Polityka bezpieczeństwa przetwarzania danych osobowych

Stalko Spółka z ograniczoną odpowiedzialnością
Dom i Ogród Spółka komandytowa

03-042 Warszawa
Ul. Marywilska 44
NIP 524-284-58-73

Spis treści:

I. Postanowienia Ogólne
II. Definicje
III. Aktualizacja dokumentacji z zakresu ochrony danych osobowych
IV. Zarządzanie ochroną danych osobowych
V. Obowiązki administratora danych osobowych
VI. Rejestr czynności przetwarzania
VII. Inspektor Ochrony Danych
VIII. Odpowiedzialność pracowników i użytkowników systemu
IX. Obowiązek informacyjny
X. Szkolenia w zakresie ochrony danych osobowych
XI. Dostęp zdalny
XII. Udostępnianie danych osobowych
XIII. Powierzanie przetwarzania danych osobowych
XIV. Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych
XV. Wykaz zbiorów danych osobowych
XVI. Opis struktury zbiorów danych osobowych
XVII. Zasady ochrony danych osobowych w zbiorach nieinformatycznych
XVIII. Postanowienia końcowe

I. Postanowienia Ogólne

Podstawa prawna

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), obowiązujący od 25.05.2018 r.

Cel Polityki Bezpieczeństwa Informacji (PBI)
1. Podstawowym celem Polityki Bezpieczeństwa Informacji (PBI) jest określenie szczegółowych i jednolitych zasad gromadzenia, przechowywania i przetwarzania danych osobowych zgodnie z wytycznymi obowiązującego prawa. PBI jest dokumentem określającym zadania pracowników, a także podmiotów współpracujących, w zakresie właściwej legalności przetwarzania danych.
2. Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz wprowadzonych zabezpieczeń technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych.
3. Niniejszą Politykę stosuje się do:
1) Danych osobowych:
a. przetwarzanych w systemach informatycznych,
b. zapisanych w formach papierowych,
2) Informacji dotyczących bezpieczeństwa przetwarzania danych osobowych:
a. służących do uwierzytelnienia w systemach informatycznych, w których są przetwarzane dane osobowe,
b. dotyczących wdrożonych zabezpieczeń technicznych i organizacyjnych.
Bez względu na zajmowane stanowisko, miejsce wykonywanej pracy oraz charakter stosunku pracy, zasady określone w niniejszej Polityce oraz w dokumentach powiązanych powinny być znane i stosowane przez pracowników oraz w niezbędnym zakresie przez współpracowników przetwarzających dane osobowe, których administratorem jest Stalko Spółka z ograniczoną odpowiedzialnością Dom i Ogród Spółka komandytowa 03-042 Warszawa Ul. Marywilska 44 NIP 524-284-58-73 lub które Stalko Spółka z ograniczoną odpowiedzialnością Dom i Ogród Spółka komandytowa przetwarza na podstawie umów powierzeń.

II. Definicje


Użyte w niniejszej Polityce pojęcia są wspólne dla wszystkich dokumentów powiązanych z niniejszą Polityką oraz dla wszystkich pozostałych dokumentów, które zostały przyjęte przez Stalko Spółka z ograniczoną odpowiedzialnością Dom i Ogród Spółka komandytowa 03-042 Warszawa Ul. Marywilska 44 NIP 524-284-58-73 w zakresie ochrony danych osobowych.
1. Firma – Stalko Spółka z ograniczoną odpowiedzialnością Dom i Ogród Spółka komandytowa 03-042 Warszawa Ul. Marywilska 44 NIP 524-284-58-73.
2. Właściciel – Właściciel firmy osoby wymienione w KRS jako upoważnione do reprezentacji Spółki
3. PUODO lub Organ Nadzorczy (wymiennie) – Prezes Urzędu Ochrony Danych Osobowych.
4. IOD – Inspektor Ochrony Danych (Data Protection Officers).
5. Administrator Danych Osobowych – Stalko Spółka z ograniczoną odpowiedzialnością Dom i Ogród Spółka komandytowa 03-042 Warszawa Ul. Marywilska 44 NIP 524-284-58-73 reprezentowane przez Właściciela.
6. Bezpieczeństwo przetwarzania danych osobowych - zachowanie poufności, integralności i rozliczalności danych osobowych; dodatkowo, mogą być brane pod uwagę inne własności, takie jak dostępność, autentyczność, niezaprzeczalność i niezawodność.
7. Dane Osobowe – każda informacja dotycząca żyjącej osoby fizycznej, która pozwala na bezpośrednią lub pośrednią identyfikację tej osoby.
8. Integralność danych – właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
9. Naruszenie ochrony danych osobowych – zamierzone lub przypadkowe naruszenie środków technicznych i organizacyjnych zastosowanych w celu ochrony danych osobowych. W szczególności, gdy stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszanie ochrony danych osobowych.
10. Poufność – właściwość zapewniająca, że informacja (np. dane osobowe) jest dostępna jedynie osobom upoważnionym.
11. Przetwarzanie (zgodnie z RODO) to operacja lub zestaw operacji na danych, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
12. Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
13. System informatyczny – zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
14. Użytkownik systemu – osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym, która posiada ustalony identyfikator i hasło.
15. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.
16. Zbiór nieinformatyczny - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, prowadzony poza systemem informatycznym, w szczególności w formie kartoteki, skorowidza, księgi, wykazu lub innego zbioru ewidencyjnego.
17. Rozporządzenie UE lub (wymiennie) RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) obowiązujące od 25.05.2018 r.

