POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
obejmująca rejestr czynności przetwarzania danych osobowych
Landster Business Development Center  z siedzibą w Bielsku-Białej przy ul. Legionów 26/28, lok. A – 302, NIP 6421802243 oraz Spółki „LANDSTER" Sp. z o. o. Sp. kom. z siedzibą w Bielsku-Białej przy ul. Legionów 26/28, lok. A – 302, KRS 0000424318, NIP 5472143608 zwanych dalej „LANDSTER


 1.   Preambuła

 1.1.      Z uwagi na fakt, że LANDSTER należy do kategorii małych średnich przedsiębiorców, a jednocześnie nie przetwarza danych na dużą skalę, w zasadniczym zakresie obowiązki związane z ochroną danych osobowych uważa się za ograniczone lub wyłączone,

 1.2.      Tym niemniej, działając z daleko posuniętej ostrożności i dochowując należytej staranności, uznając że przyczyni się to do lepszego sposobu przetwarzania danych osobowych, LANDSTER podjął decyzję o fakultatywnym wdrożeniu odpowiedniej polityki ochrony danych (art. 24 ust. 2 RODO), obejmującą także rejestrowanie czynności przetwarzania, opierając się w tym zakresie pomocniczo na treści art. 30 i in. RODO,

 1.3.      Niezależnie od powyższego należy zastrzec, że zasadnicze zasady w zakresie przetwarzania danych osobowych określają następujące akty prawne:

1.3.1.  rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r.  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej nr L 119/1 z 4.5.2016; dalej: RODO)

1.3.2.  ustawa z dnia _______________r. o ochronie danych osobowych (Dz.U._______________; dalej: ustawa o ochronie danych osobowych, u.o.d.o.),

 1.4.      Polityka bezpieczeństwa danych osobowych powinna być poddawana bieżącej aktualizacji, ale nie rzadziej niż raz do roku.

 1.5.      W przypadku, gdyby postanowienia Polityki okazały się z jakichkolwiek względów sprzeczne z powszechnie obowiązującym prawem – stosuje się przepisy prawa, z pominięciem postanowień Polityki.

 
2. Podstawowe definicje 

 2.1.      Administrator Danych Osobowych, Administrator Danych (ADO) – firma ustalająca cele i sposoby przetwarzania danych osobowych - którą jest Landster Business Development Center z siedzibą w Bielsku – Białej przy ul. Legionów 26/28, lok. A - 302, NIP: 6421802243, Regon: 240176517 wraz z powiązaną spółką - „Landster” Sp. z o.o. Sp. kom. wpisana przez Sąd Rejonowy w Bielsku – Białej Wydział VIII Krajowego rejestru Sądowego do rejestru przedsiębiorców KRS pod nr 0000424318, NIP: 5472143608, Regon: 242962533.

 2.2.      Administrator Bezpieczeństwa (AB) – osoba wyznaczona przez ADO, odpowiedzialna za zapewnianie, aby przetwarzanie danych osobowych przez ADO odbywało się zgodnie z przepisami o ochronie danych osobowych. Szczegółowy zakres obowiązków AB określa niniejsza Polityka.  AB nie jest inspektorem ochrony danych, o którym mowa w art. 37 i nast. RODO, w związku z czym ADO nie ma obowiązku publikacji jego danych lub zawiadomienia o nich Organu Nadzorczego.

 2.3.      Administrator Systemów Informatycznych (ASI) – wyznaczona przez ADO osoba, odpowiedzialna za funkcjonowanie infrastruktury informatycznej, na którą składa się cały sprzęt informatyczny oraz systemów i aplikacji informatycznych, za ich przeglądy, konserwację oraz za stosowanie technicznych i organizacyjnych środków bezpieczeństwa w systemach informatycznych. Szczegółowy zakres obowiązków ASI określa niniejsza Polityka.

 2.4.      Dane osobowe –informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

 2.5.      Dane biometryczne - dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

 2.6.      Dane dotyczące zdrowia - dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

 2.7.      Nadzorca zasobów danych osobowych (NZDO) – osoba kierująca komórką organizacyjną, odpowiedzialna za ochronę danych osobowych przetwarzanych w podległej komórce. Szczegółowy zakres obowiązków NZDO określa niniejsza Polityka.

