POLITYKA PRYWATNOŚCI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

  1. POSTANOWIENIA WSTĘPNE
  1. Administratorem Danych Osobowych (ADO) jest MERITUM K. Piechówka Sp.J.
  2. ADO opracowuje i zatwierdza politykę bezpieczeństwa danych osobowych na podstawie przepisów prawnych dotyczących ochrony danych osobowych, przede wszystkim:
  1. a) ustawy z dnia 10 maja 2018r. o ochronie danych osobowych
  2. b) rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. (Dz. U 2004 Nr. 100, poz. 1024);
  3. c) Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwane RODO).
  1. Celem polityki bezpieczeństwa danych osobowych jest wskazanie działań jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczać dane osobowe, a zatem organizacyjne, fizyczne i logiczne zabezpieczenie posiadanych danych osobowych oraz stałe edukowanie użytkowników systemu ochrony danych osobowych. Polityka bezpieczeństwa danych osobowych określa zadania związane z zachowaniem poufności, integralności oraz rozliczalności danych osobowych, oceny ryzyka oraz zabezpieczenia systemów informatycznych.
  2. Zasady i procedury określone w niniejszym dokumencie stosuje się zarówno do danych osobowych przetwarzanych w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i przetwarzanych w systemach informatycznych.
  3. Zasady i procedury określone w niniejszym dokumencie stosuje się do wszystkich osób przetwarzających dane osobowe w ramach działalności ADO i podmiotów współpracujących.
  4. Polityka bezpieczeństwa danych osobowych powinna być poddawana bieżącej aktualizacji, nie rzadziej jednak niż raz do roku.

 

  1. PODSTAWOWE DEFINICJE:

Ilekroć w polityce bezpieczeństwa danych osobowych jest mowa o:

  1. Administratorze danych – rozumie się przez to ADO (zgodnie ze wskazaniem w I.1)
  2. Inspektorze ochrony danych osobowych (IOD) / pełnomocniku bezpieczeństwa informacji – osoba wyznaczona i powołana przez ADO do nadzorowania przestrzegania zasad ochrony danych osobowych;
  3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej oraz osób fizycznych prowadzących działalność gospodarczą. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden albo kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
  4. Dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
  5. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  6. Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  7. Nośnik danych – wszelkie nośniki, na których informacje zapisane są w postaci papierowej oraz elektronicznej, w szczególności dyski, dyskietki, nośniki pamięci i karty magnetyczne;
  8. Odbiorca danych – każdy podmiot, któremu udostępnia się dane osobowe, z wyłączeniem osoby, której te dane dotyczą, osoby upoważnionej do przetwarzania danych, organów państwowych i samorządowych, którym powierzono uprawnienia do zaznajamiania się i gromadzenia danych osobowych na cele prowadzonego postępowania.
  9. Personel – osoby zatrudnione na podstawie stosunku pracy, umów cywilnoprawnych, przedsiębiorcy, kontrahenci, osoby odbywające praktyki i staże.
  10. Poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieuprawnionym podmiotom.
  11. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, m. in. takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, w szczególności w systemach informatycznych.
  12. Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
  13. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programów zastosowanych w celu przetwarzania danych.
  14. Zbiór danych osobowych – każdy posiadający strukturę zestaw  danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony.
    15. Administrator systemów informatycznych (ASI) – osoba odpowiedzialna za systemy informatyczne służące do przetwarzania danych osobowych.
    16. Ustawie – rozumie się przez to ustawę z dnia …..
  15. Uwierzytelnieniu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

 

III. Realizacja zasad RODO

 

  • 1. Realizacja zasad ochrony danych osobowych

 

