Polityka bezpieczeństwa danych

WSTĘP

Tworzy się niniejszą dokumentację przetwarzania danych osobowych celem realizacji obowiązków wynikających z powszechnie obowiązującego prawa, tj. Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie ochronie danych).

Celem wdrożenia niniejszej dokumentacji jest zapewnienie należytej ochrony danych osobowych będących w zasobach Administratora danych, w szczególności odpowiedniej do zagrożeń i kategorii danych osobowych objętych ochroną.

Poprzez bezpieczeństwo danych osobowych należy rozumieć zapewnienie ich poufności, integralności, dostępności oraz rozliczalności, poprzez wdrożenie i eksploatację niezbędnych do tego celu mechanizmów technicznych i procedur organizacyjnych.

Zakres przedmiotowy stosowania niniejszej dokumentacji obejmuje wszystkie dane osobowe przetwarzane przez Administratora danych, zarówno w formie elektronicznej, jak i papierowej.

Zakres podmiotowy stosowania niniejszej dokumentacji obejmuje wszystkich pracowników oraz osoby, przy pomocy których Administrator danych wykonuje swoje czynności, mające dostęp do danych osobowych.

§1 DEFINICJE

Użyte w niniejszej dokumentacji przetwarzania danych osobowych definicje i pojęcia są wspólne dla wszystkich dokumentów powiązanych z niniejszą dokumentacją oraz dla wszystkich pozostałych dokumentów, które zostały przyjęte przez Administratora w zakresie ochrony danych osobowych. Ilekroć w niniejszej polityce bezpieczeństwa jest mowa o:

  1. Inspektorze Ochrony Danych (IOD) – rozumie się przez to osobę wyznaczoną przez Administratora, która jest odpowiedzialna za zapewnienie przetwarzania danych zgodnie z odpowiednimi przepisami rozporządzenia. Osobą sprawującą funkcję Inspektora Ochrony Danych jest Pan Alessandro Vasta, dpo@stiga.com.
  2. Doradca – rozumie się przez to osobę pełniącą funkcję doradcy Inspektora Ochrony Danych, która zapewnia bieżące wsparcie w wykonywaniu zadań Inspektora. Osobą pełniącą funkcję Doradcy jest Pan Krzysztof Winiarski, krzysztof.winiarski@rodo.pl.
  3. Administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, która decyduje o celach i środkach przetwarzania danych osobowych. W niniejszej dokumentacji przetwarzania danych osobowych przez Administratora danych rozumie się: ALIMED Radosław Bażant z siedzibą w Kaliszu (62-800), ul. Kwiatowa 1, NIP 9680803724, REGON 522049315, zwana dalej Administratorem.
  4. Danych osobowych (lub „dane”) – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  5. Dokumentacji przetwarzania danych osobowych – rozumie się przez to politykę bezpieczeństwa przetwarzania danych osobowych.
  6. Urząd Ochrony Danych Osobowych (lub „UODO”) – rozumie się przez to organ ochrony danych osobowych.
  7. Identyfikatorze (loginie) użytkownika — rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
  8. Osobie fizycznej możliwej do zidentyfikowania – jest to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny, albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
  9. Osobie upoważnionej – rozumie się przez to osobę, która otrzymała od Administratora upoważnienie do przetwarzania danych.
  10. Przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.
  11. Rozporządzeniu – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Tekst mający znaczenie dla EOG).
  12. Upoważnieniu – rozumie się przez to uprawnienia nadawane przez Administratora wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane w zakresie wskazanym w tym upoważnieniu.
  13. Ustawie – rozumie się przez to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000).
  14. Użytkownik uprzywilejowany – należy przez to rozumieć osobę upoważnioną, posiadającą czasowo nadane uprawnienia na poziomie Administratora przynajmniej jednego systemu informatycznego.
  15. Użytkowniku systemu – rozumie się przez to osobę upoważnioną, która otrzymała dostęp do sieci VAN umożliwiający korzystanie z sieci Internet oraz login i hasło do systemu.
  16. Załącznikach – należy przez to rozumieć wzory dokumentów oraz ewidencje i wykazy stanowiące integralną część dokumentacji ochrony danych; Administrator może przedmiotowe wzory zastąpić wydrukami z systemów komputerowych lub innymi dokumentami o treści zgodnej z przepisami powszechnie obowiązującego prawa.
  17. Procesie – rozumie się przez to każdy szereg działań wykonywanych w firmie, służący realizacji określonego celu, w ramach którego są przetwarzane dane osobowe.