 2.8.      Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

 2.9.      Organ Nadzorczy–Prezes Urzędu Ochrony Danych Osobowych.

 2.10.    Odbiorca danych – osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.

 2.11.    Podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

 2.12.    Polityka, Polityka bezpieczeństwa – niniejsza Polityka bezpieczeństwa danych osobowych.

 2.13.    Profilowanie - dowolna formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

 2.14.    Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

 2.15.    Pseudonimizacja -przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

 2.16.    Strona trzecia -osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

 2.17.    Zbiór danych - uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

 2.18.    Zgoda, Zgoda osoby, której dane dotyczą- dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

 

  3.  Obowiązki Administratora Danych Osobowych

 3.1.      ADO zobowiązany jest zapewnić w szczególności, aby dane osobowe były:

3.1.1.  przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

3.1.2.  zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);

3.1.3.  adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

3.1.4.  prawidłowe i w razie potrzeby uaktualniane („prawidłowość”);

3.1.5.  przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);

3.1.6.  przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

 3.2.      ADO powinien być w stanie wykazać przestrzeganie zasad określonych w pkt. 3.1 powyżej („rozliczalność”).

 3.3.      ADO może realizować swe obowiązki za pośrednictwem upoważnionych osób, w tym zwłaszcza AB, ASI lub NZDO. Wyznaczenie może nastąpić w szczególności poprzez złożenie oświadczenia według wzorów stanowiących załącznik do niniejszej Polityki (zob. zał. nr 3).

 3.4.      W przypadku, gdy niniejsza Polityka przewiduje, iż obowiązki ADO stanowią jednocześnie obowiązki osób wskazanych w pkt. 3.3 - należy to rozumieć jako równoznaczne z udzieleniem przez ADO odpowiedniego upoważnienia danej osobie.

4. Zgodność z prawem

 4.1.      W ramach obowiązku zapewnienia zgodności z prawem przetwarzania danych osobowych, ADO powinien przetwarzać dane osobowe wyłącznie w przypadku, gdy istnieje ku temu podstawa.

 4.2.      Podstawa przetwarzania danych osobowych istnieje jeśli:

4.2.1.  osoba, której dane dotyczą wyraziła Zgodę na przetwarzanie swoich danych osobowych w danym celu lub

4.2.2.  jest to niezbędne do:

a)     wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy lub

b)    ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej lub

c)     wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub

d)    przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

 4.3.      Przetwarzanie danych osobowych wrażliwych, w tym zwłaszcza danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia – jest dopuszczalne wyłącznie na warunkach określonych w powszechnie obowiązujących przepisach (w tym zwłaszcza art. 9 RODO). 

5. Rzetelność, przejrzystość i prawidłowość

 

 5.1.      W ramach obowiązku zapewnienia rzetelności i przejrzystości przetwarzania danych – ADO powinien:

5.1.1.  w przypadku pozyskania danych osobowych od osób, których dane te dotyczą – udzielać owym osobom informacji, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, o:

a)     tożsamości i danych kontaktowych ADO,

b)    celu i podstawie prawnej przetwarzania danych,

c)     okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu,

d)    prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,

e)     prawie wniesienia skargi do organu nadzorczego,

f)     tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

5.1.2.  Gdy ma to zastosowanie, informacja wskazana w punkcie poprzedzającym powinna obejmować informacje:

a)     o prawie do cofnięcia Zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,

b)    jakie prawnie uzasadnione interesy ADO lub strona trzecia realizuje w związku z przetwarzaniem danych,

c)     o odbiorach lub kategoriach odbiorów danych osobowych,

d)    o zautomatyzowanym podejmowaniu decyzji, w tym o Profilowaniu.

e)     informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

5.1.3.  w przypadku pozyskiwania danych osobowych nie od osób, których dane dotyczą – udzielać w rozsądnym terminie, nie później niż w ciągu miesiąca, informacji wskazanych w pkt. 5.1.1 i 5.1.2 powyżej, uzupełnionych dodatkowo o wskazanie:

a)     kategorii odnośnych danych osobowych

b)    źródła pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.