  1. a) Zasada legalności przetwarzania. ADO zapewnia, że dane osobowe są przetwarzane wyłącznie po spełnieniu jednego z warunków dopuszczalności przetwarzania określonych w art.. 6 ust. 1 RODO, a w przypadku szczególnych kategorii danych (tzw. danych wrażliwych) art.. 9 i art. 10 RODO.
  2. b) Zasada rzetelności przetwarzania. Przetwarzanie rzetelne należy rozumieć jako przetwarzanie uczciwie w stosunku do osoby, których dane dotyczą. Podejmując dowolne czynności przetwarzania ADO i personel kieruje się prawami i interesami podmiotów danych. ADO i jego personel bierze pod uwagę, że przetwarzanie może być dokuczliwe dla podmiotu danych i spróbować zminimalizować te uciążliwości.
  3. c) Zasada przejrzystości przetwarzania. Należy zapewnić przejrzystą informację podmiotom danych o dotyczącym ich przetwarzaniu. Powinny być stworzone ścieżki komunikacji umożliwiające zainteresowanym skorzystanie z przyznanych im praw.
  4. d) Zasada ograniczoności celu. Dane wolno zbierać jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie wolno ich przetwarzać po zebraniu w sposób niezgodny z tymi celami. Do celu należy dostosować nie tylko ilość zbieranych danych, ale też zakres ich przetwarzania oraz okres przez który są przechowywane.
  5. e) Minimalizacja danych. Dane powinny być adekwatne do celu, czyli ograniczone do niezbędnego minimum. Metodą urzeczywistnienia tej zasady może być m.in. pseudonimizacja. Gdy cel przetwarzania tego nie wymaga to w ogóle nie należy dokonywać identyfikacji osobowej.
  6. f) Prawidłowość danych. Dane powinny być prawdziwe (zgodne z prawdą) i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
  7. g) Ograniczenie przechowywania. Dane wolno przechowywać w formie umożliwiającej identyfikację osoby, której one dotyczą, jedynie przez okres niezbędny dla realizacji celów, w których dane te są przetwarzane.

 

  • 2. Realizacja obowiązków informacyjnych i zapewnienie przejrzystej komunikacji

 

  1. Informacje przekazywane podmiotom danych należy formułować w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
  2. Należy uprawdopodobnić, że informacje są przekazywane osobie, której dane dotyczą. W razie wątpliwości należy zażądać dodatkowych informacji w celu zweryfikowania tożsamości, osoby, która się kontaktuje w celu uzyskania informacji.
  3. Przekazując informacje podmiotowi danych należy zadbać o to by informacja ta obejmowała wyłącznie dane go dotyczące. Należy dołożyć starań, by informacja przekazywana jednej osobie nie zdradzała informacji o innych.
  4. Zbierając informacje bezpośrednio od osoby, której dotyczą należy jednocześnie przekazać tej osobie informacje wskazane w art. 13 ust. 1 i 2 RODO. Obowiązek ten należy zrealizować w trakcie pozyskiwania informacji.  
  5. Gdy dane są zbierane z innego źródła niż od osoby, której dotyczą to należy spełnić obowiązek informacyjny w zakresie art.. 14 ust. 1 i 2 RODO. Należy to zrobić  
    w rozsądnym terminie (do miesiąca) od zebrania informacji, nie później jednak niż przy pierwszej komunikacji z podmiotem danych lub pierwszym udostępnieniem danych.
  6. Stosowną informację w zakresie art.. 13 ust. 1 i 2 lub art.. 14 ust. 1 i 2 RODO należy podmiotowi danych przekazać także w przypadku zmiany celu przetwarzania dokonanym po zebraniu danych, chyba, że został już o tym uprzedzony.
  7. Należy zapewnić ścieżki komunikacji umożliwiające osobom, których dane dotyczą kontakt w celu realizacji przyznanych im praw.

 

  • 3. Realizacja żądań osób, których dane dotyczą

 

