Polityka Bezpieczeństwa
§1
Wprowadzenie
- Polityka bezpieczeństwa określa zbiór zasad przetwarzania danych osobowych w MotoAsysta Sp. z o.o. oraz ich zabezpieczania, jako zestaw praw, reguł i zaleceń, regulujących sposób ich zarządzania, ochrony i dystrybucji.
- Celem Polityki jest wdrożenie i realizacja działań przy wykorzystaniu środków technicznych i organizacyjnych, które zapewnią maksymalny poziom bezpieczeństwa w zakresie przetwarzania danych osobowych, chroniąc je przed nieautoryzowanym dostępem, przetwarzaniem z naruszeniem przepisów oraz przed zmianą, uszkodzeniem lub zniszczeniem.
- Przetwarzanie danych osobowych w urządzeniach ewidencyjnych, zbiorach danych oraz systemach informatycznych funkcjonujących w firmie MotoAsysta Sp. z o.o. jest niezbędne do celu wykonywanej działalności gospodarczej.
- Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech:
- poufności – właściwości zapewniającej, że dane nie są udostępniane nieupoważnianym podmiotom,
- integralności – właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- rozliczalności – właściwości zapewniającej, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
- zgodności z prawem – właściwości zapewniającej, że gromadzone są wyłącznie dane niezbędne do właściwego funkcjonowania jednostki.
- Polityka zakłada pełne zaangażowanie wszystkich pracowników firmy MotoAsysta Sp. z o.o. dla zapewnienia bezpieczeństwa danych osobowych przetwarzanych zarówno w sposób tradycyjny (papierowy), jak i w systemach informatycznych czy innych nośnikach danych.
§ 2
Definicje
Administrator Danych Osobowych – Sebastian Pawłowski
Dane osobowe – każda informacja dotycząca osoby fizycznej, która w sposób pośredni lub bezpośredni pozwala ją zidentyfikować, w szczególności poprzez podanie jednego lub kilku specyficznych czynników ją określających
PUODO – Prezes Urzędu Ochrony Danych Osobowych
Naruszenie ochrony danych osobowych – zamierzone lub przypadkowe działanie lub zaniechanie działania, powodujące zagrożenie bezpieczeństwa danych osobowych, przetwarzanych tradycyjnie, jak również z wykorzystaniem systemów informatycznych
Osoba upoważniona – osoba posiadająca imienne upoważnienie wydane przez Administratora Danych Osobowych i dopuszczona jako użytkownik do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu
Osoba trzecia – należy przez to rozumieć, osobę nie będącą pracownikiem i współpracownikiem firmy, dla której nie istnieją podstawy prawne do nadania jej upoważnienia do przetwarzania danych osobowych
Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych
Poufność – właściwość zapewniająca, że dane osobowe dostępne są wyłącznie osobom upoważnionym
Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi
Ustawa – ustawa o ochronie danych osobowych
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych
System informatyczny – zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych
Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie
Zbiór nieinformatyczny – zbiór danych osobowych prowadzony w formie papierowej poza systemem informatycznym.
§ 3
Deklaracja Administratora Danych Osobowych
Administrator danych podejmuje odpowiednie kroki mające na celu zapewnienie prawidłowej ochrony danych osobowych, w szczególności dane osobowe są:
- przetwarzane zgodnie z prawem,
- zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnie z tymi celami,
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
- zabezpieczone środkami technicznymi i organizacyjnymi, które zapewniają rozliczalność, integralność i poufność tych danych.
§ 4
Zarządzanie obszarem ochrony danych osobowych
- Realizację zadań mających na celu zwiększenie skuteczności ochrony danych osobowych powinny zagwarantować następujące założenia:
- przeszkolenie pracowników dopuszczonych do przetwarzania danych w zakresie bezpieczeństwa danych osobowych.
- przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację w systemach informatycznych (np. hasła, identyfikatory), umożliwiających im dostęp do danych osobowych – stosownie do zakresu upoważnienia i indywidualnych poziomów uprawnień.
- okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.
- prowadzenie cyklicznych sprawdzeń, aktualizacja i wdrażanie rozwiązań określonych w wyniku przeprowadzonych sprawdzeń.
- podejmowanie niezbędnych działań, w celu likwidacji słabych ogniw w systemie ochrony danych osobowych.
- śledzenie osiągnięć w dziedzinie bezpieczeństwa fizycznego, bezpieczeństwa systemów informatycznych i – w miarę możliwości organizacyjnych i techniczno-finansowych
- wdrażanie nowych narzędzi i metod pracy oraz sposobów zarządzania, służących wzmocnieniu bezpieczeństwa przetwarzanych danych osobowych.
- Na każdym etapie przetwarzania danych osobowych należy brać pod uwagę, w niezbędnym zakresie, integralność, poufność oraz rozliczalność dla przetwarzanych danych osobowych.
- Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba, przetwarzająca te dane w zakresie zgodnym z zakresem upoważnienia, kompetencjami i rolą sprawowaną w procesie
§ 5
Administrator danych osobowych
- Administrator Danych jest odpowiedzialny za przetwarzanie danych osobowych oraz za ich ochronę zgodnie z przepisami prawa. W tym celu zobowiązany jest do wprowadzenia do stosowania procedur postępowania zapewniających prawidłowe przetwarzanie danych osobowych, rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy, RODO oraz utratą, uszkodzeniem lub zniszczeniem.
- Do kompetencji Administratora Danych należy w szczególności:
- określenie celów i procedur ochrony danych osobowych
- podział zadań i obowiązków związanych z organizacją obszaru ochrony danych osobowych
- Do obowiązków Administratora Danych należy:
- zapewnienie szkoleń dla pracowników w zakresie przepisów o ochronie danych osobowych oraz informowanie o zagrożeniach związanych z ich przetwarzaniem
- przyjmowanie i zatwierdzanie niezbędnych, wymaganych przez przepisy prawa dokumentów regulujących ochronę danych osobowych
- nadawanie pracownikom upoważnień do przetwarzania danych osobowych
- zapewnienie środków finansowych na ochronę pomieszczeń, w których przetwarzane są dane osobowe oraz środków niezbędnych do zapewnienia możliwie najwyższego poziomu bezpieczeństwa danych przetwarzanych w systemach informatycznych
- nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie ochrony danych osobowych.
- reagowanie na zgłaszane incydenty związane z naruszeniem ochrony danych osobowych oraz analizowanie ich przyczyn i kierowanie wniosków dotyczących ukarania winnych naruszeń.
- prowadzenie pełnej dokumentacji związanej z ochroną danych osobowych, zawierającej:
- prowadzenie rejestru przetwarzania danych osobowych,
- ewidencje osób upoważnionych do przetwarzania danych osobowych,
- prowadzenie rejestru naruszeń
§ 6
Informatyk
- Funkcję Administratora Systemów Informatycznych pełni Sebastian Pawłowski.
- Do obowiązków Informatyka należy:
- zabezpieczenie systemów przetwarzania danych osobowych
- nadzór oraz zapewnianie ciągłości działania systemu informatycznego
- reagowanie na przypadki naruszenia bądź powstania zagrożenia bezpieczeństwa danych osobowych
- przeciwdziałanie próbom naruszenia bezpieczeństwa danych osobowych
- zapewnienie zgodności wszystkich wdrażanych systemów przetwarzania danych osobowych z Ustawą, RODO oraz z niniejszą Polityką bezpieczeństwa i Instrukcją Zarządzania Systemem Informatycznym
- instalację oraz konfigurację oprogramowania, sprzętu sieciowego i serwerowego używanego do przetwarzania danych osobowych
- konfigurację i administrację oprogramowaniem systemowym i sieciowym zabezpieczającym dane osobowe przed nieupoważnionym dostępem
- nadzór nad czynnościami związanymi ze sprawdzaniem systemu pod kątem obecności szkodliwego oprogramowania
- nadzór nad systemem komunikacji w sieci komputerowej
- nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe
- przyznawanie na wniosek oraz za zgodą Administratora Danych ściśle określonych praw dostępu do danych osobowych w danym systemie
- wprowadzanie, aktualizację i usuwanie praw dostępu do systemu informatycznego, tworzenie związanych z tym kont użytkowników, przydział identyfikatorów i haseł dostępu oraz ich aktualizację
- podejmowanie odpowiednich działań w przypadku, gdy istnieje zagrożenie dla bezpieczeństwa systemu informatycznego
- świadczenie pomocy technicznej w ramach oprogramowania a także serwis sprzętu komputerowego będącego na stanie przedsiębiorstwa, służącego do przetwarzania danych osobowych
- diagnozowanie i usuwanie awarii sprzętu komputerowego
- wykonywanie i zarządzanie kopiami zapasowymi oprogramowania systemowego (w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie) i sieciowego.
- nadzór nad wdrożeniem i zarządzanie systemami Informatycznymi (przeglądanie, nadawanie i odbieranie uprawnień użytkownikom, itp.), w których przetwarza się dane osobowe.
§ 7
Osoby upoważnione do przetwarzania danych osobowych
- Pracownicy odpowiedzialni są za bezpieczeństwo danych, do których mają dostęp zgodnie z przyznanymi upoważnieniami.
- Do obowiązków pracowników należy:
- informowanie o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach
- postępowania zgodnie z przyjętą Polityką
- zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia
- ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem
- ścisłego przestrzegania zakresu nadanego upoważnienia do przetwarzania danych osobowych
- przestrzeganie zasad związanych z otwieraniem i zamykaniem pomieszczeń, w których przetwarzane są dane osobowe a także z wejściem do tych obszarów osób nieupoważnionych
- informowanie Administratora Danych o podejrzanych osobach w obszarze, gdzie przetwarzane są dane osobowe.
- W przypadku naruszenia przepisów lub zasad postępowania, osoba upoważniona do przetwarzania danych osobowych podlega odpowiedzialności służbowej i karnej. Naruszenie zasad ochrony danych osobowych a także sposobu ich zabezpieczania, może skutkować postawieniem pracownikowi zarzutu popełnienia przestępstwa określonego w Ustawie lub przestępstwa określonego w art. 266 Kodeksie Karnym.
§8
Zasady zabezpieczania dostępu do danych osobowych
- W celu ochrony danych pracownicy podczas przetwarzania danych osobowych winni uwzględniać następujące zasady:
- wykorzystywać techniki kryptograficzne do ochrony poufności, integralności i rozliczalności danych osobowych przesyłanych publicznymi sieciami telekomunikacyjnymi
- chronić dane osobowe przed przechwyceniem, kopiowaniem, modyfikacją lub zniszczeniem
- stosować zabezpieczenia i ograniczenia związane z przekazywaniem wiadomości za pomocą środków komunikacji, np. automatyczne przekazywanie poczty elektronicznej na zewnątrz
- zakaz pozostawiania informacji zawierających dane osobowe przy urządzeniach drukujących, do których mogą mieć dostęp osoby nieupoważnione
- upewnić się, że rozmówcą jest osoba upoważniona do uzyskania określonych danych osobowych
- zachowanie szczególnej ostrożności w trakcie rozmów telefonicznych
- przestrzegać zasady ’ czystego biurka” i „czystego ekranu”
- wykorzystywać sprzęt komputerowy oraz zainstalowane na nim oprogramowania wyłącznie do celów służbowych,
- przestrzegać ustalonej polityki haseł oraz utrzymywania w tajemnicy szczegółów technologicznych systemów teleinformatycznych
- powiadomienia Informatyka o wykryciu szkodliwego oprogramowania oraz zainfekowanych danych niezależnie od źródła
§9
Wykaz budynków, pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe
- Dane osobowe w firmie MotoAsysta Sp. z o.o. mogą być przetwarzane wyłącznie w pomieszczeniach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe zlokalizowane w budynkach firmy.
- Do pomieszczeń przetwarzania danych osobowych zalicza się:
- pomieszczenia biurowe, w których znajdują się stacje robocze
- pomieszczenia, w których przechowywane są dokumenty czy wydruki z systemu informatycznego
- pomieszczenia, w których znajdują się zbiory nieinformatyczne
- pomieszczenia, w których znajdują się sprawne oraz uszkodzone elektroniczne nośniki informacji oraz kopie zapasowe.
- Samodzielny dostęp do pomieszczeń wchodzących w skład obszaru przetwarzania danych, z wyjątkiem serwerowni i udostępniania danych, mają osoby upoważnione do przetwarzania danych osobowych w MotoAsysta Sp. z o.o. Budynki lub pomieszczenia, w których przetwarzane są dane osobowe winny być zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym.
§10
Środki ochrony danych osobowych
- Administrator Danych Osobowych stosuje środki techniczne oraz organizacyjne niezbędne do zapewniające ochronę przetwarzania danych osobowych mając na celu:
- zabezpieczenie danych przed udostępnianiem osobom nieupoważnionym,
- zapobieganie przed zabraniem danych przez osobę nieuprawnioną,
- zapobieganie przetwarzania danych z naruszeniem przepisów oraz nieuprawnionej zmianie, utracie uszkodzeniu lub zniszczeniu tych danych
- W zakresie środków organizacyjnych i technologicznych niezbędnych do zapewnienia poufności, integralności i rozliczalności danych przetwarzanych w MotoAsysta Sp. z o.o. wdraża się:
- Politykę bezpieczeństwa
- Środki ochrony fizycznej obejmują:
- nadzorowanie pobytu osób nie będących pracownikami firmy w obszarach bezpiecznych przez pracowników
- przechowywanie zbiorów danych osobowych w odpowiednio zabezpieczonych pomieszczeniach na klucz
- Środki ochrony osobowej obejmują:
- dopuszczenie do danych osobowych wyłącznie osób posiadających imienne upoważnienie do przetwarzania danych osobowych wydane przez Administratora Danych Osobowych
- przeszkolenie pracowników z zakresu ochrony danych osobowych
- odebranie stosownych oświadczeń o zachowaniu w poufności danych osobowych.
Środki ochrony technicznej obejmują:
- mechanizmy i procedury kontroli dostępu do systemów i zasobów
- zabezpieczenie przed dostępem do danych zawartych w systemach informatycznych w postaci procedur nadawania uprawnień do systemu informatycznego,
- zabezpieczania stacji roboczych przed samodzielną zmianą konfiguracji systemu operacyjnego oraz możliwości instalowania i usuwania przez użytkowników programów do stacji roboczych
- stosowanie środków wykrywania szkodliwego oprogramowania, w tym stosowanie oprogramowania antywirusowego wraz z procedurami stosowania w/w środków,
- niszczenie zbędnych wydruków przy użyciu niszczarki,
- stosowanie systemów informatycznych umożliwiających identyfikację użytkownika przez uwierzytelnienie,
- zastosowanie systemów Firewall, Kaspersky Internet Security chroniących dostęp do sieci, w której przetwarzane są dane osobowe, zapewniających kontrolę przepływu informacji pomiędzy systemem informatycznym przetwarzającym dane osobowe, a siecią publiczną
- tworzenia kopii zapasowych
- stosowanie urządzeń służących do zasilania awaryjnego serwerów,
- wykonywania regularnych przeglądów wdrożonych zabezpieczeń systemów informatycznych,
§11
Zasady ochrony zbiorów nieinformatycznych.
- Osoby, które zostały upoważnione do przetwarzania danych osobowych obowiązane są zachować w tajemnicy dane oraz sposoby ich zabezpieczenia, jak też do przestrzegania obowiązujących zasad bezpieczeństwa
- Dokumenty i wydruki zawierające dane osobowe należy przechowywane
w zamykanych pomieszczeniach, do których dostęp mają jedynie uprawnione osoby. - Na czas nieużytkowania dokumenty i wydruki zawierające dane osobowe winny być zamykane w szafkach biurowych lub zamykanych szufladach.
- Wydruki robocze, błędne lub zdezaktualizowane winny być niezwłocznie niszczone przy użyciu niszczarki do papieru lub w inny sposób zapewniający skuteczne ich usunięcie lub zanonimizowanie.
§ 12
Ewidencja osób upoważnionych do przetwarzania danych osobowych
- Pracownicy mają prawo do przetwarzania danych osobowych wyłącznie po uzyskaniu formalnego upoważnienia do przetwarzania danych osobowych, wystawionego przez Administratora Danych Osobowych lub osoby przez niego wyznaczonej do wydawania upoważnień.
- W tym celu Administrator Danych Osobowych przed dopuszczeniem pracownika do pracy przy przetwarzaniu danych osobowych:
- zapoznaje pracownika z przepisami dotyczącymi ochrony danych osobowych oraz uregulowaniami wewnętrznymi obowiązującymi w firmie
- wystawia pracownikowi formalne upoważnienie do przetwarzania danych osobowych, zgodnie ze wzorem upoważnienia stanowiącym załącznik nr 1 do niniejszej Polityki
- przyjmuje od pracownika podpisane oświadczenie o zachowaniu w poufności danych osobowych i sposobów ich zabezpieczenia, zgodnie ze wzorem oświadczenia stanowiącym załącznik nr 2 do niniejszej Polityki
- Upoważnienia i oświadczenia, o którym mowa powyżej przechowuje się w aktach osobowych pracownika.
- Osoby upoważnione do przetwarzania danych osobowych powinny być wpisywane do ewidencji. Ewidencja osób upoważnionych do przetwarzana danych osobowych powinna być prowadzona przez Administratora Danych (wzór ewidencji stanowi załącznik nr 3). Ewidencja osób upoważnionych do przetwarzania danych osobowych winna być przechowywana w szafie zamykanej, do której dostęp ma ADO lub osoba upoważniona przez Administratora Danych Osobowych.
§ 13
Opis struktury zbiorów danych osobowych
- Dane osobowe mogą być przetwarzane w zbiorach danych, przy zastosowaniu systemów informatycznych oraz zbiorów ewidencyjnych w postaci tradycyjnej (kartotek, wydruków, ksiąg i wykazów).
- Zawartość pól informacyjnych występujących w systemach zastosowanych w celu przetwarzania danych osobowych, musi być zgodna z przepisami prawa, które uprawniają lub zobowiązują Administratora Danych Osobowych do przetwarzania danych osobowych.
- Przepływ danych pomiędzy systemami zastosowanymi w celu przetwarzania danych osobowych może odbywać się w postaci przepływu jednokierunkowego lub przepływu dwukierunkowego. Przepływ jednokierunkowy oznacza, że system informatyczny udostępnia dane ze zbioru (bazy) danych tylko w trybie „do odczytu”. Przepływ dwukierunkowy umożliwia upoważnionemu użytkownikowi korzystanie z danych w trybach „do odczytu” i „do zapisu”, tj. umożliwia wprowadzanie nowych danych i modyfikację istniejących.
- Przesyłanie danych pomiędzy systemami może odbywać się w sposób manualny (papierowy) lub w sposób półautomatyczny, przy wykorzystaniu funkcji eksportu/ importu danych za pomocą teletransmisji.
- Rejestr czynności przetwarzania danych osobowych prowadzony jest na bieżąco w postaci pliku excel w formie elektronicznej, przez upoważnionego pracownika.
§14
Udostępnienie danych osobowych
- Dane osobowe mogą być udostępniane podmiotom uprawnionym do ich otrzymania
na mocy przepisów prawa. - Udostępnianie danych osobowych osobie nieupoważnionej do przetwarzania danych osobowych, może nastąpić wyłącznie za zgodą Administratora Danych Osobowych. Zgoda może dotyczyć również udostępniania danych osobowych w przyszłości. Zarówno wniosek jak i zgoda powinny być wystosowane z zachowaniem formy pisemnej lub elektronicznej.
- Udostępniając dane osobowe należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
- Na pisemny wniosek pochodzący od osoby, której dane dotyczą, informacje o osobie powinny być udzielone w terminie 30 dni od daty złożenia wniosku.
- Odpowiedź na wniosek o udostępnienie danych osobowych przed wysłaniem jest akceptowana a następnie podpisywana przez Administratora Danych lub osobę przez niego do tego upoważnioną.
- W sytuacji otrzymania:
- wniosku o udostępnienie danych osobowych
- wniosku o sprostowanie danych osobowych,
- wniosku o usuniecie danych osobowych,
- wniosku o ograniczenie przetwarzania danych osobowych
- złożenia sprzeciwu co do przetwarzania danych osobowych
- wniosku o przeniesienie danych osobowych od osoby, której one dotyczą, ADO lub upoważniony pracownik przygotowuje odpowiedź bez zbędnej zwłoki, nie dłużej w ciągu 30 dni.
§15
Powierzanie przetwarzania danych osobowych
- Powierzenie przetwarzania danych osobowych występuje wówczas, gdy podmioty zewnętrzne współpracujące z firmą mają dostęp do danych osobowych przetwarzanych w jednostce.
- Powierzenie może mieć miejsce wyłącznie poprzez podpisanie stosownej pisemnej umowy powierzenia pomiędzy Administratorem Danych a podmiotem, któremu powierzono przetwarzanie danych osobowych.
§16
Naruszenie ochrony danych osobowych
- Każdy pracownik w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować bezpośrednio przełożonego lub Administratora Danych Osobowych.
- Naruszenie ochrony danych osobowych może polegać w szczególności na:
- naruszeniu poufności poprzez niedozwolone lub przypadkowe ujawnienie lub dostęp do danych osobowych
- naruszenie dostępności poprzez niedozwoloną lub przypadkową utratę dostępu do danych osobowych lub zniszczenie ich
- naruszenie integralności poprzez niedozwoloną lub przypadkową zmianę danych osobowych
- Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
- niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
- niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
- nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ ekranu, ochrony haseł, niezamykanie pomieszczeń, biurek, szaf)
- Do typowych incydentów bezpieczeństwa danych osobowych należą:
- zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)
- zdarzenie losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zgubienie danych)
- umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania)
- W przypadku stwierdzenia zagrożenia ADO prowadzi postępowanie wyjaśniające w toku, którego:
- ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki
- inicjuje działania zapobiegawcze zmierzające do eliminacji podobnych zagrożeń w przyszłości,
- inicjuje działania dyscyplinarne
- dokumentuje prowadzone postępowanie
- w przypadku stwierdzenia incydentu ADO bądź upoważniony przez niego pracownik bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (PUODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
- ADO lub upoważniony przez niego pracownik bez zbędnej zwłoki powiadamia podmiot danych o naruszeniu ochrony danych osobowych, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Powiadomienie podmiotu nie jest wymagane, w następujących przypadkach:
- administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą̨, o którym mowa w ust. 1;
- wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą̨ którego osoby, których dane dotyczą̨, zostają̨ poinformowane w równie skuteczny sposób.
- Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze w rejestrze naruszeń (prowadzony w formie elektronicznej w pliku exel).
§17
Postanowienia końcowe
- Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce może być podstawą rozwiązania stosunku pracy bez wypowiedzenia, z osobą która dopuściła się naruszenia.
- W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz powszechnie obowiązujące przepisy regulujące ochronę danych osobowych.