 5.2.      ADO na żądanie osoby, której dane dotyczą:

5.2.1.  dostarcza jej kopię danych podlegających przetwarzaniu wraz z informacją o której mowa w art. 15 RODO.

5.2.2.  dokonuje sprostowania danych nieprawidłowych

5.2.3.  usuwa lub ogranicza przetwarzanie danych osobowych – w przypadku, gdy zgłoszone żądanie jest uzasadnione, w szczególności z uwagi na brak podstawy do dalszego przetwarzania danych przez ADO (np. w związku z cofnięciem Zgody) lub skuteczne wniesienie sprzeciwu. Ograniczenie przetwarzania powinno nastąpić w szczególności na okres niezbędny celem zbadania zasadności żądania usunięcia danych albo gdy osoba której dane dotyczą sprzeciwia się ich usunięciu.

5.2.4.  przekazuje jej dane osobowe, które dostarczyła ADO, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego – pod warunkiem, że przetwarzanie odbywa się w sposób zautomatyzowany, na podstawie Zgody lub celem wykonania zawartej umowy. Stosownie do żądania dane powinny zostać przekazane wnioskodawcy lub innemu administratorowi.

 5.3.      ADO uwzględni sprzeciw, o którym mowa w pkt. 5.1.1 lit. d powyżej w przypadku, gdy jest on uzasadniony szczególną sytuacją osoby której dane dotyczą (art. 21 ust. 1 RODO) lub dotyczy przetwarzania danych osobowych na potrzeby marketing bezpośredniego (art. 21 ust. 2 RODO).

 5.4.      ADO informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

 5.5.      Jeżeli ADO ma obowiązek usunąć dane osobowe, które wcześniej upublicznił, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje („prawo do bycia zapomnianym”).

 5.6.      W przypadku gdy w związku z prowadzoną działalnością ADO wydaje decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym Profilowaniu, ADO wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. ADO zwolniony jest z powyższych obowiązków w przypadkach przewidzianych prawem. W szczególności ADO nie musi podawać powyższych informacji, gdy osoba, której dane dotyczą, już nimi dysponuje. Tym niemniej zaleca się podawanie tych informacji we wszystkich sytuacjach, w których jest to możliwe, w tym zwłaszcza w ramach prowadzenia działalności online, pozyskiwania zgód, zawierania umów, etc. Wzór pisma obejmującego informacje, o których mowa powyżej, stanowi załącznik do niniejszej Polityki (zał. nr 2).


6. Integralność i poufność danych, ocena skutków

 6.1.      W ramach obowiązku zapewnienia integralności i poufności danych osobowych, ADO powinien wdrożyć odpowiednie środki techniczne i organizacyjne, zabezpieczające dane przed zmianą, utratą, uszkodzeniem lub zniszczeniem – przy czym:

6.1.1.  rodzaj owych środków należy określić uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania. W stosownym przypadku zapewnić należy zwłaszcza:

a)     pseudonimizację i szyfrowanie danych osobowych;

b)    zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c)     zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)    regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

6.1.2.  Określenie środków bezpieczeństwa danych powinno zostać dokonane zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania. Środki powinny być poddawane przeglądom i uaktualniane (data protection by design).