III. Aktualizacja dokumentacji z zakresu ochrony danych osobowych


1. Niniejsza Polityka oraz dokumenty z nią powiązane powinny być aktualizowane wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi wewnątrz Firmy, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.
2. Fakty wystąpienia poważnych naruszeń ochrony danych osobowych powinny skutkować zmianami w dokumencie niniejszej Polityki i dokumentach powiązanych.
3. Zmiany niniejszej Polityki wymagają aktualizacji innych dokumentów obowiązujących w Firmie, dotyczących ochrony danych osobowych.
4. Wszelkie zmiany w Polityce maja formę pisemną.

IV. Zarządzanie ochroną danych osobowych


1. Realizację zamierzeń, w celu zwiększenia skuteczności ochrony danych osobowych powinny zagwarantować następujące założenia:
1) Przeszkolenie użytkowników w zakresie bezpieczeństwa przetwarzania danych osobowych.
2) Przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację w systemach informatycznych (np. hasła, identyfikatory), umożliwiających im dostęp do danych osobowych - stosownie do zakresu upoważnienia i indywidualnych poziomów uprawnień.
3) Okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.
4) Podejmowanie niezbędnych działań, w celu likwidacji słabych ogniw w systemie ochrony danych osobowych.
5) Śledzenie osiągnięć w dziedzinie bezpieczeństwa systemów informatycznych i - w miarę możliwości organizacyjnych i techniczno-finansowych - wdrażanie nowych narzędzi i metod pracy oraz sposobów zarządzania systemami informatycznymi, służących wzmocnieniu bezpieczeństwa przetwarzanych danych osobowych.
2. Na każdym etapie przetwarzania danych osobowych należy brać pod uwagę, w niezbędnym zakresie, integralność, poufność oraz rozliczalność dla przetwarzanych danych osobowych.
3. Właściciel powinien uzyskać zapewnienie, że pracownicy, wykonawcy oraz użytkownicy reprezentujący stronę trzecią:
1) Są odpowiednio wprowadzani w swoje obowiązki i odpowiedzialności związane z ochroną danych osobowych i ich przetwarzaniem przed przyznaniem im dostępu do danych osobowych.
2) Otrzymują zalecenia określające wymagania w zakresie bezpieczeństwa danych osobowych związane z ich obowiązkami w Firmie.
3) Wypełniają zalecenia i warunki zatrudnienia, które uwzględniają zasady ochrony danych osobowych oraz właściwe metody pracy.
4) W sposób ciągły utrzymują odpowiednie umiejętności i kwalifikacje.
4. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z zakresem upoważnienia, kompetencjami lub rolą sprawowaną w procesie przetwarzania danych.