§2 POSTANOWIENIA OGÓLNE

  1. W celu zapewnienia ochrony przetwarzanych danych osobowych zarówno za pomocą systemów informatycznych, jak i w wersji papierowej Administrator wdraża niniejszą politykę bezpieczeństwa.
  2. Administrator dokłada należytej staranności w celu ochrony interesów osób, których dane osobowe dotyczą, w szczególności jest obowiązany zapewnić, aby dane: były przetwarzane zgodnie z prawem, zbierane dla oznaczonych celów, merytorycznie poprawne i adekwatne do celów, w jakich są zbierane, przechowywane były w postaci umożliwiającej identyfikację osób, których dotyczą oraz aby zapewniona była rozliczalność, dostępność, integralność i poufność danych, gdzie przez:
    1. rozliczalność – rozumie się właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
    2. integralność danych – rozumie się właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
    3. poufność danych – rozumie się właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym podmiotom.
    4. dostępność – gwarantuje, że osoby, które są upoważnione i którym informacje są potrzebne, mają do nich dostęp w odpowiednim miejscu i czasie.
  3. Administrator deklaruje pełne zaangażowanie i determinację celem zapewnienia bezpieczeństwa przetwarzanych danych osobowych.
  4. Wszelkie czynności, jakie na mocy niniejszej polityki bezpieczeństwa wykonywane są przez Inspektora Ochrony Danych, mogą być także wykonywane przez Administratora, z tym że w przypadku odwołania Inspektora Ochrony Danych, Administrator ma obowiązek przeprowadzać działania zgodne z Rozporządzeniem.
  5. Polityka bezpieczeństwa jest dokumentem wewnętrznym, poufnym i nie może być udostępniana podmiotom trzecim bez uprzedniej zgody Administratora.
  6. Zaleca się, w miarę możliwości, zawierać informacje o technicznych i organizacyjnych środkach ochrony, jak również szczegółową informację o zakresie danych przetwarzanym w załącznikach, w celu umożliwienia udostępnienia Polityki Bezpieczeństwa bez stwarzania nieuzasadnionego zagrożenia dla bezpieczeństwa danych osobowych.

§3 ADMINISTRATOR

  1. Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii przetwarzanych danych oraz zabezpiecza posiadane dane przed: ich udostępnieniem, zmianą, utratą, uszkodzeniem, zniszczeniem lub przetwarzaniem przez osobę nieupoważnioną.
  2. Administrator w szczególności zapewnia:
    1. środki techniczne i organizacyjne niezbędne dla zapewnienia bezpiecznego przetwarzania danych w pomieszczeniach do tego przeznaczonych;
    2. system i sprzęt informatyczny umożliwiający bezpieczne przetwarzanie danych;
    3. dopuszcza do przetwarzania danych osobowych wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych lub podmioty mające zawartą umowę powierzenia;
    4. zapoznanie się z przepisami o ochronie danych osobowych każdej osobie upoważnionej do przetwarzania danych osobowych poprzez organizacyjne zapewnienie możliwości uczestnictwa w szkoleniu oraz zawiadomienie Inspektora Ochrony Danych o konieczności przeprowadzenia tego szkolenia we wskazanym terminie;
    5. prowadzenie ewidencji osób upoważnionych;
    6. należyte i terminowe reagowanie na żądania, na wniosek osób, których dane są przetwarzane i które zwróciły się z wnioskiem, zgodnie z zapisami rozdziału III rozporządzenia „Prawa osoby, której dane dotyczą”. Instrukcja obsługi żądań podmiotów danych znajduje się w załączniku numer 1.
    7. Rejestr realizacji żądań podmiotu danych stanowi załącznik numer 2.
  3. Administrator kontroluje i rejestruje wszelkie czynności przetwarzania do podmiotów zewnętrznych. Wzór rejestru czynności i kategorii przetwarzania stanowi załącznik numer 15.
  4. W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem prawa albo są zbędne do realizacji celu, dla którego zostały zebrane, Administrator jest obowiązany, bez zbędnej zwłoki do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia. Administrator powierzy aktualizację danych pracownikowi bądź pracownikom przetwarzającym dane podlegające aktualizacji w ramach realizacji obowiązków służbowych.
  5. Administrator jest obowiązany poinformować bez zbędnej zwłoki innych Administratorów/podmioty przetwarzające, którym udostępnił dane, o dokonanym uaktualnieniu, usunięciu lub sprostowaniu danych.