6.1.3.  Należy zapewnić, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (data protection by default).

6.1.4.  Zastosowane środki bezpieczeństwa powinny, przy uwzględnieniu czynników wskazanych w pkt. 6.1.1 powyżej, uwzględniać w szczególności zagrożenia wystąpienia:

a)     sytuacji losowych - takich jak klęski żywiołowe (pożary, powodzie), ekstremalne czynniki środowiskowe (np. temperatura, wilgotność powietrza itd.), zamachy terrorystyczne.

b)    czynów zabronionych, podejmowanych przez pracowników lub osoby trzecie (np. kradzież, podsłuch, naruszenie środków bezpieczeństwa systemów informatycznych),

c)     błędów pracowników (np. dopuszczenie do przetwarzania danych osobowych osób nieuprawnionych),

d)    awarie sprzętu - spowodowane w szczególności zastosowaniem niewłaściwych urządzeń, brakiem prawidłowego serwisowania, starzeniem się nośników ponad datę wskazaną przez producenta itd.

e)     awarie oprogramowania - spowodowane w szczególności zastosowaniem oprogramowania niezatwierdzonego, brakiem regularnych aktualizacji lub serwisowania itd.

 6.2.      Ogólny opis środków bezpieczeństwa, stosowanych przez ADO, został zawarty w specyfikacji środków bezpieczeństwa stanowiącej załącznik do niniejszej Polityki (zał. nr 1).

 6.3.      ADO zapewnia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. W tym celu ADO:

6.3.1.  dopuszcza do przetwarzania danych wyłącznie osoby przeszkolonej i posiadającej upoważnienie - udzielone zgodnie ze wzorem stanowiącym załącznik do niniejszej Polityki (zob. zał. nr 4),

6.3.2.  prowadzi ewidencję osób upoważnionych stanowiącą załącznik do niniejszej Polityki (zob. zał. nr 5).

 6.4.      Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych stosownie do postanowień art. 35 i n. RODO.

7.  Administrator Bezpieczeństwa– AB

 7.1.      Obowiązki AB obejmują:

7.1.1.  zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Polityce lub powszechnie obowiązujących przepisach, a także informowanie władz ADO o treści oraz zmianach w zakresie owych obowiązków i wszelkich wykrytych nieprawidłowościach,

7.1.2.  udzielanie i cofanie upoważnień do przetwarzania danych osobowych, a także prowadzenie i aktualizacja ewidencji owych osób, a także ewidencji urządzeń (nośników pamięci) przenośnych,

7.1.3.  zawieranie umów powierzenia danych osobowych – tam, gdzie jest to konieczne,

7.1.4.  zapewnienie złożenia przez pracowników oświadczenia o znajomości przepisów o ochronie danych osobowych oraz zobowiązania do zachowania w tajemnicy danych osobowych oraz informacji na temat zabezpieczania danych osobowych,

7.1.5.  nadzorowanie procesów związanych z przetwarzaniem danych osobowych, realizowanych w obrębie struktury organizacyjnej ADO, w tym:

a)   obiegu oraz przechowywania dokumentów zawierających dane osobowe;

b)   fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w tym dostępu do tych pomieszczeń oraz kontrolę przebywających w nich osób;

c)   sposobu zabezpieczenia urządzeń przenośnych, na których przechowywane są dane osobowe;

d)   sposobu postępowania z nośnikami danych, przeznaczonymi do likwidacji, przekazania podmiotowi nieuprawnionemu do przetwarzania danych lub naprawy;

7.1.6.  nadzorowanie ASI oraz NZDO, a także wszelkich osób mających dostęp do danych osobowych przetwarzanych przez ADO – w zakresie realizacji ich zadań związanych z ochroną danych osobowych,

7.1.7.  organizowanie szkoleń pracowników z zakresu bezpieczeństwa przetwarzania danych osobowych,

7.1.8.  reprezentowanie ADO w kontaktach z Organem Nadzoru, w tym zwłaszcza w związku z prowadzonymi przez Organ Nadzoru kontrolami, postępowaniami administracyjnymi, a także przy konsultacjach oceny skutków planowanego przetwarzania dla ochrony danych osobowych, przy zgłaszaniu przypadków naruszeń ochrony danych osobowych itd.,

7.1.9.  reprezentowanie ADO w kontaktach z osobami, których dane dotyczą – co obejmuje zwłaszcza pełnienie nadzoru nad przesyłaniem stosownych informacji owym osobom oraz udzielanie odpowiedzi na ich żądania związane z przetwarzanymi przez ADO danymi osobowymi. 

