośniki danych oraz dokumenty wynoszone poza obszar przetwarzania danych nie powinny być pozostawiane bez nadzoru. W szczególności zabrania się pozostawiania urządzeń i dokumentów zawierających dane osobowe bez odpowiedniego zabezpieczenia w miejscach publicznych, pokojach hotelowych oraz w samochodach.
  4. Wykorzystywanie urządzeń przenośnych, nośników danych oraz dokumentów zawierających dane osobowe w miejscach publicznych jest dozwolone, o ile otoczenie, w którym znajduje się osoba upoważniona do przetwarzania danych osobowych, stwarza warunki minimalizujące ryzyko utraty, zniszczenia lub zapoznania się z danymi przez osoby nieupoważnione. Za miejsca szczególnego ryzyka należy uznać restauracje oraz środki komunikacji publicznej.
  5. Niedozwolone jest udostępnianie urządzeń przenośnych i nośników danych należących do administratora danych osobom nieupoważnionym, w tym domownikom i osobom bliskim użytkownika. Użytkownik obowiązany jest zachować w tajemnicy wobec wszystkich osób, w tym wobec domowników i osób bliskich identyfikator i hasło, których podanie jest konieczne do rozpoczęcia pracy na komputerze przenośnym administratora danych lub chroniącym dostęp do nośników danych.

VII. Działania nadzorcze i audyty wewnętrzne.

1. Nadzór nad przestrzeganiem ochrony danych osobowych

  1. W celu zapewnienia ochrony wolności i praw osób, których dane dotyczą, a zwłaszcza bezpieczeństwa dotyczących ich danych, pełnomocnik bezpieczeństwa informacji zapewnia zgodność działalności SHAR-POL z przepisami.
  2. Realizując zadanie określone w ppkt. 1) pełnomocnik bezpieczeństwa informacji:
    1. dokonuje inwentaryzacji zasobów danych osobowych i dba o aktualność ich opisu zgodnie z wymogami określonymi w części III pkt. 2 ppkt. 2 niniejszej Polityki,
    2. przeprowadza ocenę ryzyka naruszenia ochrony danych osobowych
    3. prowadzi rejestr czynności przetwarzania
    4. jeśli to wymagane przeprowadza ocenę skutków dla ochrony danych
    5. czuwa nad aktualnością dokumentacji z zakresu ochrony danych osobowych
    6. czuwa nad przestrzegania zasad określonych w dokumentacji ochrony danych osobowych
    7. czuwa nad zgodnością przetwarzania danych osobowych z przepisami
      o ochronie danych osobowych
    8. prowadzi postępowanie wyjaśniające w przypadku stwierdzenia naruszenia lub podejrzenia naruszenia ochrony danych osobowych
  3. W celu realizacji zadań określonych w ppkt. 2 lit. f-h) pełnomocnik bezpieczeństwa informacji przeprowadza okresowe audyty wewnętrzne (tzw. sprawdzenia planowe). Realizując zadanie określone w ppkt. 2 lit. i pełnomocnik bezpieczeństwa informacji przeprowadza audyt wewnętrzny nieobjęty planem sprawdzeń (tzw. sprawdzenie doraźne).
  4. Pełnomocnik bezpieczeństwa informacji zapewnia (nadzoruje) realizację obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie tych danych, w szczególności decyduje o terminach i sposobach przeprowadzenia szkoleń w tym zakresie.

2. Inwentaryzacja i opis zasobów

  1. Pełnomocnik bezpieczeństwa informacji dba o to by przetwarzanie danych osobowych w   SHAR-POL odbywało się wyłącznie za wiedzą, zgodą i pod nadzorem upoważnionych.
  2. W celu realizacji zadania określonego w ppkt. 1) pełnomocnik bezpieczeństwa informacji opisuje zasoby danych osobowych oraz sposób ich przetwarzania i zabezpieczenia
  3. Pełnomocnik bezpieczeństwa informacji dba o aktualność opisu zasobów. Ocena aktualności opisu zasobów stanowi element okresowego przeglądu dokumentacji o którym mowa w pkt.8.