  1. Jeżeli zainteresowany skorzysta z prawa dostępu do danych (zażąda informacji na temat dotyczącego go przetwarzania) to udziela się mu jej zgodnie z art. 12 ust. 1 i 2 RODO. Jeśli podmiot danych tego zażąda, a jest to możliwe, przekazuje się mu także kopię dotyczących go danych. Informacji na żądanie udziela się zasadniczo
    w terminie miesiąc, chyba, że sprawa jest skomplikowana. Wtedy przedłużenie terminu następuje zgodni z art. 12 ust. 3 RODO.
  2. Jeżeli zainteresowany skorzysta z prawa do sprostowania to na jego żądanie dokonuje się sprostowania nieprawidłowych danych. Prawo to obejmuje też uzupełnienie niekompletnych danych, przy czym kompletność ocenia się z uwzględnieniem celów przetwarzania. O ile to możliwe to o dokonanym sprostowaniu informuje się odbiorców, którym dane zostały przekazane.
  3. Jeżeli zainteresowany skorzysta z prawa do usunięcia danych (bycia zapomnianym) to na jego żądanie usuwa się dotyczące go dane, chyba że spełnione są wymogi ich dalszego przetwarzania z art. 17 ust. 3 RODO. O  ile to możliwe to o dokonanym usunięciu informuje się odbiorców, którym dane zostały przekazane. Gdy dane zostały upublicznione należy podjąć starania w celu usunięcia wszelkich łączy do tych danych, ich kopii lub replikacji stworzonych przez innych administratorów.  
  4. Jeżeli zainteresowany skorzysta z prawa do ograniczenia przetwarzania to na jego żądanie należy ograniczyć przetwarzanie do wskazanych czynności, chyba, że zachodzą przesłanki ich dalszego przetwarzania, w szczególności te wymienione
    w art. 18 ust. 2 RODO.  O ile to możliwe to o dokonanym ograniczeniu informuje się odbiorców, którym dane zostały przekazane.
  5. Jeżeli zainteresowany skorzysta z prawa do przeniesienia danych to dostarcza mu się dotyczących go danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Prawo to przysługuje, gdy dane mają postać zapisu elektronicznego i są przetwarzane na podstawie warunku zgody lub realizacji umowy. Na żądanie zainteresowanego dane dostarcza się bezpośrednio wskazanemu przez niego podmiotowi.     
  6. Jeżeli zainteresowany skorzysta z prawa sprzeciwu wobec przetwarzania jego danych osobowych, w tym profilowania, powołując się na swoją szczególną sytuację, to należy zaprzestać  dalszego przetwarzania dotyczących go danych, chyba, że spełnione są przesłanki dalszego przetwarzania określone w art. 21 ust. 1 RODO.
  7. Jeżeli zainteresowany skorzysta z prawa sprzeciwu wobec przetwarzania jego danych w celach marketingowych, w tym profilowania, to nie można nie uwzględnić sprzeciwu.

 

  • 4. Zgoda na przetwarzanie danych osobowych

 

  1. Jeżeli zgodnie z art. 6 ust. 1 lub 9 ust. 1 RODO podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą to przyzwolenie na przetwarzanie danych powinno być dobrowolne, konkretne, świadome i jednoznaczne. Musi spełniać też wymogi rozliczalności i transparentności.
  2. Zapewnia się prawo do wycofania zgody.
  3. W przypadku usług społeczeństwa informacyjnego oferowanych dziecku podejmuje się wszelkie niezbędne działania by uzyskać aprobatę opiekuna.

 

 

  • ZBIORY DANYCH OSOBOWYCH W ADO

 

ADO tworzy lub przetwarza następujące zbiorów danych:

  1. a) „Pracownicy ADO”;
  2. b) „Kandydaci do pracy w ADO”;
  3. c) „Klienci”
  4. d) „Rejestr korespondencji”
  5. e) „Monitoring”

Szczegółowy opis poszczególnych zbiorów danych stanowią załącznik do niniejszej Polityki – „Opis obszaru przetwarzania danych”.

 

 

  • ORGANY OCHRONY BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

  1. Do obowiązków ADO należy w szczególności:
  2. a) Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych osobowych przed:

- udostępnieniem osobom nieupoważnionym,

- zabraniem przez osobę nieuprawnioną,

- zmianą, utratą, uszkodzeniem lub zniszczeniem.

  1. b) Zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:

- została pozyskana zgoda osoby, której dane dotyczą lub została spełniona inna przesłanka dopuszczająca przetwarzanie danych osobowych;

- został spełniony obowiązek informacyjny względem osoby, której dane dotyczą;
- dane były przetwarzane zgodnie z obowiązującymi przepisami prawa;

-  dane były zbierane w oznaczonym i zgodnym z prawem celu;

  1. Do wyłącznych kompetencji ADO należy zatwierdzenie i wprowadzanie zmian do dokumentacji opisującej przetwarzanie danych osobowych, w szczególności:
  2. a) „Polityki bezpieczeństwa danych osobowych”;
  3. b) „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”.
  4. c) „Opis obszaru przetwarzania danych osobowych”
  1. „Rejestr czynności przetwarzania”
  1. e) „Ewidencja osób upoważnionych do przetwarzania”
  2. f) „Ewidencja użytkowników systemów informatycznych”
  3. g) „Ewidencja udostępnień danych osobowych”
  4. h) „Ewidencja komputerów przenośnych  urządzeń przenośnych”
  5. i) „Harmonogram audytów planowych”
  6. j) „Ewidencja audytów planowych oraz audytów doraźnych”
  7. k) „Ewidencja umów o współadministrowaniu danymi”
  8. Do wyłącznych kompetencji ADO należy wyznaczenie IOD nadzorującego przestrzeganie zasad ochrony danych osobowych.