V. Obowiązki administratora danych osobowych


1. Administrator ma obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych.
2. Administrator i podmiot przetwarzający są zobowiązani uwzględnić: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia i odpowiednio do nich – dobierać i wdrażać środki techniczne, i organizacyjne tak, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te muszą być stale poddawane przeglądom i uaktualniane.
3. Administrator jest odpowiedzialny za przetwarzanie i ochronę danych osobowych zgodnie z przepisami prawa, w tym wprowadzenie do stosowania procedur postępowania zapewniających prawidłowe przetwarzanie danych osobowych, rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
4. Administrator prowadzi rejestr wszystkich czynności przetwarzania, które wykonywane są w jego organizacji.
5. Administrator, powierzając przetwarzanie, zobligowany jest do korzystania jedynie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Każdy podmiot przetwarzający zobowiązany jest stosować odpowiednie środki techniczne i organizacyjne zgodnie RODO.
6. Do kompetencji Administratora należy w szczególności:
1) Określenie celów i strategii ochrony danych osobowych.
2) Podział zadań i obowiązków związanych z organizacją ochrony danych osobowych.
7. Do obowiązków Administratora należy:
1) Zapewnienie szkoleń dla pracowników w zakresie przepisów o ochronie danych osobowych oraz zagrożeń związanych z ich przetwarzaniem.
2) Przyjmowanie i zatwierdzanie niezbędnych, wymaganych przez przepisy prawa dokumentów regulujących ochronę danych osobowych.
3) Zapewnienie środków finansowych na ochronę fizyczną pomieszczeń, w których przetwarzane są dane osobowe.
4) Zapewnienie środków finansowych niezbędnych do ochrony danych osobowych przetwarzanych w systemach informatycznych oraz w zbiorach nieinformatycznych.
5) Zapewnienie środków finansowych na merytoryczne przygotowanie osób odpowiedzialnych za nadzór nad ochroną danych osobowych.

VI. Rejestr czynności przetwarzania


1. Czynności przetwarzania - to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
2. Kategoria czynności przetwarzania (kategoria przetwarzań) to rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania.
3. Rejestr czynności obejmuje: cele przetwarzania; opis kategorii osób, których dane dotyczą, kategorii danych osobowych; oraz kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych. Określenie tych okoliczności jest obowiązkiem administratora lub współadministratora jako podmiotów, które zgodnie z definicją zawartą w RODO decydują o celach i sposobach przetwarzania danych, chyba że cele te i sposoby określone są w przepisach prawa, na podstawie których działa administrator lub współadministrator.
4. Rejestry powinny być prowadzone w formie elektronicznej (kopie zapasowe wykonywane są nie rzadziej niż raz na 24h).
5. W Rejestrze czynności przetwarzania i Rejestrze kategorii czynności przetwarzania zamieszcza się - jeżeli jest to możliwe - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Opis może mieć charakter ogólny i wskazywać najważniejsze założenia czy elementy przyjętych systemów lub koncepcji w zakresie bezpieczeństwa danych osobowych. Jest to uzasadnione zwłaszcza w przypadkach, gdy koncepcje te obejmują wiele elementów i rozwiązań, które uszczegółowione są w innym miejscu, np. konkretnej dokumentacji, polityce lub procedurach. Wówczas należy zamieścić w rejestrze ogólną informację o rodzaju zastosowanych zabezpieczeń (np. kontrola dostępu w oparciu o identyfikator i hasło, zastosowanie certyfikatów, szyfrowanie komunikacji itp.) oraz odesłanie do dokumentacji opisującej szczegóły zarządzania danego rodzaju zabezpieczeniami.
6. Rejestr nie ma charakteru zamkniętego. Administrator może rozszerzyć kategorie zakresu informacji uwzględnionych w rejestrze Mogą się w nim znaleźć elementy, które administrator uzna za zasadne jak np.:
- wskazanie podstawy prawnej przetwarzania,
- wskazanie źródła pozyskania danych,
- wskazanie użytego do przetwarzania systemu informatycznego,
- informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp.
W niektórych przypadkach uzasadnione może okazać się odnotowanie w rejestrze dodatkowo takich informacji, jak np.:
- określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne czynności przetwarzania (np. kierownik określonej komórki w organizacji, wydzielone stanowisko itp.), oraz
- dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym powierzono wykonywanie określonych czynności przetwarzania danych lub określonych operacji w ramach tych czynności .