§4 INSPEKTOR OCHRONY DANYCH

  1. Administrator może wyznaczyć i zgłosić do rejestru prowadzonego przez UODO Inspektora Ochrony Danych, który jest odpowiedzialny za przetwarzanie danych zgodnie z ustawą oraz rozporządzeniem. Wzór dokumentu, który powołuje IOD stanowi załącznik numer 10.
  2. Zgłoszenia, o którym mowa powyżej dokonuje się według wzoru określonego w Ustawie w art. 10.
  3. Administrator może wyznaczyć co najmniej jednego zastępcę Inspektora Ochrony Danych. Zastępca Inspektora Ochrony Danych musi spełniać wszystkie wymagania określone w art. 37 ust. 5 Rozporządzenia.
  4. Zastępca Inspektora Ochrony Danych wykonuje wszystkie obowiązki należące do zakresu obowiązków Inspektora Ochrony Danych podczas jego nieobecności.
  5. Każdy pracownik i współpracownik Administratora uprawniony jest do korzystania z konsultacji Inspektora Ochrony Danych codziennie w godzinach od 7:00 do 20:00 oraz poza tymi godzinami, w uzasadnionych przypadkach, a więc w szczególności w przypadku wystąpienia incydentu bezpieczeństwa.
  6. Dane kontaktowe Inspektora powinny być powszechne dla pracowników oraz innych osób trzecich, których dane są lub będą przetwarzane przez Administratora. Dane kontaktowe Administrator publikuje również na swojej stronie internetowej.
  7. Do zadań Inspektora Ochrony Danych należy:
    1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
      1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora;
      2. nadzorowanie opracowania i aktualizowania dokumentacji, ochrony danych osobowych oraz przestrzegania zasad w niej określonych;
      3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych („szkolenie”).
    2. pomoc w przeprowadzaniu analizy ryzyka, na zasadach opisanych w art.32 Rozporządzenia.
  8. W celu sprawnej realizacji nałożonych zadań, Inspektora Ochrony Danych przysługują uprawnienia określone w art. 37 – 39 Rozporządzenia.
  9. Inspektor Ochrony Danych bezpośrednio podlega Administratorowi Danych.
  10. Administrator zapewnia środki i organizacyjną odrębność Inspektora Ochrony Danych niezbędne do niezależnego wykonywania przez niego zadań.
  11. Administrator może wyznaczyć Administratora Systemów Informatycznych (ASI).
  12. ASI odpowiada za zapewnienie przestrzegania zasad ochrony danych osobowych przetwarzanych za pomocą systemów informatycznych określonych w załącznikach dotyczących działań w zakresie IT oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, w przypadku jej występowania.
  13. ASI podczas wykonywania obowiązków z zakresu ochrony danych osobowych podlega bezpośrednio Administratorowi.