Wyznaczenie IOD nie zwalnia ADO z odpowiedzialności za zapewnienie prawidłowego zabezpieczenia danych osobowych.

  1. IOD zobowiązany jest do współpracy z ADO w zakresie wydawania upoważnień do przetwarzania danych osobowych, szkoleń dla personelu z tego zakresu, aktualizacji polityki bezpieczeństwa, nadzorowania i dbania o zgodne z prawem funkcjonowanie systemu obrotu danych osobowych w ADO.

Gdy odstąpiono od wyboru IOD, jego obowiązki pełni ADO.

  1. Do obowiązków IOD należy dbanie o bezpieczeństwo przetwarzania danych osobowych, a w szczególności:
  2. a) sporządzanie i wprowadzanie w życie zasad bezpiecznego przetwarzania danych osobowych, w szczególności w systemach informatycznych;
  3. b) dbanie o bieżącą aktualizację „Polityki bezpieczeństwa” oraz nadzorowanie przestrzegania określonych w niej zasad;
  4. c) opracowywanie, wspólnie z ASI, „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych” i czuwanie nad jej przestrzeganiem.;
  5. d) prowadzenie i aktualizacja ewidencji osób upoważnionych do przetwarzania danych osobowych;
  6. e) zarządzanie upoważnieniami do przetwarzania danych osobowych;
  7. f) nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe oraz opracowywanie projektów ocen ryzyka;
  8. g) nadzorowanie ASI w zakresie bezpieczeństwa systemu informatycznego, wykonywania kopii bezpieczeństwa, polityki antywirusowej, zasad uwierzytelniania dostępu personelu do systemu bazy danych, ze szczególnym uwzględnieniem procedur nadawania, zmiany oraz utraty tych uprawnień;
  9. h) nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których mogą być przetwarzane dane osobowe, w tym nadzorowanie zasad dostępu do tych pomieszczeń;
  10. i) nadzorowanie szkoleń personelu z zakresu bezpieczeństwa przetwarzania danych osobowych;
  11. j) prowadzenie wykazu pomieszczeń, w którym gromadzone lub przetwarzane są dane osobowe;
  12. k) nadzorowanie bieżących procesów przetwarzania danych osobowych, w tym analiza sytuacji oraz przyczyn, które doprowadziły do naruszenia zasad bezpieczeństwa;
  13. l) opracowanie wykazu struktury zbiorów danych osobowych

ł) przygotowanie i zatwierdzenie dokumentów lub klauzul w dokumentach dotyczących ochrony danych osobowych

  1. m) prowadzenie szkoleń w zakresie zasad przetwarzania danych osobowych
  2. n) przeprowadzenie audytów planowych i doraźnych;
  3. IOD ma prawo do:
  4. a) uzyskiwania wszelkich informacji dotyczących przetwarzania danych osobowych od wszelkich komórek organizacyjnych,
  5. b) wglądu do wszystkich zbiorów danych osobowych,
  6. c) kontrolowania komórek organizacyjnych pod kątem właściwego zabezpieczenia pomieszczeń oraz systemów informatycznych
  7. d) proponowania ADO rozwiązań problemów i zmian w polityce bezpieczeństwa;
  8. e) wydawania orzeczeń dotyczących właściwego zbierania i przekazywania danych osobowych;
  9. f) wydawania poleceń kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych;
  10. g) wydawania w imieniu ADO upoważnień do dostępu, gromadzenia oraz przetwarzania danych osobowych, które są przechowywane i przetwarzane przez ADO;
  11. h) żądania od personelu udzielania wyjaśnień w sytuacjach podejrzenia naruszenia bezpieczeństwa danych osobowych lub w związku z nieprawidłowościami lub zagrożeniami związanymi w ochroną danych osobowych.  