VII. Inspektor Ochrony Danych


1. IOD - Inspektor Ochrony Danych (Data Protection Officers) – wyznaczony zostaje przez Właściciela
2. Inspektor ochrony danych pełni rolę doradczą i weryfikacyjną wobec działań administratora danych i podmiotu przetwarzającego (oraz ich pracowników), opartą na analizie ryzyka i zasadzie rozliczalności.
3. Inspektor zobowiązany jest dostosować tryb i metody pracy do specyfiki przetwarzania danych w Firmie oraz związanego z tym przetwarzaniem ryzyka. Inspektor jest zobowiązany wypełniać swoje zadania z należytym staraniem, z uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
4. Inspektor zobowiązany jest doradzać administratorowi, m.in.w kwestiach:
- które obszary powinny zostać poddane wewnętrznemu audytowi,
-jakie szkolenia dla pracowników lub kierowników odpowiedzialnych za przetwarzanie danych należy przeprowadzić,
- na które operacje przetwarzania należy przeznaczyć więcej czasu i zasobów finansowych.
5. Zakres zadań Inspektora
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia, krajowych przepisów powszechnie obowiązujących oraz przepisów państw członkowskich o ochronie danych osobowych i doradzanie im w tej sprawie;
- monitorowanie niniejszego rozporządzenia, krajowych przepisów powszechnie obowiązujących oraz przepisów państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;
- monitorowanie prawidłowości podziału obowiązków pracowników w zakresie ochrony danych osobowych;
- proponowanie działań zwiększających świadomość w zakresie ochrony danych osobowych personelu;
- prowadzenie szkoleń personelu uczestniczącego w operacjach przetwarzania oraz powiązanych z tym audytów;
- udzielanie, na żądanie administratora, zaleceń co do oceny skutków podejmowanych działań dla ochrony danych oraz monitorowania ich wykonania;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych
- pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia;
- prowadzenie rejestru czynności lub rejestru kategorii czynności.

VIII. Odpowiedzialność pracowników i użytkowników systemu


1. W celu osiągnięcia i utrzymania wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych konieczne jest pełne zaangażowanie ze strony każdego pracownika w zakresie ochrony danych osobowych.
2. Pracownicy są zobowiązani do informowania o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe bezpośrednio Administratora.
3. Pracownicy są zobowiązani do:
1) Postępowania zgodnie z Polityką (PBI).
2) Zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia.
3) Ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem.
4) Prawidłowego wykonywania konkretnych działań i procesów w celu zapewnienia ochrony danych osobowych.
4. Pracownicy powinni brać pod uwagę możliwości zaistnienia sytuacji naruszenia ochrony danych osobowych. W tym celu zobowiązani są:
1) Przestrzegać procedur związanych z otwieraniem i zamykaniem pomieszczeń, a także z wejściem do obszarów przetwarzania danych osobowych osób nieupoważnionych.
2) Przestrzegać procedur i wytycznych dotyczących pracy na sprzęcie IT (komputerach, tabletach innych urządzeniach mających dostęp do baz danych).
5. ¬Informować Administratora lub pracowników ochrony o podejrzanych osobach przebywających poza „bezpieczną strefą przetwarzania danych
6. Pracownicy powinni na podstawie dokonanej identyfikacji ewentualnych zagrożeń, przedkładać Administratorowi projekty i propozycje nowych rozwiązań, których celem jest zwiększenie poziomu ochrony danych osobowych.

IX. Obowiązek informacyjny


1. W przypadku zbierania danych osobowych na formularzach, umowach, drukach (zarówno papierowych jak i elektronicznych) należy umieszczać na nich odpowiednią klauzulę informacyjną. Klauzula taka powinna informować osobę, której dane zbieramy o:
1) Adresie siedziby i pełnej nazwie Firmy
2) Celu zbierania danych, a w szczególności o znanych Firmie w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych.
3) Prawie dostępu do treści swoich danych oraz ich poprawiania lub bycia zapomnianym.
4) Dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
2. Przepisu określonego w ust. 1 nie stosuje się, jeżeli:
1) Przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania.
2) Osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1
3. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, pracownicy są zobowiązani poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
1) Adresie siedziby i pełnej nazwie Firmy
2) Celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych.
3) Źródle danych.
4) Prawie dostępu do treści swoich danych oraz ich poprawiania.
5) Innych uprawnieniach wynikających z postanowień RODO, w szczególności prawie do bycia zapomnianym.