7.1.10.   opracowanie, aktualizację i przechowywanie niniejszej Polityki wraz z załącznikami oraz powiązanej z nim dokumentacji, obejmującej zwłaszcza:

a)     niniejsza Polityka wraz z aneksami, wersjami archiwalnymi itd.,

b)    uchwały, zarządzenia, polityki itd. dotyczące ochrony danych osobowych,

c)     protokoły z przeprowadzonych kontroli wewnętrznych i zewnętrznych w zakresie ochrony danych osobowych,

d)    raporty odnoszące się do stwierdzonych przypadków naruszeń ochrony danych osobowych,

e)     oceny skutków przetwarzania dla ochrony danych osobowych,

f)     plany archiwizacji danych osobowych i programów służących do ich przetwarzania,

g)    umowy zawierane z podmiotami przetwarzającymi w przedmiocie powierzenia danych.

 7.2.      Podczas realizacji swych zadań, AB ma prawo do:

7.2.1.  uzyskiwania wszelkich informacji dotyczących przetwarzanych danych osobowych od wszystkich komórek organizacyjnych,

7.2.2.  kontrolowania komórek organizacyjnych pod kątem właściwego zabezpieczenia pomieszczeń oraz systemów informatycznych, w których przetwarzane są dane,

7.2.3.  proponowania ADO rozwiązań dotyczących ochrony danych osobowych,

7.2.4.  wydawania poleceń kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych,

7.2.5.  żądania od wszystkich pracowników udzielenia wyjaśnień i pomocy w sytuacjach naruszenia bezpieczeństwa danych osobowych lub w związku z nieprawidłowościami lub zagrożeniami związanymi z ochroną danych osobowych.

7.2.6.  wnioskowania o ukaranie osób winnych naruszenia przepisów i zasad dotyczących ochrony danych osobowych.

8.  Administrator Systemu Informatycznego – ASI

 8.1.   ADO celem zapewnienia AB pomocy w zakresie zabezpieczenia danych osobowych za pomocą środków informatycznych – może wyznaczyć Administratora Systemów Informatycznych (ASI).

 8.2.   Obowiązki ASI obejmują w szczególności:

8.2.1.  zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Polityce lub powszechnie obowiązujących przepisach, w szczególności w zakresie informatycznych środków zabezpieczenia danych osobowych – i współdziałanie w tym celu z AB,

8.2.2.  zapewnienie prawidłowego, ciągłego działania systemów, za pośrednictwem których przetwarzane są dane osobowe, a także zgodności przedmiotowych systemów z niniejszą Polityką oraz obowiązującymi standardami w zakresie bezpieczeństwa informacji,

8.2.3.  zapewnienie takiej konfiguracji systemów, która będzie optymalna z punktu widzenia umożliwienia ADO wykonywania obowiązków wynikających z niniejszej Polityki oraz przepisów o ochronie danych osobowych,

8.2.4.  zabezpieczenie systemów przed:

a)     działaniem złośliwego oprogramowania, w tym zwłaszcza oprogramowania mającego na celu bezprawne uzyskanie dostępu do danych osobowych przez osoby trzecie;

b)    wszelkimi zagrożeniami pochodzącymi z sieci publicznej;

8.2.5.  nadzorowanie:

a)     wykonywania kopii zapasowych, odpowiedniego ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych osobowych w przypadku awarii systemu;

b)    napraw, konserwacji oraz likwidacji nośników danych osobowych ( w tym: urządzeń zawierających takie nośniki, jak np. komputery, telefony itd.);

c)     stosowania zasady czystego ekranu, polegającej w szczególności na blokowaniu dostępu do urządzeń, za pomocą których możliwe jest uzyskanie dostępu do danych osobowych, na czas nieobecności użytkownika;

8.2.6.  zapewnienie:

a)     ochrony fizycznej serwerowni, a także nośników zawierających kopie zbiorów danych osobowych;

b)    awaryjnego źródła zasilania oraz zabezpieczenia przed zakłóceniami w sieci zasilającej systemów informatycznych służących do przetwarzania danych osobowych;

8.2.7.      realizację wytycznych AB w zakresie ochrony danych osobowych przetwarzanych z wykorzystaniem środków informatycznych,

8.2.8.      informowanie AB o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych,

8.2.9.      szkolenia użytkowników systemu w zakresie procedur i instrukcji zapewniających ochronę danych osobowych,

8.2.10.   wyjaśnianie – wspólnie z AB – wszystkich zgłoszonych nieprawidłowości i incydentów,

8.2.11.   zgłaszanie AB wykrytych przypadków naruszeń ochrony danych osobowych.