§5 PRZETWARZANIE DANYCH

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
    1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
    2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
    3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
    4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
    5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
  2. Za prawnie uzasadniony cel Administratora uznaje się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności oraz marketing bezpośredni własnych produktów lub usług, przy czym przy podejmowaniu działań marketingowych za pomocą środków komunikacji elektronicznej należy stosować przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344) oraz ustawy z dnia 16 lipca 2004 r. prawo telekomunikacyjne ( Dz.U. z 2022 r. poz. 1648, 1933, 2581), które przewidują dalej idącą ochronę.
  3. W przypadku przetwarzania danych na podstawie przepisów prawa, za wskazanie podstawy prawnej odpowiada Osoba Odpowiedzialna wskazana dla każdego z procesów.
  4. W przypadku przetwarzania danych osobowych w związku z realizacją umowy, za dostarczenie wzoru tej umowy do weryfikacji odpowiada kierownik komórki organizacyjnej zawierającej lub planującej zawrzeć daną umowę.
  5. Za ocenę wskazanych podstaw prawnych przetwarzania oraz weryfikację, czy spełniona jest zasada adekwatności, odpowiada Inspektor Ochrony Danych.
  6. Zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
  7. Zgoda na przetwarzanie danych osobowych może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
  8. Zgoda na przetwarzanie danych osobowych może zostać odwołana w każdym czasie. W przypadku odwołania zgody na przetwarzanie danych osobowych Administrator obowiązany jest usunąć wszystkie dane osobowe osoby, która zgodę cofnęła, chyba że istnieje inna podstawa prawna upoważniająca Administratora do dalszego przetwarzania tych danych dla innych celów niż wskazany w cofniętej zgodzie taka jak ustalenie, dochodzenie lub obrona roszczeń.
  9. Zaleca się odbieranie zgody w postaci możliwej do późniejszego udowodnienia (np. pisemnie, w ramach systemu informatycznego po zastosowaniu metody dwustopniowego uwiarygodniania).
  10. Klauzule służące do odbierania zgód stanowiących dostateczną podstawę prawną przetwarzania danych osobowych opracowuje Administrator przy współpracy z Inspektorem Ochrony Danych.
  11. Przykładowe zgody na przetwarzanie danych osobowych znajdują się w załączniku numer 8 stanowiącym załącznik do Polityki Bezpieczeństwa.
  12. W przypadku powzięcia jakichkolwiek wątpliwości co do ewentualnej zgodności z prawem planowanych działań w zakresie przetwarzania danych, należy zwrócić się do Inspektora Ochrony Danych z wnioskiem o rozstrzygnięcie wątpliwości.
  13. Przed udzieleniem przez Inspektora Ochrony Danych odpowiedzi w przedmiocie istniejących wątpliwości, niedozwolone jest zbieranie danych osobowych i ich utrwalanie, a w przypadku posiadania już danych osobowych, dla których podstawy prawne przetwarzania budzą wątpliwości, wstrzymać wszelkie działania. Dopuszczalne jest natomiast kontynuowanie przetwarzania danych w innych celach, które nie budzą wątpliwości.

§6 POWIERZENIE PRZETWARZANIA DANYCH

  1. Administrator może powierzyć innemu podmiotowi przetwarzanie danych.
  2. Podmiot, któremu dane do przetwarzania powierzono, może przetwarzać dane wyłącznie w zakresie i w celu przewidzianym w umowie.
  3. Podmiot, któremu powierzono przetwarzanie danych, obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające przetwarzanie danych, o których mowa w ustawie oraz w rozporządzeniu.
  4. Wzory oraz propozycje zapisów umownych o powierzenie przetwarzania przygotowuje Inspektor Ochrony Danych z możliwością konsultacji z radcą prawnym wyznaczonym przez Administratora.
  5. W przypadku przedłożenia wzoru umowy przez podmiot przetwarzający, Inspektor Ochrony Danych dokonuje oceny, czy stworzone zostały dostateczne gwarancje ochrony.
  6. Instrukcja dotycząca zasad powierzenia przetwarzania danych osobowych wraz z wzorem rejestru umów powierzenia znajduje się w załączniku numer 9.