X. Szkolenia w zakresie ochrony danych osobowych


1. Przed rozpoczęciem przetwarzania danych osobowych pracownik powinien zostać przeszkolony przez Administratora Szkolenie powinno obejmować następujące zagadnienia:
1) Przepisy o ochronie danych osobowych.
2) Zasady przetwarzania danych osobowych.
3) Procedury dotyczące bezpiecznego przetwarzania danych osobowych w systemach informatycznych.
4) Zasady użytkowania urządzeń i systemów informatycznych służących do przetwarzania danych osobowych.
5) Zagrożenia na jakie może być narażone przetwarzanie danych osobowych, a w szczególności te związane z przetwarzaniem danych osobowych w systemach informatycznych.
6) Zasady dostępu do pomieszczeń, w których przetwarzane są dane osobowe.
7) Sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu informatycznego.
8) Odpowiedzialność z tytułu naruszenia ochrony danych osobowych.
2. Szkolenia powinny być powtarzane okresowo lub na żądanie, gdy zaistnieje taka potrzeba.
3. Użytkownicy reprezentujący osoby trzecie (tam, gdzie jest to wskazane) powinni przechodzić przeszkolenie w zakresie:
1) Odpowiednich zasad wynikających z Polityki (PBI).
2) Odpowiednich procedur dotyczących bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych.
3) Poprawnego użytkowania urządzeń i systemów informatycznych służących do przetwarzania danych osobowych.

XI. Dostęp zdalny


1. Zastosowane przez Firmę rozwiązania techniczne, umożliwiające dostęp zdalny do danych osobowych powinny zapewniać integralność, poufność i rozliczalność przetwarzanych danych osobowych oraz ochronę kryptograficzną wobec danych służących do uwierzytelniania przesyłanych danych publicznymi łączami telekomunikacyjnymi
2. Nadawanie uprawnień w celu dostępu zdalnego do systemów informatycznych przetwarzających dane osobowe realizowane jest przez Dział IT, po spełnieniu wymagań określonych w ust. 1 oraz po uzyskaniu akceptacji Administratora.
3. Dostęp zdalny do danych osobowych przetwarzanych przez Firmę możliwy jest wyłącznie dla tych użytkowników zewnętrznych, którzy prowadzą swoje prace na rzecz Firmy, na podstawie obowiązującej umowy lub innego porozumienia zawartego z Firmą.
4. Dostęp do systemów informatycznych dla użytkowników zewnętrznych powinien być monitorowany pod kątem bezpieczeństwa przez Dział IT w celu zapewnienia poufności, rozliczalności i integralności danych osobowych.

XII. Udostępnianie danych osobowych


1. Dane osobowe mogą być udostępniane podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
2. Udostępnianie danych osobowych osobie nieupoważnionej do przetwarzania danych osobowych może nastąpić wyłącznie za zgodą Właściciela zasobów danych osobowych. Zgoda może dotyczyć również udostępniania danych osobowych w przyszłości. Zarówno wniosek jak i zgoda powinny być wystosowane z zachowaniem formy pisemnej
3. Udostępniając dane osobowe należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
4. Na pisemny wniosek pochodzący od osoby, której dane dotyczą, informacje o osobie powinny być udzielone w terminie 30 dni od daty złożenia wniosku.
5. Za przygotowanie danych osobowych do udostępnienia w zakresie wskazanym we wniosku jest odpowiedzialny Właściciel Firmy lub wyznaczony przez niego IOD.
6. Odpowiedź na wniosek o udostępnienie danych osobowych przed wysłaniem jest akceptowana i parafowana przez Właściciela.
7. Informacja o udostępnieniu danych osobowych podlega odnotowaniu, jeśli dane osobowe udostępniane są ze zbioru danych osobowych. W takim przypadku, odnotowaniu podlega informacja o zakresie danych podlegających udostępnieniu, dacie udostępnienia odbiorcy, celu udostępnienia oraz danych osób, które ze strony Firmy udostępniły dane osobowe. Nie dotyczy to sytuacji, gdy przepisy prawa zezwalają na zbieranie danych osobowych bez konieczności ujawniania adresata danych.