 8.3.   W przypadku braku wyznaczenia ASI, obowiązki ASI wykonuje AB.

9. Nadzorcy zasobów danych osobowych – NZDO

 9.1.   ADO w obrębie każdej komórki organizacyjnej, w której dochodzi do przetwarzania danych osobowych, może wyznaczyć Nadzorców zasobów danych osobowych (NZDO). Nadzorcą zasadniczo powinien być kierownik danej komórki.

 9.2.   Do obowiązków Nadzorców zasobów danych osobowych należy:

9.2.1.  zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Polityce lub powszechnie obowiązujących przepisach w podległej komórce organizacyjnej – i współdziałanie w tym celu z AB,

9.2.2.  wnioskowanie do ADO o nadanie upoważnień do przetwarzania danych osobowych dla pracowników podległej komórki organizacyjnej, a także niedopuszczanie do czynności związanych z przetwarzaniem osób nie posiadających odpowiedniego upoważnienia,

9.2.3.  w przypadku utworzenia nowego zbioru danych osobowych ustalenie, kogo dotyczą dane osobowe, jaki jest ich zakres (np. imię i nazwisko, adres zamieszkania, NIP, PESEL itp.), cel przetwarzania oraz komu dane osobowe mają być udostępniane. Wszystkie te informacje powinny zostać przekazane do AB oraz ASI,

9.2.4.  zgłaszanie AB urządzeń (nośników pamięci) przenośnych, wykorzystywanych w danej jednostce organizacyjnej,

9.2.5.  zgłaszanie AB wykrytych przypadków naruszeń ochrony danych osobowych.

 

 10. Powierzanie przetwarzania danych osobowych

 

 10.1.     ADO może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu, jak również przyjmować dane osobowe administrowane przez osoby trzecie w powierzenie jako podmiot przetwarzający - w drodze umowy zawartej na piśmie. Podmiot przetwarzający powinien posiadać odpowiednią wiedzę fachową, wiarygodność i zasoby zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi powszechnie obowiązujących przepisów i chroniło prawa osób, których dane dotyczą.

 10.2.    Umowa powierzenia powinna określać co najmniej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora – a także zawierać inne postanowienia wymagane w świetle powszechnie obowiązujących przepisów (w tym zwłaszcza art. 28 ust. 3 RODO).

 10.3.    Przekazanie danych osobowych do państwa trzeciego (nie należącego do Europejskiego Obszaru Gospodarczego) lub organizacji międzynarodowej dopuszczalne jest wyłącznie na zasadach wynikających z powszechnie obowiązujących przepisów.

 10.4.    Wzór umowy o powierzenia przetwarzania danych osobowych, który ADO powinien w miarę możliwości stosować w relacjach z podmiotami przetwarzającymi, stanowi załącznik do niniejszej Polityki(zob. zał. nr 6).

 10.5.    Ewidencja umów powierzenia, zawartych przez ADO (zarówno jako administratora, jak i podmiot przetwarzający), stanowi załącznik do niniejszej Polityki(zob. zał. nr 7).

 

 11. Przetwarzanie danych osobowych; Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe; urządzenia przenośne

 

 11.1.    Przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego oraz kartotek odbywa się wyłącznie na obszarze wyznaczonym przez ADO.

 11.2.    Wykaz budynków, pomieszczeń lub części pomieszczeń, w których odbywa się przetwarzanie danych osobowych, stanowi załącznik do niniejszej Polityki(zob. zał. nr 8) - i powinien być na bieżąco aktualizowany przez AB.