3. Rejestr czynności przetwarzania

  1. SHAR-POL prowadzi rejestr czynności przetwarzania tak, by był on zgodny z wymogami art. 30 RODO. Przeprowadzając okresowy przegląd dokumentacji o którym mowa w pkt. 8 pełnomocnik bezpieczeństwa informacji dokonuje oceny spełnienia powyższego wymogu. 
  2. Pełnomocnik bezpieczeństwa informacji przekazuje rejestr czynności przetwarzania organowi nadzorczemu na jego żądanie.

4. Ocena ryzyka

  1. Celem oceny ryzyka jest ustalenie czy stopień bezpieczeństwa danych jest odpowiedni oraz czy nie zachodzi niebezpieczeństwo naruszenia praw i wolności osób fizycznych.
  2. Administrator danych zleca pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny ryzyka, gdy:
    1. są planowane lub podejmowane nowe czynności z wykorzystaniem danych osobowych,
    2. dokonywane są zmiany sposobu działania SHAR-POL, w szczególności zmiany w zakresie wykorzystywanej technologii i organizacji pracy, gdy może to mieć wpływ na przetwarzanie danych osobowych.
  3. Wyniki oceny ryzyka pełnomocnik bezpieczeństwa informacji przedstawia niezwłocznie administratorowi danych. Jeśli na skutek przeprowadzonej oceny pełnomocnik bezpieczeństwa informacji ustali, że dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator danych rezygnuje z planowanych działań, albo podejmuje czynności wskazane w ppkt. 
  4. Jeśli administrator danych chce kontynuować planowane działania mimo, że z oceny ryzyka wynika, że z dużym prawdopodobieństwem mogą one powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to:
    1. zleca właściwym podmiotom, w tym pełnomocnikowi bezpieczeństwa informacji, opracowanie i zastosowanie środków zaradczych, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych i wykazać przestrzeganie postanowień RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy,
    2. zleca pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych zgodnie z pkt. 5.
    3. oceny skutków przetwarzania dla ochrony danych wskazanej w ppkt. 4 nie trzeba przeprowadzać, gdy przetwarzanie jest obowiązkiem wynikającym
      z przepisu prawa lub jest niezbędne do wykonania zadania realizowanego
      w interesie publicznym lub w ramach sprawowania władzy publicznej
  5. Ocenę ryzyka pełnomocnik bezpieczeństwa informacji przeprowadza także w przypadku stwierdzenia naruszenia lub podejrzenia naruszenia ochrony danych osobowych zgodnie z częścią VIII niniejszej Polityki.

5. Ocena skutków przetwarzania dla ochrony danych

  1. Jeżeli administrator danych osobowych zlecił pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny skutków przetwarzania dla ochrony danych zgodnie z pkt. 4 ppkt. 4 lit. b), to pełnomocnik bezpieczeństwa informacji przystępuje niezwłocznie do opracowania takiej oceny.
  2. Ocena skutków o której mowa w ppkt. 1) obejmuje:
    1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
    2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów
    3. wskazanie środków zaplanowanych w celu zaradzenia ryzyku, ze szczególnym wyróżnieniem tych opracowanych i wdrożonych w ramach działań podjętych na zlecenie wskazane w pkt. 4 ppkt. 4 lit. a);
    4. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, po zastosowaniu środków wskazanych w ppkt. 2 lit. c).
  3. Wyniki oceny skutków pełnomocnik bezpieczeństwa informacji przedstawia niezwłocznie administratorowi danych. Jeśli ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby nadal wysokie ryzyko naruszenia wolności lub praw osób, których dane dotyczą, a zastosowane środki wskazane w pkt. 5 ppkt. 2 lit. c) nie pozwalają na jego zminimalizowanie, to administrator danych rezygnuje się z podejmowania planowanych działań, albo przedstawia sprawę organowi nadzorczemu w trybie uprzednich konsultacji zgodnie z pkt. 6.