 

 

  • ŚRODKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

  1. Personel ADO oraz wszystkie inne osoby mające dostęp do tych danych zobowiązane są do bezwzględnego przestrzegania postanowień „Polityki bezpieczeństwa”.
  2. Każdy członek personelu, który ma dostęp do danych osobowych oraz gromadzi i przetwarza te dane w ramach swoich obowiązków służbowych, musi posiadać imienne, pisemne upoważnienie do wykonywania tych czynności oraz zobowiązać się do podpisania oświadczenia o zachowaniu poufności tych danych. Wzory tych dokumentów stanowią w załączeniu. Do wydawania upoważnień uprawnionym organem jest ADO lub działający z jego upoważnienia IOD.
  3. W wypadku konieczności dostępu do obszaru, w którym są gromadzone i przetwarzane dane osobowe przez podmioty zewnętrzne, podmioty te są zobowiązane przed przystąpieniem do czynności podpisać oświadczenie o zachowaniu poufności informacji uzyskanych w trakcie wykonywania czynności, a także o sposobie zabezpieczeń dostępu do tych danych.
  4. Każdy członek personelu, który gromadzi dane osobowe na podstawie formularza, ma obowiązek sprawdzić, czy znajduje się na nim stosowne pouczenie, przedstawić cel przetwarzania danych osobowych oraz uzyskać pisemną zgodę osoby, której dane dotyczą.
  5. Od kandydatów do pracy i pracowników można zbierać jedynie dane osobowe wymienione w art. 221  Kodeksu Pracy, chyba że osoba, której dane dotyczą, wyraziła pisemną zgodę na gromadzenie i przetwarzanie innych danych. Zapis ten stosuje się odpowiednio do podmiotów, które łączy z ADO umowa cywilnoprawna.
  6. Członek personelu, który posiadając ku temu odpowiednie uprawnienia, zleca podmiotowi zewnętrznemu wykonanie czynności powiązanej z gromadzeniem lub przetwarzaniem danych osobowych, zobowiązany jest zawrzeć w treści umowy odpowiednie zapisy dotyczące bezpieczeństwa ochrony danych osobowych.
  7. Osoby nieupoważnione mogą przebywać w pomieszczeniach wyłącznie w obecności i pod nadzorem osoby upoważnionej.
  8. Przed udostępnieniem danych osobowych ze zbiorów ADO podmiotowi zewnętrznemu, członek personelu zobowiązany jest sprawdzić czy zostały spełnione wszystkie kryteria formalne do udostępnienia tych danych, a w razie powzięcia wątpliwości zobowiązany jest zwrócić się z wnioskiem do IOD lub ADO o rozstrzygnięcie.
  9. Pomieszczenia, w których przetrzymywane są dane osobowe zabezpieczone są drzwiami zamykanymi na klucz.
  10. Dane osobowe gromadzone w postaci papierowej upoważnieni członkowie personelu przechowują w obszarze przetwarzania danych osobowych w szafkach lub szufladach zamykanych na klucz, do którego dostęp mają tylko osoby upoważnione.
  11. Szczegóły dotyczące upoważnień do posiadania kluczy zarówno do pomieszczeń, jak i do poszczególnych szaf stanowią element Opisu obszaru przetwarzania.
  12. Po ustaniu przydatności dokumentacja papierowa zawierająca dane osobowe jest niszczona mechanicznie z użyciem niszczarki dokumentów.
  13. Członek personelu, którego obowiązki służbowe łączą się z korzystaniem z systemu informatycznego zobowiązany jest do bezwzględnego przestrzegania „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”, a w sytuacjach niejasnych do konsultacji z IOD w tym zakresie.
  14. Personel zobowiązany jest do dokładania najwyższej staranności w zakresie ochrony danych osobowych, a zwłaszcza do:
  15. a) zachowania danych osobowych i sposobu ich zabezpieczenia w tajemnicy, w tym także wobec osób najbliższych;
  16. b) ustawiania ekranów komputerowych tak, by osoby nieuprawnione nie widziały treści wyświetlanych na ekranie;
  17. c) niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności osoby upoważnionej do przetwarzania danych osobowych;
  18. d) niepozostawiania bez kontroli włączonych urządzeń zawierających dane osobowe oraz niezabezpieczonych dokumentów (czasowe opuszczania stanowiska pracy jest dopuszczalne dopiero po aktywizowaniu wygaszacza ekranu lub po zablokowaniu urządzenia w inny sposób);
  19. e) niszczenia niepotrzebnych wydruków i kopii dokumentów po ich wykorzystaniu oraz kasowania po wykorzystaniu danych z dysków przenośnych;
  20. f) przekazywania danych osobowych pocztą elektroniczną tylko w postaci zaszyfrowanej;