XIII. Powierzanie przetwarzania danych osobowych


1. Powierzenie przetwarzania danych osobowych występuje wówczas, gdy podmioty zewnętrzne współpracujące z Firmą mają dostęp do danych osobowych przetwarzanych przez Firmę.
2. Wskazane w ust. 1 powierzenie przetwarzania danych osobowych może się odbywać wyłącznie poprzez zawarcie na piśmie umowy powierzenia przetwarzania danych osobowych, pomiędzy Firmą a danym podmiotem, któremu zleca się czynności związane z przetwarzaniem danych osobowych.
3. W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim:
1) Cel i zakres przetwarzania danych osobowych.
2) Obowiązek zachowania w tajemnicy danych osobowych oraz informacji o zabezpieczeniach tych danych.
3) Konsekwencje prawne i kary finansowe wynikające z niestosowania się do warunków umowy (z punktu widzenia ochrony danych osobowych).
4) Wymagania bezpieczeństwa dla procesu przetwarzania danych osobowych.
4. Zalecane jest aby w umowach powierzenia przetwarzania danych osobowych oraz w umowach, na podstawie których dochodzi do wymiany informacji uwzględnić następujące elementy:
1) Definicję informacji, która ma być chroniona.
2) Spodziewany czas trwania umowy, włączając w to przypadki, w których obowiązek zachowania poufności może być bezterminowy.
3) Wymagane działania w momencie zakończenia umowy.
4) Odpowiedzialność i działania sygnatariuszy podejmowane w celu uniknięcia nieupoważnionego ujawnienia informacji.
5) Własność informacji, tajemnic przemysłowych i własności intelektualnej oraz jak odnosi się to do ochrony danych osobowych.
6) Dozwolone użycie danych osobowych oraz praw sygnatariusza do jej użycia.
7) Prawa do audytu i monitorowania działań związanych z ochroną danych osobowych.
8) Proces powiadamiania i raportowania nieuprawnionego ujawnienia lub naruszenia poufności i integralności danych osobowych.
9) Zasady zwrotu lub niszczenia danych osobowych przy zakończeniu umowy.
10) Działania podejmowane w przypadku naruszenia warunków umowy.
5. Projekt umowy powierzenia przetwarzania danych osobowych innemu podmiotowi przygotowuje Administrator bądź osoby przez niego wskazane.

XIV. Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych


1. Naruszenie ochrony danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
2. Nie każde naruszenie będzie wymagało poinformowania Organu Nadzorczego. Konieczne jest zgłoszenie incydentu, gdy może on skutkować ryzykiem naruszenia praw i wolności osób, np. jeśli naruszenie może prowadzić do kradzieży lub fałszowania tożsamości, straty finansowej, naruszenia dobrego imienia czy tez naruszenia tajemnic prawnie chronionych.
3. Incydent musi zostać zgłoszony nie później niż 72 godziny po stwierdzeniu (wykryciu) incydentu,.
4. Administrator zawiadamia o incydencie osoby, których dane dotyczą. Jasnym i prostym językiem opisuje jego charakter, możliwe konsekwencje oraz możliwe do zastosowania środki zalecane w celu poradzenia sobie z incydentem i zminimalizowania jego negatywnych skutków.
5. Niezgłoszenie naruszenia może skutkować nałożeniem przez Organ Nadzorczy kary pieniężnej.
6. Możliwe jest także nałożenie kary pieniężnej za samo naruszenie.
7. Poniższe postanowienia mają zastosowanie zarówno w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych przetwarzanych w systemach informatycznych, jak i w zbiorach nieinformatycznych.
8. Przed przystąpieniem do pracy pracownicy zobowiązani są dokonać sprawdzenia stanu urządzeń informatycznych oraz oględzin swojego stanowiska pracy, w tym zwrócić szczególną uwagę, czy nie zaszły okoliczności wskazujące na naruszenie lub próby naruszenia ochrony danych osobowych.
9. Za okoliczności, które uznaje się za naruszenie lub podejrzenie naruszenia ochrony systemu przetwarzającego dane osobowe, uważa się w szczególności:
1) Nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują.
2) Nieuprawnione naruszenie lub próby naruszenia poufności, integralności i rozliczalności danych i systemu.
3) Niezamierzoną zmianę lub utratę danych zapisanych na kopiach zapasowych.
4) Nieuprawniony dostęp do danych osobowych (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu).
5) Udostępnienie osobom nieupoważnionym danych osobowych lub ich części.
6) Inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy.
7) Wydarzenia losowe, obniżające poziom ochrony systemu (np. brak zasilania lub pożar).
8) Kradzież sprzętu informatycznego lub nośników zewnętrznych zawierających dane osobowe (np. wydruków komputerowych, płyt CD-ROM, dysków twardych, pamięci zewnętrznych, itp.).
10. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych pracownicy zobowiązani są do bezzwłocznego powiadomienia o tym fakcie Administratora.
11. Do czasu przybycia Administratora, zgłaszający:
1) Powstrzymuje się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów.
2) Zabezpiecza elementy systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osobom nieupoważnionym.
3) Podejmuje, stosownie do zaistniałej sytuacji, wszelkie niezbędne działania celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.
4) Wykonuje polecenia Administratora.
5) Osoba zgłaszająca naruszenie sporządza notatkę służbową, podając szczegółowe informacje dotyczące incydentu.
12. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych Administrator, po przybyciu na miejsce:
1) Ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan pomieszczeń, w których przetwarzane są dane osobowe oraz stan urządzeń, a także szacuje wielkość negatywnych następstw incydentu.
2) Wysłuchuje relacji osoby, która dokonała powiadomienia oraz innych osób związanych z incydentem.
3) Podejmuje decyzje o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych.
13. Administrator sporządza raport z przebiegu zdarzenia, w którym powinny się znaleźć w szczególności informacje o:
1) Dacie i godzinie powiadomienia.
2) Godzinie pojawienia się w pomieszczeniach, w których przetwarzane są dane.
3) Sytuacji, jaką zastał.
4) Podjętych działaniach i ich uzasadnieniu.
5) Stanie systemu po podjęciu działań naprawczych.
6) Wnioskach w sprawie ograniczenia możliwości ponownego wystąpienia naruszenia ochrony danych osobowych.
14. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik może kontynuować pracę dopiero po otrzymaniu pozwolenia od Administratora.
15. W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej w Firmie dyscypliny pracy, Administrator wyjaśnia wszystkie okoliczności incydentu i podejmuje stosowne działania wobec osób, które dopuściły się wskazanego naruszenia.
16. Po zakończeniu czynności naprawczych system powinien utrzymać poziom ochrony nie niższy niż przed wystąpieniem incydentu związanego z naruszeniem ochrony danych osobowych.