7. Audyty wewnętrzne

  1. W celu zapewnienia przestrzegania przepisów o ochronie danych osobowych pełnomocnik bezpieczeństwa informacji przeprowadza następujące audyty wewnętrzne:
    • sprawdzenie prawidłowości i aktualności dokumentacji z zakresu ochrony danych osobowych;
    • sprawdzenie przestrzegania zasad i procedur określonych w dokumentacji ochrony danych osobowych.
    • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  2. Audyty wewnętrzne wskazane w ppkt. 1) są przeprowadzane okresowo zgodnie z planem sprawdzeń przygotowywanym przez pełnomocnika bezpieczeństwa informacji (sprawdzenia planowe). Plan sprawdzeń obejmuje maksimum 1 rok. Jest on przekazywany administratorowi danych do wiadomości w terminie minimum 2 tygodni przed rozpoczęciem okresu, który plan obejmuje. Jeśli sprawdzenie planowe obejmuje kontrolę w  konkretnej jednostce lub dziale to kierownik tej jednostki jest zawiadamiany o sprawdzeniu nie później niż na 7 dni przed rozpoczęciem sprawdzenia.
  3. W sytuacji powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia pełnomocnika bezpieczeństwa informacji przeprowadza audyt nieobjęty planem sprawdzeń (tzw. sprawdzenie doraźne). W przypadku sprawdzeń doraźnych terminy określone w ppkt. 2) nie obowiązują.  
  4. Pełnomocnik bezpieczeństwa informacji przygotowuje i gromadzi dokumentację przeprowadzonych audytów.
  5. Obowiązki określone w ppkt. 1-4) pełnomocnik bezpieczeństwa informacji realizuje we współpracy z kierownikiem biura 8. Zapewnienie aktualności dokumentacji z zakresu ochrony danych osobowych
  6. Pełnomocnik bezpieczeństwa informacji dokłada starań by dokumentacja ochrony danych osobowych była aktualna. 
  7. Niezależnie od działań wskazanych w ppkt. 1)  pełnomocnik bezpieczeństwa informacji nie rzadziej niż raz do roku dokonuje przeglądu dokumentacji pod kątem sprawdzenia jej aktualności i zgodności z przepisami.

8. Zapewnienie przestrzegania zasad określonych w dokumentacji ochrony danych osobowych.

  1. Pełnomocnik bezpieczeństwa informacji prowadzi bieżący nadzór nad działalnością SHAR-POL związaną z przetwarzaniem danych osobowych. Realizując powyższe zadanie pełnomocnik bezpieczeństwa informacji m.in. na bieżąco ocenia zagrożenia, sprawdza kluczowe punkty bezpieczeństwa, formułuje zalecenia i wskazówki, odpowiada na pytania i udziela porad.
  2. Niezależnie od działań wskazanych w ppkt. 1)  pełnomocnik bezpieczeństwa informacji nie rzadziej niż raz do roku przeprowadza audyt przestrzegania zasad i procedur ochrony danych osobowych w  SHAR-POL .
  3. W ramach audytu określonego w ppkt. 2) dokonuje się w szczególności analizy zagrożeń określonych w części IV niniejszej Polityki oraz sprawdza realizację wskazań i obowiązków określonych w części V niniejszej Polityki.

9. Zapewnienie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych

  1. Pełnomocnik bezpieczeństwa informacji na bieżąco śledzi zmiany prawne i zapoznaje się ze wskazówkami organu nadzorczego wydanymi w zakresie ich wdrożenia. Pełnomocnik bezpieczeństwa informacji informuje administratora danych o planowanych zmianach prawnych i w porozumieniu z nim oraz, gdy to właściwe, z udziałem administratora systemu, przygotowuje projekty dostosowujące działania, zasady i procedury wewnętrzne do nowych wymogów.
  2. Niezależnie od działań wskazanych w ppkt. 1)  pełnomocnik bezpieczeństwa informacji nie rzadziej niż raz do roku przeprowadza audyt zgodności przetwarzania danych osobowych z przepisami. SHAR-POL .
  3. W ramach audytu określonego w ppkt. 2) dokonuje się w szczególności oceny realizacji wymogów wskazanych w części VI niniejszej Polityki.