 

  • VII. Identyfikacja zagrożeń bezpieczeństwa danych osobowych

 

Identyfikuje się następujące zagrożenia bezpieczeństwa danych osobowych przetwarzanych w ADO:

  1. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. pożar, zalanie pomieszczeń, katastrofa budowlana, niepożądana ingerencja ekipy remontowej, włamanie do budynku;
  1. niewłaściwe parametry środowiska, zakłócające pracę urządzeń komputerowych (nadmierna wilgotność lub bardzo wysoka temperatura, oddziaływanie pola elektromagnetycznego i inne);
  2. awarie sprzętu lub oprogramowania, zarówno losowe, jak i spowodowane przez niewłaściwe działanie użytkowników i serwisantów,
  3. zastosowanie niewłaściwych metod zabezpieczenia systemu informatycznego lub brak dostosowania poziomu zabezpieczeń do aktualnego poziomu wyzwań technologicznych;
  4. działania przestępcze mające na celu przejęcie lub zniszczenie danych osobowych (np. ataki internetowe);
  5. podejmowanie pracy w systemie z przełamaniem lub zaniechaniem stosowania procedur ochrony danych, np. praca osoby, która nie jest upoważniona do przetwarzania, pozostawienie serwisantów bez nadzoru, a także przyzwolenie na naprawę sprzętu zawierającego dane poza siedzibą administratora danych;
  6. naruszenia zasad i procedur określonych w dokumentacji ochrony danych osobowych przez osoby upoważnione do przetwarzania danych osobowych, będące skutkiem nieprzestrzegania procedur ochrony danych, w tym zwłaszcza:
  1. wprowadzanie zmian do systemu informatycznego administratora danych
    i instalowanie programów bez wiedzy i zgody administratora systemu.
  2. ujawnienie osobom nieupoważnionym danych osobowych, jak też procedur ochrony danych stosowanych u administratora danych (poprzez umożliwienie wglądu lub przekazania danych i dokumentacji);
  3. naruszenie bezpieczeństwa danych przez nieautoryzowane ich przetwarzanie lub zgoda na takie działania przez inne osoby (np. udostępnienie identyfikatora i hasła innemu użytkownikowi);
  4. niezgodne z procedurami zakończenie pracy lub opuszczenie stanowiska pracy (nieprawidłowe wyłączenie komputera, niezablokowanie wyświetlenia treści pracy na ekranie komputera przed tymczasowym opuszczeniem stanowiska pracy, pozostawienie po zakończeniu pracy nieschowanych do zamykanych na klucz szaf dokumentów zawierających dane osobowe, niezamknięcie na klucz pokoju po jego opuszczeniu, nieoddanie klucza na portiernię),
  5. przetwarzanie danych osobowych w celach niezgodnych z ich przeznaczeniem.
    1.  

 

  • VIII. UDOSTĘPNIENIE DANYCH OSOBOWYCH PODMIOTOM ZEWNĘTRZNYM

 

  1. Jeśli zgodnie z przepisami prawa administrator danych jest zobowiązany do przekazywana danych osobowych wskazanym podmiotom, to upoważnieni pracownicy ADO realizują ten wymóg zgodnie z zakresem swoich obowiązków służbowych stosując się ściśle do wskazanych przepisów.
  2. Jeśli do ADO wystąpi z wnioskiem o udzielenie informacji osobowej podmiot, który twierdzi, że jest uprawniony do uzyskania takiej informacji na podstawie przepisów prawa udostępnienie informacji może nastąpić jedynie po:
  1. a) zweryfikowaniu podstawy prawnej udostępnienia;
  2. b) weryfikowaniu czy składający wniosek jest podmiotem za który się podaje;
  3. c) odnotowaniu udostępnienia w ewidencji udostępnień danych osobowych.

Ewidencję udostępnień danych osobowych prowadzi pełnomocnik bezpieczeństwa informacji.     