§7 PLAN SPRAWDZEŃ ORAZ DOKONYWANIE SPRAWDZEŃ

  1. Inspektor Ochrony Danych celem zapewnienia zgodnego z prawem przetwarzania danych osobowych dokonuje sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowuje sprawozdanie w tym zakresie.
  2. Sprawdzenie jest dokonywane dla Administratora lub Urzędu Ochrony Danych Osobowych. Sprawdzenie może być doraźne, planowe lub na żądanie Urzędu Ochrony Danych Osobowych.
  3. Inspektor Ochrony Danych przygotowuje plan sprawdzenia planowego.
  4. Plan sprawdzeń zawiera przedmiot, zakres, termin sprawdzeń oraz sposób i zakres ich dokumentowania.
  5. Plan sprawdzeń przygotowywany jest na okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany Administratorowi nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.
  6. Sprawdzenia doraźne są zgodne z ustępami 1 i 2 niniejszego paragrafu.
  7. Po zakończeniu sprawdzenia Inspektor Ochrony Danych przygotowuje sprawozdanie.
  8. Sprawozdanie jest sporządzane w postaci elektronicznej albo w postaci papierowej.
  9. Inspektor Ochrony Danych przekazuje Administratorowi sprawozdanie:
    1. ze sprawdzenia planowego — nie później niż w terminie 30 dni od zakończenia sprawdzenia;
    2. ze sprawdzenia doraźnego — niezwłocznie po zakończeniu sprawdzenia;
    3. ze sprawdzenia, o którego dokonanie zwrócił się UODO — zachowując termin wskazany przez UODO.

§8 OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH

  1. Administrator obowiązany jest nadać upoważnienie do przetwarzania danych każdej osobie, która do przetwarzania danych będzie dopuszczona.
  2. Upoważnienie powinno zwierać:
    1. datę, z którą zostało nadane;
    2. datę, z którą upoważnienie wygasa, jeżeli jest ono nadane na czas określony;
    3. zakres upoważnienia określony przez odniesienie do zakresu obowiązków osoby upoważnionej.
  3. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą upływu terminu wypowiedzenia lub rozwiązania umowy zawartej przez Administratora z osobą, której zostało nadane lub w przypadku, gdy zostało nadane na czas określony z upływem czasu, na jaki zostało nadane.
  4. Osoba upoważniona przez Administratora nie ma prawa do nadawania dalszych upoważnień. Umocowaniem właściwym do nadawania upoważnień w imieniu Administratora jest pełnomocnictwo.

§9 EWIDENCJA OSÓB UPOWAŻNIONYCH

  1. Administrator obowiązany jest do prowadzenia ewidencji osób upoważnionych.
  2. Ewidencja może być prowadzona w wersji papierowej lub elektronicznej z możliwością jej wydruku.
  3. Ewidencja zawiera:
    1. imię i nazwisko osoby upoważnionej;
    2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
  4. Wzór ewidencji osób upoważnionych wraz z tekstem upoważnienia stanowi załącznik numer 7.

§10 SZKOLENIA

  1. Administrator organizuje szkolenie dla osób upoważnionych do przetwarzania danych osobowych w zakresie obowiązujących przepisów, procedur oraz podstawowych zagrożeń związanych z przetwarzaniem danych.
  2. Szkolenie w miarę możliwości jest przeprowadzane przed dopuszczeniem osoby upoważnionej do czynności przetwarzania danych oraz przed nadaniem upoważnienia.
  3. Szkolenia prowadzi Administrator, Inspektor Ochrony Danych lub osoba posiadająca wiadomości specjalne z zakresu ochrony danych.
  4. Przeprowadzenie szkolenia może być dokumentowane stosownymi zaświadczeniami.