VIII. Naruszenie ochrony danych osobowych

1. Postępowanie w przypadku stwierdzenia lub podejrzenia stwierdzenia naruszenia ochrony danych osobowych

  1. Zasady postępowania w przypadku stwierdzenia naruszenia lub podejrzenia naruszenia bezpieczeństwa systemu informatycznego określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w SHAR-POL.
  2. Każdy kto stwierdził inne niż określone w ppkt. 1) naruszenie ochrony danych osobowych lub podejrzewa takie naruszenie powinien niezwłocznie poinformować o tym pełnomocnika bezpieczeństwa informacji. Jako inne niż określone w ppkt. 1) naruszenie rozumie się w szczególności brak realizacji lub niewłaściwą realizację wymogów określonych w części VI niniejszej Polityki.
  3. Pełnomocnik bezpieczeństwa informacji po otrzymaniu zawiadomienia, o którym mowa w ppkt. 2) przeprowadza niezwłocznie postępowanie wyjaśniające w celu ustalenia czy naruszenie ochrony danych osobowych miało miejsce (tzw. sprawdzenie doraźne).
  4. Sprawdzenie doraźne może zostać wszczęte przez pełnomocnik bezpieczeństwa informacji także z własnej inicjatywy, gdy w inny sposób niż w skutek zawiadomienia poweźmie informację o naruszeniu lub możliwym naruszeniu ochrony danych osobowych.
  5. W przypadku stwierdzenia naruszenia ochrony danych osobowych w trybie określonym w ppkt. 3 lub 4) pełnomocnik bezpieczeństwa informacji:
    1. podejmuje niezwłoczne, możliwe do wprowadzenia na bieżąco, działania zapobiegające dalszemu naruszaniu ochrony danych osobowych,
    2. stosuje niezwłoczne, możliwe do wprowadzenia na bieżąco, środki eliminujące lub zmniejszające ryzyko naruszenia praw lub wolności osoby, której dane dotyczą,
    3. sporządza raport naruszenia ochrony danych osobowych, a następnie niezwłocznie przekazuje jego kopię administratorowi danych.
  6. Raport o którym mowa w ppkt. 5 lit.  c) zawiera w szczególności:
    1. opis okoliczności naruszenia ochrony danych osobowych;
    2. opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazuje kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    3. opis możliwych konsekwencji naruszenia ochrony danych osobowych;
    4. ocenę czy jest prawdopodobne, że naruszenie skutkowało ryzykiem lub wysokim ryzykiem naruszenia wolności lub praw osób fizycznych;
    5.  wskazanie zastosowanych lub proponowanych działań zaradczych, ze szczególnym uwzględnieniem takich, które zmierzają do zminimalizowania ewentualnych negatywnych skutków naruszenia.
  7. Administrator danych osobowych po zapoznaniu się z raportem o którym mowa w ppkt. 6) podejmuje decyzje o dalszym trybie postępowania, a w szczególności:
    1. jeśli to właściwe, zarządza podjęcie czynności zmierzających do usunięcia naruszenia i jego skutków oraz zapobieżeniu naruszeniom ochrony danych osobowych na przyszłość.
    2. jeśli to możliwe, zarządza zastosowanie środków eliminujących lub zmniejszających prawdopodobieństwo ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
    3.  jeśli jest to właściwe zawiadamia o naruszeniu właściwe organy, w tym zgłasza naruszenie organowi nadzorczemu oraz informuje o naruszeniu osoby, których naruszenie dotyczy. Do zgłasza naruszeni organowi nadzorczemu zgodnie z art. 33 ust. 1 RODO oraz zawiadamia o naruszeniu osób, których dane dotyczą zgodnie z art. 34 ust. 1 RODO stosuje się postanowienia pkt. 2 i 3 niniejszej części

2. Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienie osoby, której dane dotyczą.