  1. W przypadku, gdy z wnioskiem wystąpi uprawniony funkcjonariusz publiczny i wnioskujący stwierdzi, że istnieje konieczność niezwłocznego działania udostępnienie informacji może nastąpić po:
  1. a) wylegitymowaniu funkcjonariusza;
  2. b) na podstawie pisemnego oświadczenia funkcjonariusza lub za pisemnym pokwitowaniem przez niego uzyskania dokumentów;
  3. c) odnotowaniu udostępnienia w ewidencji udostępnień danych osobowych.
  1. Jeśli do ADO wystąpi z wnioskiem o udzielenie informacji osobowej podmiot, który nie jest uprawniony do uzyskania takiej informacji na podstawie przepisów prawa udostępnienie informacji może nastąpić jedynie gdy:
  1. a) cel przetwarzania nie ulega zmianie;
  2. b) osobie, której dane mają być udostępnione zostanie umożliwione skorzystanie z prawa sprzeciwu;
  3. c) nastąpi zweryfikowanie tożsamości podmiotu składającego wniosek;
  4. d) udostępnienie zostanie odnotowane w ewidencji udostępnień danych osobowych.

 

  • IX. Działania nadzorcze i audyty wewnętrzne.

 

  1. Nadzór nad przestrzeganiem ochrony danych osobowych:
  1. W celu zapewnienia ochrony wolności i praw osób, których dane dotyczą,
    a zwłaszcza bezpieczeństwa dotyczących ich danych, pełnomocnik bezpieczeństwa informacji zapewnia zgodność działalności ADO.
  2. W celu realizacji swych zadań pełnomocnik bezpieczeństwa informacji przeprowadza okresowe audyty wewnętrzne (tzw. sprawdzenia planowe) lub audyt wewnętrzny nieobjęty planem sprawdzeń (tzw. sprawdzenie doraźne).
  3. Pełnomocnik bezpieczeństwa informacji zapewnia (nadzoruje) realizację obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie tych danych, w szczególności decyduje o terminach i sposobach przeprowadzenia szkoleń w tym zakresie.