§11 BUDYNKI, POMIESZCZENIA LUB CZĘŚCI POMIESZCZENIA TWORZĄCE OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE

  1. Administrator przetwarza dane jedynie w pomieszczeniach do tego przeznaczonych w sposób uniemożliwiający dostęp do danych osobom nieuprawnionym.
  2. Obszarami przetwarzania danych są wszystkie pomieszczenia, gdzie Administrator przetwarza dane osobowe i w których prowadzi działalność gospodarczą.

§12 OKREŚLENIE ŚRODKÓW TECHNICZNYCH ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

  1. Każdy, kto przetwarza dane osobowe, obowiązany jest zachować w tajemnicy dane osobowe, do których posiada dostęp, sposoby zabezpieczania danych, jak również wszelkie informacje, które powziął w czasie przetwarzania danych, zarówno w sposób zamierzony, jak i przypadkowy. Obowiązek zachowania danych w tajemnicy jest bezterminowy.
  2. Podczas przetwarzania danych należy zachować szczególną ostrożność i podjąć wszelkie możliwe środki umożliwiające zabezpieczenie oraz ochronę danych przed nieuprawnionym dostępem, modyfikacją, zniszczeniem lub ujawnieniem.
  3. Hasła do oprogramowania i systemów informatycznych wykorzystywanych w firmie są przypisane na zasadzie jeden użytkownik jedno hasło. Zabronione jest ujawnianie haseł innym osobom do tego nieuprawnionym.
  4. Hasła są zmieniane bądź usuwane za każdym razem, gdy osoba z nich korzystająca nie będzie musiała pracować z oprogramowaniem i systemami informatycznymi używanymi w firmie.
  5. Jeżeli zachodzi konieczność korzystania z haseł do aplikacji, gdzie konto jest „przechodnie”, to lista takich kont musi być dostępna tylko osobom, które korzystają z takich aplikacji.
  6. Hasła do systemu informatycznego nie mogą być ujawniane nawet po utracie ich ważności.
  7. Należy dochować należytej staranności podczas przesyłania dokumentów zawierających dane za pomocą środków komunikacji elektronicznej, w szczególności należy upewnić się, czy przesyłane za pomocą poczty elektronicznej dokumenty wysyłane są do właściwego odbiorcy.
  8. W przypadku przesyłania za pomocą środków komunikacji elektronicznej zestawień, spisów czy innych dokumentów zawierających dane osobowe, w szczególności dane wrażliwe, przesyłany dokument należy zaszyfrować, a hasło przesłać innym środkiem komunikacji elektronicznej.
  9. Wszelkie dokumenty zawierające dane osobowe przechowywane są w szafach lub pomieszczeniach zamykanych na klucz.
  10. Osoba będąca dysponentem kluczy jest zobowiązana nie przekazywać kluczy do budynków i pomieszczeń, w których przetwarzane są dane osobom nieuprawnionym, a ponadto obowiązana jest przedsięwziąć działania celem wykluczenia ryzyka ich utraty.
  11. Osoba, która utraciła posiadane klucze do pomieszczeń Administratora, w których przetwarzane są dane, niezwłocznie zgłasza tę okoliczność Inspektorowi Ochrony Danych lub Administratorowi.
  12. Inspektor Ochrony Danych lub Administrator podejmują wszelkie niezbędne środki techniczne i organizacyjne w celu zabezpieczenia pomieszczenia, do którego klucze utracono.
  13. Instrukcja zarządzania dostępem do pomieszczeń znajduje się w załączniku numer 6.
  14. Osoba przetwarzająca dane po zakończeniu pracy porządkuje swoje stanowisko, zabezpieczając dokumenty i nośniki elektroniczne z danymi w specjalnie do tego przeznaczonych szafach lub pomieszczeniach.
  15. Niszczenie dokumentów zawierających dane odbywa się jedynie za pomocą niszczarki gwarantującej odpowiedni stopień rozdrobnienia (zaleca się, aby niszczarka spełniała wymogi normy DIN 66399, klasa bezpieczeństwa nie niższa niż 3) lub za pośrednictwem firmy zajmującej się niszczeniem dokumentów, po zawarciu umowy o powierzeniu przetwarzania danych osobowych.
  16. Każdy dokument zawierający dane, a nieużyteczny niszczy się niezwłocznie.
  17. Podczas korzystania z urządzeń wielofunkcyjnych należy zachować szczególną ostrożność. Dokumenty kopiowane bądź skanowane wyjmowane są z urządzenia wielofunkcyjnego niezwłocznie po ich użyciu. Dotyczy to również dokumentów powstałych na skutek kopiowania bądź skanowania.
  18. Przebywanie osób trzecich w obszarze, w którym przetwarzane są dane, jest dopuszczalne za zgodą Administratora lub w obecności osoby upoważnionej.
  19. Osoby przetwarzające dane osobowe poza budynkami Administratora mogą jedynie korzystać z przydzielonych im firmowych urządzeń cyfrowych.
  20. Nie należy pozostawiać takich urządzeń bez nadzoru pracownika w miejscach, gdzie istnieje ryzyko ich kradzieży bądź też nieautoryzowanego dostępu osób postronnych.
  21. Dopuszcza się pracę poza budynkami Administratora na prywatnych urządzeniach cyfrowych jedynie za zgodą przełożonego, udokumentowaną na piśmie. Zgoda taka może mieć postać elektroniczną i może być przesłana drogą elektroniczną.
  22. Instrukcja ochrony danych poza obszarem przetwarzania stanowi załącznik numer 14.