 11.3.    Opis zbiorów danych osobowych, przetwarzanych przez ADO, zawarty jest w Rejestrze stanowiącym załącznik do niniejszej Polityki(zob. zał. nr 9).

 11.4.    Przetwarzanie danych osobowych za pomocą urządzeń przenośnych może odbywać się poza obszarem przetwarzania danych wyłącznie za zgodą AB. AB prowadzi ewidencję takich przenośnych urządzeń (zał.  nr 10).

 11.5.    Osoba użytkująca urządzenie przenośne, zawierające dane osobowe, zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w pkt. 11.1 wobec przetwarzanych danych osobowych. W razie utraty, uszkodzenia lub zniszczenia urządzenia - użytkownik niezwłocznie poinformuje o tym AB.

 

 12. Szkolenia 

 

 12.1.    Każdy nowo zatrudniony pracownik (bez względu na podstawę zatrudnienia) – przed dopuszczeniem do przetwarzania danych osobowych – podlega przeszkoleniu w zakresie przepisów o ochronie danych osobowych oraz wynikających z nich zadań oraz obowiązków (w tym zwłaszcza w zakresie treści niniejszej Polityki i wskazanej w niej dokumentacji). Dotyczy to także współpracowników, stażystów itd.

 12.2.    Wszyscy użytkownicy podlegają okresowym szkoleniom, stosownie do potrzeb wynikających ze zmian w systemie informatycznym (wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmian wewnętrznych regulacji.

 12.3.    Szkolenia organizuje AB lub ASI.

 12.4.    Uczestnictwo i zakres szkolenia powinny być każdorazowo odpowiednio udokumentowane.

 

 13. Postępowanie na wypadek stwierdzenia naruszenia ochrony danych osobowych

 

 13.1.    Każda osoba, mająca dostęp do danych osobowych ADO, zobligowana jest informować AB o wszelkich przypadkach naruszenia ochrony danych osobowych, jak też zdarzeniach mogących świadczyć o zwiększonym zagrożeniu takiego naruszenia – jak zwłaszcza:

13.1.1.   stwierdzenie naruszenia zabezpieczeń danych, w szczególności polegającego na przełamaniu zabezpieczeń fizycznych (np. poprzez zauważenie śladów włamania, przemieszczenia sprzętu, śladów korzystania ze sprzętu przez osoby nieuprawnione itd.) lub informatycznych (np. poprzez zauważenie: (i) braku dostępu do danych pomimo dysponowania stosownymi uprawnieniami; (ii) spowolnienia, niedziałania lub nieprawidłowego działania oprogramowania; (iii) obecności wirusa komputerowego lub innego złośliwego oprogramowania), ujawnieniu haseł dostępowych, otrzymaniu zgłoszenia osoby trzeciej itd.,

13.1.2.   wykrycie naruszenia obowiązków związanych z ochroną danych osobowych, wynikających z powszechnie obowiązujących przepisów lub niniejszej Polityki z załącznikami – przez daną osobę lub osoby trzecie,

13.1.3.   wykrycie zmiany stanu stanowiska pracy w porównaniu ze stanem pozostawionym,

13.1.4.   wykrycie, iż dostęp do danych osobowych uzyskała osoba nieuprawniona.

 13.2.    AB niezwłocznie, przekaże informację o stwierdzonych naruszeniach do wiadomości odpowiednich władz ADO, w terminie wystarczającym do wykonania przez ADO obowiązków wskazanych w pkt. 13.3 i 13.4.

 13.3.    ADO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza je Organowi Nadzorczemu - chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie powinno co najmniej:

13.3.1.   opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

13.3.2.   zawierać imię i nazwisko oraz dane kontaktowe AB;

13.3.3.   opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

13.3.4.   opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków (np. zmiana haseł, odzyskanie danych osobowych przy wykorzystaniu kopii zapasowej, zastosowanie dodatkowych środków bezpieczeństwa fizycznego, teleinformatycznego lub organizacyjnego itd.).

 13.4.    ADO bez zbędnej zwłoki zawiadamia o naruszeniu osobę, której dane dotyczą - jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności owej osoby. Zawiadomienie powinno zostać sformułowane jasnym i prostym językiem, opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki o których mowa w pkt. 13.3.2-4 powyżej.

 13.5.    Zawiadomienie, o którym mowa w pkt. 13.4, nie jest wymagane w następujących przypadkach:

13.5.1.   ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

13.5.2.   ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 13.4;

13.5.3.   wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

 13.6.    Zgłoszenia naruszeń ochrony danych osobowych Organowi Nadzoru, jak również zawiadomienia osób których dane dotyczą - powinny być dokonywane przez AB, po odbyciu konsultacji z władzami ADO.

 13.7.    W razie stwierdzenia naruszenia ochrony danych osobowych, niezależnie od jego zakresu, wagi itd. - AB przeprowadzi postępowanie wyjaśniające, zakończone sporządzeniem stosownego raportu, który należy przekazać do wiadomości władz ADO. Raport ten powinien obejmować co najmniej:

13.7.1.   datę i godzinę naruszenia, a także uzyskania przez ADO informacji o naruszeniu,

13.7.2.   wskazanie, czy naruszenie zostało zgłoszone Organowi Nadzoru lub osobom których dane dotyczą,

13.7.3.   kwestie, o których mowa w pkt. 13.3 powyżej – w postaci możliwie rozbudowanej i uwzględniającej wszelkie ustalenia dokonane po ewentualnym zgłoszeniu naruszenia

13.7.4.   propozycję ew. dalszych działań, mających na celu eliminację podobnych naruszeń w przyszłości.

 13.8.    Raport, o którym mowa powyżej, powinien mieć formę pozwalającą Organowi Nadzoru dokonać weryfikacji, że ADO wywiązał się z obowiązków wynikających z powszechnie obowiązujących przepisów.

 

 14. Postępowanie na wypadek klęski żywiołowej

 

 14.1.    Klęską żywiołową jest katastrofa, spowodowana działaniem sił przyrody takich jak ogień, huragan, woda lub ich przejawami.

 14.2.    W przypadku klęski żywiołowej, należy niezwłocznie poinformować AB, a w razie jego nieobecności przełożonego lub władze ADO. W czasie trwania akcji ratunkowej i po jej zakończeniu Administrator Bezpieczeństwa oraz obecni użytkownicy powinni, w miarę możliwości, zabezpieczać dane  osobowe przed nieuprawnionym do nich dostępem.

 14.3.    Po zakończeniu akcji ratunkowej AB sporządzi odpowiedni raport. Postanowienia pkt. 13.7 stosuje się odpowiednio.

 

 15. Postanowienia końcowe

 

 15.1.    W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy RODO, a także inne powszechnie obowiązujące przepisy.

 15.2.    Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.

 15.3.    Załącznikami do niniejszej Polityki są następujące dokumenty:

15.3.1.      specyfikacja środków bezpieczeństwa (zał. nr 1),

15.3.2.      wzór informacji dla osoby, której dane dotyczą (zał. nr 2),

15.3.3.      wzory wyznaczenia AB, ASI i NZDO (zał. nr 3),

15.3.4.       wzór upoważnienia do przetwarzania danych osobowych (zał. nr 4),

15.3.5.      wzór ewidencji osób upoważnionych do przetwarzania danych osobowych (zał. nr 5),

15.3.6.      wzór umowy powierzenia danych osobowych (zał. nr 6),

15.3.7.      wzór ewidencji umów powierzenia danych osobowych, zawieranych przez ADO (zał. nr 7),

15.3.8.      wykaz budynków, pomieszczeń lub części pomieszczeń, w których odbywa się przetwarzanie danych osobowych (zał. nr 8),

15.3.9.      rejestr czynności przetwarzania danych osobowych (zał. nr 9),

15.3.10.    ewidencja urządzeń przenośnych (zał. nr 10).

 15.4.    Polityka może być zmieniana przez ADO - o czym należy niezwłocznie poinformować wszystkich zainteresowanych.



© 2018 Landster Business Development Center. Wszelkie prawa zastrzeżone.