  1. Ocena ryzyka:
  1. Celem oceny ryzyka jest ustalenie czy stopień bezpieczeństwa danych jest odpowiedni oraz czy nie zachodzi niebezpieczeństwo naruszenia praw i wolności osób fizycznych.
  2. ADO zleca pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny ryzyka, gdy:
    1. są planowane lub podejmowane nowe czynności z wykorzystaniem danych osobowych,
    2. dokonywane są zmiany sposobu działania …. [wpisać nazwę podmiotu],
      w szczególności zmiany w zakresie wykorzystywanej technologii i organizacji pracy, gdy może to mieć wpływ na przetwarzanie danych osobowych.
  3. Wyniki oceny ryzyka pełnomocnik bezpieczeństwa informacji przedstawia niezwłocznie ADO. Jeśli na skutek przeprowadzonej oceny pełnomocnik bezpieczeństwa informacji ustali, że dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to ADO rezygnuje z planowanych działań, albo podejmuje czynności zmierzające do minimalizacji ryzyka.
  4. Jeśli ADO chce kontynuować planowane działania mimo, że z oceny ryzyka wynika, że z dużym prawdopodobieństwem mogą one powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to:
    1. zleca właściwym podmiotom, w tym pełnomocnikowi bezpieczeństwa informacji, opracowanie i zastosowanie środków zaradczych, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych i wykazać przestrzeganie postanowień RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy,
    2. zleca pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych;
    3. oceny skutków przetwarzania dla ochrony danych nie trzeba przeprowadzać, gdy przetwarzanie jest obowiązkiem wynikającym
      z przepisu prawa lub jest niezbędne do wykonania zadania realizowanego
      w interesie publicznym lub w ramach sprawowania władzy publicznej.
  1. Ocena skutków przetwarzania dla ochrony danych
  1. Jeżeli ADO zlecił pełnomocnikowi bezpieczeństwa informacji przeprowadzenie oceny skutków przetwarzania dla ochrony danych, to pełnomocnik bezpieczeństwa informacji przystępuje niezwłocznie do opracowania takiej oceny.
  2. Ocena skutków obejmuje:
    1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
    2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne
      w stosunku do celów;
    3. wskazanie środków zaplanowanych w celu zaradzenia ryzyku;
    4. ocenę ryzyka naruszenia praw lub wolności osób.
  3. Wyniki oceny skutków pełnomocnik bezpieczeństwa informacji przedstawia niezwłocznie ADO. Jeśli ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby nadal wysokie ryzyko naruszenia wolności lub praw osób, których dane dotyczą, to ADO rezygnuje się z podejmowania planowanych działań, albo przedstawia sprawę organowi nadzorczemu.
  1. Audyty wewnętrzne
  1. W celu zapewnienia przestrzegania przepisów o ochronie danych osobowych pełnomocnik bezpieczeństwa informacji przeprowadza następujące audyty wewnętrzne:
  1. - sprawdzenie prawidłowości i aktualności dokumentacji z zakresu ochrony danych osobowych;
  2. - sprawdzenie przestrzegania zasad i procedur określonych w dokumentacji ochrony danych osobowych.
  3. - sprawdzanie zgodności przetwarzania danych osobowych z przepisami
    o ochronie danych osobowych;
  1. Audyty wewnętrzne są przeprowadzane okresowo zgodnie z planem sprawdzeń przygotowywanym przez pełnomocnika bezpieczeństwa informacji (sprawdzenia planowe). Plan sprawdzeń obejmuje maksimum 1 rok. Jest on przekazywany ADO do wiadomości w terminie minimum 2 tygodni przed rozpoczęciem okresu, który plan obejmuje. Jeśli sprawdzenie planowe obejmuje kontrolę w  konkretnej jednostce lub dziale to kierownik tej jednostki jest zawiadamiany o sprawdzeniu nie później niż na 7 dni przed rozpoczęciem sprawdzenia.
  2. W sytuacji powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia pełnomocnika bezpieczeństwa informacji przeprowadza audyt nieobjęty planem sprawdzeń (tzw. sprawdzenie doraźne). W przypadku sprawdzeń doraźnych terminy powyższe określone nie obowiązują.  
  3. Pełnomocnik bezpieczeństwa informacji przygotowuje i gromadzi dokumentację przeprowadzonych audytów.
  4. Obowiązki określone powyżej pełnomocnik bezpieczeństwa informacji realizuje we współpracy z administratorem systemu oraz kierownikiem działu kadr posługując się w razie potrzeby pracownikami działu informatyki oraz działu kadr.
  1. Zapewnienie aktualności dokumentacji z zakresu ochrony danych osobowych
  1. Pełnomocnik bezpieczeństwa informacji dokłada starań by dokumentacja ochrony danych osobowych była aktualna. W tym celu na bieżąco śledzić zmiany stanu prawnego oraz zapoznaje się z treścią wytycznych i wskazówek wydawanych przez organ nadzorczy w tym zakresie.
  2. Niezależnie od działań wskazanych w ppkt. 1)  pełnomocnik bezpieczeństwa informacji nie rzadziej niż raz do roku dokonuje przeglądu dokumentacji pod kątem sprawdzenia jej aktualności i zgodności z przepisami.
  1. Polityka bezpieczeństwa wchodzi w życie w dniu ogłoszenia.

Kontakt
z nami

MERITUM Sp. J.
ul. 11 listopada 60-62
43-300 Bielsko-Biała
KRS: 0000283712

tel: +48 33 822 99 90
tel: +48 33 822 90 19
fax: wew. 30
gsm: +48 506 059 099

infolinia: 533 102 101

e-mail: biuro@meritum.bielsko.pl

ZAPRASZAMY:
poniedziałek - piątek
800 - 1600

Mapa dojazdu - kliknij

Zapraszamy Państwa do zapoznania się również z naszą ofertą w zakresie błędów medycznych

Formularz kontaktowy

Wiadomość została wysłana pomyślnie!


Wyrażam zgodę na przetwarzanie moich danych osobowych przez MERITUM SP. Jawna z siedzibą w Bielsku-Białej w celu udzielenia odpowiedzi na zapytanie przesłane przeze mnie za pomocą formularza.

Wyrażam zgodę na przetwarzanie moich danych osobowych przez MERITUM SP. Jawna z siedzibą w Bielsku-Białej w celach marketingowych związanych z przygotowaniem i przekazaniem oferty usług MERITUM SP. Jawna z siedzibą w Bielsku-Białej.

Wyrażam zgodę na otrzymywanie informacji handlowej dotyczącej usług MERITUM SP. Jawna z siedzibą w Bielsku-Białej z pomocą środków komunikacji elektronicznej, zgodnie z Polityką prywatności. W celu przesłania informacji handlowej udostępniam wskazany powyżej e-mail.

Projektowanie stron www Bielsko Pozycjonowanie Stron
Strona korzysta z plików cookies zgodnie z Polityką Plików Cookies Zamknij