§13 POSTĘPOWANIE W RAZIE ZAISTNIENIA ZAGROŻENIA DLA BEZPIECZEŃSTWA PRZETWARZANYCH DANYCH OSOBOWYCH LUB NARUSZENIA ZASAD PRZETWARZANIA DANYCH OSOBOWYCH

  1. W przypadku podejrzenia naruszenia zasad bezpieczeństwa danych osobowych lub naruszenia zabezpieczeń stosowanych przez Administratora dla ochrony przetwarzanych danych osobowych należy niezwłocznie zawiadomić Inspektora Ochrony Danych.
  2. W celu usprawnienia komunikacji z Inspektorem Ochrony Danych i rozpoznania okoliczności stwarzających ponadprzeciętne zagrożenie dla danych opracowano Instrukcję Powiadamiania Inspektora Ochrony Danych w załączniku numer 12.
  3. W przypadku opisanym w ust. 1 Inspektor Ochrony Danych może przeprowadzić sprawdzenie doraźne. Sprawdzenie jest dokonywane niezwłocznie.
  4. Instrukcja reagowania na incydenty związane z bezpieczeństwem danych osobowych stanowi załącznik numer 3.
  5. Tabela przykładowych incydentów stanowiących naruszenie przyjętych zasad bezpieczeństwa ujęta jest w załączniku numer 4.
  6. Administrator zgodnie z art. 33 i art. 34 rozporządzenia ma obowiązek informować o incydentach, które istotnie naruszają prawa i wolność osób fizycznych oraz je rejestrować. Rejestr incydentów stanowi załącznik numer 5.

§14 POSTANOWIENIA KOŃCOWE

  1. Dokumentacja przetwarzania danych osobowych stanowi wewnętrzną regulację Administratora i obowiązuje wszystkich pracowników i współpracowników Administratora.
  2. Dokumentacja przetwarzania danych osobowych obowiązuje od dnia jej wprowadzenia w życie w sposób przyjęty u Administratora. Wszelkie zmiany Dokumentacji przetwarzania danych osobowych obowiązują od dnia ich wprowadzenia w życie w sposób przyjęty u Administratora.
  3. Każdy, kto przetwarza dane posiadane przez Administratora, zobowiązany jest do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Dokumentacji przetwarzania danych osobowych.
  4. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub niewykonanie zobowiązania w przypadku stosunku prawnego innego niż stosunek pracy.
  5. W sprawach nieuregulowanych w niniejszej polityce bezpieczeństwa mają zastosowanie przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy Rozporządzenia oraz Ustawy.