XV. Wykaz zbiorów danych osobowych
1. Firma jest administratorem danych osobowych wymienionych w Rejestrze czynności przetwarzania.
2. Dane osobowe gromadzone we wskazanych zbiorach są przetwarzane w systemach informatycznych oraz w kartotekach ewidencyjnych, które są zlokalizowane w pomieszczeniach lub części pomieszczeń przetwarzania danych osobowych.
3. Administrator w oparciu o informacje uzyskane od Działu IT, prowadzi wykaz systemów i aplikacji zastosowanych do przetwarzania danych osobowych.

XVI. Opis struktury zbiorów danych osobowych
1. Opis struktury zbiorów danych osobowych zawiera Rejestr czynności przetwarzania
2. Wskazane w Rejestrze zakresy danych osobowych przetwarzanych w poszczególnych zbiorach danych osobowych są ustalone w oparciu o strukturę zbiorów danych osobowych prowadzonych w systemach informatycznych oraz powiązania pól informacyjnych utworzonych w tych systemach.
3. Aktualny opis struktury ww. zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi powinien być prowadzony przez Administratora w oparciu o informacje uzyskane od Działu IT.

XVII. Zasady ochrony danych osobowych w zbiorach nieinformatycznych
1. Zbiory nieinformatyczne powinny być odpowiednio zabezpieczone przed nieuprawnionym dostępem i zniszczeniem.
2. Dokumenty i wydruki, zawierające dane osobowe, należy przechowywać w zamykanych pomieszczeniach, do których dostęp mają jedynie uprawnione osoby.
3. Na czas nie użytkowania, dokumenty i wydruki zawierające dane osobowe powinny być zamykane w szafach biurowych lub zamykanych szufladach.
4. Wydruki robocze, błędne lub zdezaktualizowane powinny być niezwłocznie niszczone przy użyciu niszczarki do papieru lub w inny sposób zapewniający skuteczne ich usunięcie lub zanonimizowanie.
5. Dla udokumentowania czynności dokonywanych w celu likwidacji zbiorów archiwalnych, powinny być stosowane odpowiednie przepisy dot. zasad archiwizacji i brakowania dokumentacji w Firmie
XVIII. Postanowienia końcowe
1. Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia.
2. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 r., o ochronie danych osobowych (tj. Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) oraz przepisy wykonawcze do tej Ustawy oraz wytyczne zapisane w RODO i późniejszych zmianach i przepisach wykonawczych.