  1. Jeśli administrator danych ustali, że jest prawdopodobne, że naruszenie ochrony danych osobowych stwierdzone w trybie określonym w pkt. 1 skutkowało ryzykiem naruszenia wolności lub praw osób fizycznych nakazuje pełnomocnikowi bezpieczeństwa informacji przygotowanie projektu zgłoszenia naruszenia organowi nadzorczemu,
  2. Zgłoszenie naruszenia wskazane w ppkt. 1) zawiera, w szczególności:
    1. informacje zawarte w raporcie, zgodnie z pkt. 1 ppkt. 6),
    2. wskazanie imienia i nazwiska oraz danych kontaktowych pełnomocnika bezpieczeństwa informacji, jako osoby właściwej do kontaktu w sprawie. W szczególnych przypadkach, po konsultacji z administratorem danych osobowych, do kontaktu w sprawie może być wskazana inna osoba niż pełnomocnik bezpieczeństwa informacji.
  3. Zgłoszenie naruszenia ochrony danych osobowych, o którym mowa w ppkt. 1-2) administrator danych zatwierdza i przekazuje organowi nadzorczemu bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
  4. Jeżeli dotrzymanie terminu wskazanego w ppkt. 3) jest niemożliwe administrator danych do zgłoszenia dołącza wyjaśnienie przyczyn opóźnienia. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić od razu, administrator danych udziela tych informacji sukcesywnie, bez zbędnej zwłoki.

3. Zawiadomienie osoby, której dane dotyczą.

  1. Jeśli administrator danych ustali, że naruszenie ochrony danych osobowych stwierdzone w trybie określonym w pkt. 1 może powodować wysokie ryzyko naruszenia wolności lub praw osób fizycznych i nie da się zastosować środków eliminujących to wysokie ryzyko, nakazuje pełnomocnikowi bezpieczeństwa informacji przygotowanie projektu zawiadomienia o naruszeniu dla wszystkich osób, których danych naruszenie dotyczy.
  2. Zawiadomienie o którym mowa w ppkt. 1) powinno być napisane jasnym i prostym językiem oraz zawierać, w szczególności:
    1. opis charakteru naruszenia,
    2. opis możliwych konsekwencji naruszenia,
    3. skazanie zastosowanych lub planowanych działań zaradczych, ze szczególnym uwzględnieniem takich, które mogą zminimalizować ewentualne negatywne skutki naruszenia,
    4. wskazanie imienia i nazwiska oraz danych kontaktowych pełnomocnika bezpieczeństwa informacji, jako osoby właściwej do kontaktu w sprawie. W szczególnych przypadkach, po konsultacji z administratorem danych osobowych, do kontaktu w sprawie może być wskazana inna osoba niż pełnomocnik bezpieczeństwa informacji.
  3. Zawiadomienie o naruszeniu ochrony danych osobowych, o którym mowa w ppkt. 1-2) administrator danych zatwierdza i przekazuje niezwłocznie wszystkim osobom, których danych naruszenie dotyczy.
  4. Jeżeli administrator danych oceni, że realizacja wymogów określonych w ppkt. 1-3) wymagałoby niewspółmiernie dużego wysiłku, w szczególności niewspółmiernie dużego wysiłku wymagałoby nawiązanie bezpośredniego, indywidualnego kontaktu z osobami, których danych naruszenie dotyczy, może podjąć decyzje o przekazaniu informacji zainteresowanym poprzez wydanie publicznego komunikatu lub o zastosowaniu innego podobnego środka, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

4. Dokumentacja naruszenia ochrony danych osobowych.

  1. Pełnomocnik bezpieczeństwa informacji prowadzi dokumentację naruszenia danych osobowych.
  2. W skład dokumentacji o której mowa w ppkt. 1) wchodzą:
    1. kopia raportu
    2. kopia zgłoszenia 
    3. kopie zawiadomień
    4. wszelkie inne dokumenty, w tym notatki służbowe, pliki, zdjęcia i inne dowody zebrane w trakcie przeprowadzania czynności wyjaśniających pozwalające ustalić okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  3. Dokumentacja naruszenia ochrony danych osobowych pozostaje do wglądu organu nadzorczego.

Nie wiesz, który produkt najlepiej odpowiada Twoim oczekiwaniom?

Skontaktuj się z nami
Projekt strony: