POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W MAYART
Część I – Wstęp
- 1
- Celem wprowadzenia Polityki Bezpieczeństwa Ochrony Danych Osobowych (dalej: „Polityka” lub „Polityka Bezpieczeństwa”) jest zapewnienie zgodności działania Marii Chrostowskiej-Słaby, prowadzącej działalność gospodarczą pod firmą Maria Chrostowska-Słaby „Mayart”, z siedzibą w Poznaniu (60-848), przy ul. Poznańskiej, nr 1, lok. 35, zarejestrowanej w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającej numer identyfikacji podatkowej NIP: 7791165639 oraz numer identyfikacyjny REGON: 630720784 (dalej: „MAYART”), jako Administratora Danych Osobowych
z przepisami prawa regulującymi kwestię administrowania i przetwarzania danych osobowych, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). - Polityka Bezpieczeństwa opisuje w szczególności zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.
- Polityka ma zastosowanie do wszystkich:
- danych osobowych przetwarzanych przez MAYART, zarówno w przypadku, gdy jest administratorem, jak i w sytuacji, gdy przetwarza dane powierzone na podstawie umów powierzenia przetwarzania danych osobowych;
- nośników informacji, np. papierowych, magnetycznych, optycznych itp., na których są lub będą znajdować się dane osobowe, lokalizacji – budynków i pomieszczeń MAYART, w których są lub będą przetwarzane dane osobowe;
- osób stanowiących personel MAYART;
- innych osób mających dostęp do danych osobowych.
- Osoby stanowiące personel MAYART oraz wszystkie inne mające dostęp do danych osobowych zobowiązane są do zapoznania się i przestrzegania postanowień Polityki.
- MAYART dokonuje bieżącego monitorowania i sprawdzania przestrzegania przepisów
i procedur ochrony danych osobowych. Polityka powinna być poddawana bieżącej aktualizacji, ale nie rzadziej niż raz do roku. - MAYART przeprowadza szacowanie ryzyka naruszenia ochrony danych osobowych, poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko szacowane jest na podstawie obiektywnej oceny, w ramach której stwierdza się,
czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. Na tej podstawie MAYART wdraża środki minimalizujące ryzyko, zapewniające odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniające stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, MAYART bierze pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych. - Ochrona danych osobowych realizowana jest poprzez stosowanie zabezpieczeń w postaci środków organizacyjnych, środków ochrony fizycznej oraz środków technicznych systemu informatycznego w ramach procedur zawartych w Polityce.
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w MAYART rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie, przy uwzględnieniu wielkości ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów:
- poufność danych – zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom;
- integralność danych – zapewnienie, że dane nie zostały zmienione lub zniszczone
w sposób nieautoryzowany; - dostępność danych – zapewnienie osiągalności danych i możliwości ich wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot;
- rozliczalność danych – zapewnienie, że działania podmiotu mogą być przy pisane
w sposób jednoznaczny tylko temu podmiotowi; - autentyczność danych – zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana;
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania
i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych; - legalność (zgodności z prawem), rzetelność i przejrzystość – rozumiane jako przetwarzanie danych osobowych zgodnie z prawem (w szczególności z uwzględnieniem podstawy prawnej przetwarzania), rzetelnie i w sposób przejrzysty dla podmiotów danych. MAYART realizuje w pełni obowiązki informacyjne wobec podmiotów danych wynikające z przepisów prawa, w tym w szczególności informuje podmioty danych
o prowadzeniu operacji przetwarzania dotyczących ich danych i celach przetwarzania. Wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych są łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem; - ograniczenie celu przetwarzania – dane osobowe zbierane są w ramach MAYART wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach, o których informowane są podmioty danych oraz nie są przetwarzane dalej w sposób niezgodny
z tymi celami; - minimalizacja danych – MAYART przetwarza wyłącznie dane osobowe adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Dane osobowe przetwarzane są tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami;
- prawidłowość przetwarzania – MAYART zapewnia, że dane osobowe przez nią przetwarzane są prawidłowe i w razie potrzeby uaktualniane; MAYART podejmuje wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
- zasady ograniczenia przechowywania – MAYART zapewnia, że dane osobowe przechowywane są w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe mogą być przechowywane przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem
że MAYART zobowiązana będzie wdrożyć odpowiednie środki techniczne
i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą.
Część II – Zasady przetwarzania i ochrony danych osobowych
- 1
Każda osoba, mająca dostęp do danych osobowych przetwarzanych w MAYART jest zobowiązana do zapoznania się z niniejszym dokumentem.
- 2
- Obszarem przetwarzania danych osobowych przez MAYART jest każdorazowy adres siedziby MAYART.
- Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe (zwany dalej „obszarem przetwarzania”) stanowi załącznik nr 1 do niniejszego dokumentu.
- 3
MAYART prowadzi rejestr czynności przetwarzania danych (a działając jako podmiot przetwarzający – rejestr kategorii przetwarzania), dokumentację wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, skutków naruszenia oraz podjętych działań zaradczych, dokumentację oceny skutków dla ochrony danych.
- 4
- Osoby, które przetwarzają w MAYART dane osobowe, muszą posiadać pisemne upoważnienie do przetwarzania danych nadane przez Administratora Danych Osobowych wraz z oświadczeniem o zachowaniu poufności tych danych, którego wzór stanowi załącznik nr 2 do niniejszego dokumentu.
- MAYART prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych
i aktualizuje ją na bieżąco, a także przechowuje upoważnienia, o których mowa w ust. 1. - Każda osoba działająca z upoważnienia MAYART i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie MAYART, chyba że wymagają tego przepisy prawa.
- Każda osoba posiadająca upoważnienie do przetwarzania danych osobowych posiada unikalny login i hasło, pozwalające na zalogowanie się do systemu informatycznego,
w którym przetwarzane są dane osobowe i zapewniające rozliczalność danych. - Osoby upoważnione do przetwarzania danych mają obowiązek:
- przetwarzać je zgodnie z obowiązującymi przepisami, w szczególności z RODO
i przepisami krajowymi; - nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym;
- zabezpieczać je przed zniszczeniem.
- 5
- Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych, której wzór stanowi załącznik nr 3 do niniejszego dokumentu.
- Rodzaj podmiotów, którym MAYART powierzył przetwarzanie danych osobowych wskazano w rejestrze czynności przetwarzania, stanowiącym załącznik nr 4 do niniejszej Polityki.
- MAYART, jako podmiot przetwarzający dane osobowe powierzone mu przez innego administratora danych osobowych, przestrzega obowiązków określonych w umowie powierzenia przetwarzania. MAYART prowadzi rejestr kategorii przetwarzania.
- MAYART dba i nadzoruje, by udostępnianie i powierzanie do przetwarzania danych osobowych innym podmiotom odbywało się zgodnie z obowiązującymi przepisami prawa
i poszanowaniem praw podmiotów danych.
- 6
Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia.
- 7
- Dokumenty zawierające dane osobowe przechowywane w formie papierowej, upoważnione osoby przechowują w obszarze przetwarzania danych w pomieszczeniu zamykanym na klucz.
- W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce.
- Pomieszczenia tworzące obszar przetwarzania danych osobowych oraz dokumenty zawierające dane osobowe należy zabezpieczyć na czas nieobecności pracowników,
w sposób uniemożliwiający dostęp do nich osób trzecich.
- 8
Nadzór nad przetwarzaniem danych osobowych w MAYART sprawuje osobiście Maria Chrostowska-Słaby. Podmioty danych mogą kontaktować się z Marią Chrostowską-Słaby we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz
z wykonywaniem praw przysługujących im na mocy obowiązujących przepisów. Maria Chrostowska-Słaby jest zobowiązana w szczególności do:
- informowania podmiotów przetwarzających dane osobowe powierzone przez MAYART oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy obowiązujących przepisów o ochronie danych i doradzanie im w tej sprawie;
- monitorowania przestrzegania obowiązujących przepisów o ochronie danych oraz niniejszej Polityki, jak również innych dokumentów w MAYART lub przez podmiot przetwarzający w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielania na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- wypełniania swoich zadań z należytym uwzględnieniem ryzyka związanego
z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
- 9
- Obowiązki osoby odpowiedzialnej za systemy informatyczne, w tym służące do przetwarzania danych osobowych obejmują:
- wdrażanie zasad ochrony danych osobowych określonych w Polityce i dokumentach
z nią związanych; - zapewnienie prawidłowej eksploatacji systemu, zgodnie z celami przetwarzania danych osobowych;
- realizację wytycznych MAYART w zakresie ochrony danych osobowych przetwarzanych z wykorzystaniem środków informatycznych;
- informowanie MAYART o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych;
- szkolenie użytkowników systemu informatycznego w zakresie procedur i instrukcji zapewniających ochronę danych osobowych;
- wyjaśnianie wszystkich zgłoszonych nieprawidłowości i incydentów;
- przegląd, konserwację oraz uaktualnienie systemów służących do przetwarzania danych;
- kontrolę bezpieczeństwa w sieci komputerowej;
- nadawanie, zmiany lub pozbawianie uprawnień dostępu do systemu informatycznego;
- nadzorowanie ochrony antywirusowej;
- wykonywanie kopii bezpieczeństwa.
- wdrażanie zasad ochrony danych osobowych określonych w Polityce i dokumentach
- Obowiązki pracowników MAYART obejmują:
- przestrzeganie zasad ochrony danych osobowych określonych w Polityce i dokumentach z nią związanych;
- realizowanie wytycznych Marii Chrostowskiej-Słaby w zakresie ochrony danych osobowych;
- informowanie Marii Chrostowskiej-Słaby o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych;
- informowanie Marii Chrostowskiej-Słaby o naruszeniach ochrony danych osobowych.
- 10
- MAYART przekazuje podmiotom danych wszystkie informacje wymagane przepisami prawa, w tym w szczególności informacje o prowadzeniu operacji przetwarzania i jego celach oraz uprawnieniach podmiotu danych. MAYART informuje podmioty danych również o fakcie profilowania oraz konsekwencjach profilowania i prawie złożenia sprzeciwu. W ramach obowiązku informacyjnego, MAYART:
- prowadzi komunikację z podmiotem danych i przekazuje mu informacje w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny;
- ułatwia podmiotom danych wykonywanie ich praw;
- nieodpłatnie udziela podmiotom danych informacji, również na ich żądanie;
- weryfikuje tożsamość osób wnoszących żądania udzielenia informacji.
- MAYART, w szczególności poprzez zastosowanie odpowiednich narzędzi, w tym przystosowanie systemu informatycznego, realizuje uprawnienia podmiotów danych do:
- przenoszenia danych;
- dostępu do danych;
- sprostowania i uzupełnienia danych;
- usunięcia danych (prawo do bycia zapomnianym);
- ograniczenia przetwarzania;
- przenoszenia danych;
- sprzeciwu;
- niepodlegania profilowaniu.
- Realizując prawa podmiotów danych MAYART w szczególności:
- potwierdza, czy przetwarzane są dane osobowe dotyczące danej osoby fizycznej,
a jeżeli ma to miejsce, udziela wskazanych przepisami prawa informacji; - ułatwia podmiotowi danych wykonywanie jego praw;
- informuje podmiot danych o działaniach jakie podjął, w związku z jego żądaniami opartymi o wykonywanie jego praw;
- uzasadnia odrzucenie żądania podmiotu danych i poucza go o prawie skargi;
- umożliwia dostęp do danych podmiotu danych;
- dokonuje sprostowania i uzupełniane danych;
- usuwa dane;
- ogranicza przetwarzanie danych;
- powiadamia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu ich przetwarzania;
- dokonuje przenoszenia danych;
- zaprzestaje stosowania profilowania.
- 11
- MAYART uwzględnia zasady ochrony danych osobowych już w fazie projektowania rozwiązań (zasada privacy by design).
- MAYART już na początkowym etapie prac nad przyjmowanymi rozwiązaniami zarówno
w ramach procesów biznesowych, jak i w ramach rozwiązań systemu informatycznego, bierze pod uwagę kwestię ewentualnego przetwarzania danych osobowych w ramach danego projektu/towaru/usługi, a także planuje zastosowanie adekwatnych do ryzyka środków organizacyjnych i technicznych. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, MAYART – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa podmiotów danych. Zasady poszanowania prywatności i ochrony danych osobowych wpisano w architekturę systemu informatycznego oraz procesy biznesowe obsługiwane przez ten system i stosowane są przy projektowaniu każdego nowego rozwiązania przyjętego w MAYART. Wszyscy pracownicy, w szczególności zaś pracownicy odpowiedzialni za kształt systemu informatycznego, zobowiązani są do analizowania każdego nowego rozwiązania przez pryzmat zasady privacy by design.
- 12
MAYART wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (zasada privacy by default – domyślna ochrony danych). MAYART wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają,
by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych. W tym celu MAYART stosuje zasadę minimalizacji zakresu przetwarzania danych osobowych i zasadę, zgodnie z którą zmiana i rozszerzenie celu przetwarzania następuje tylko na podstawie zgody lub przepisów (w tym art. 6 ust. 4 RODO). MAYART przyjął ograniczenie okresu przetwarzania danych osobowych w taki sposób,
aby był on możliwie najkrótszy, tj. adekwatny do celów przetwarzania danych osobowych. Przy czym okresy retencji ustalane są przez RODO z uwzględnieniem realizacji celów, dla których przetwarzane są dane osobowe, okresu przedawnienia ewentualnych roszczeń wynikających
z ww. celów oraz ewentualnych wymogów prawnych w zakresie przechowywania danych osobowych. Nadto, w ramach zasady privacy by default MAYART zapewnia, że dane osobowe udostępniane są tylko na podstawie przepisów prawa lub zgody podmiotu danych i tylko tam, gdzie to niezbędne, dla realizacji celu, świadczenia usługi itp. Dane osobowe nie są upubliczniane osobom nieuprawnionym.
- 13
MAYART zobowiązany jest także do:
- zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych;
- oceny skutków dla ochrony danych osobowych.
Część III – Środki techniczne i organizacyjne służące ochronie danych osobowych
- 1
- Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst
i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, MAYART wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
- Osoby odpowiedzialne za nadawanie i odbieranie uprawnień do przetwarzania danych osobowych w systemie informatycznym to: Maria Chrostowska-Słaby lub inna upoważniona osoba.
- Osoba nadająca uprawnienie, po nadaniu dostępu, przekazuje użytkownikowi login i hasło w sposób uniemożliwiający dostęp do niego oraz zapoznanie się z nim przez osoby do tego nieuprawnione.
- Użytkownik-pracownik dokonuje uwierzytelniania się w systemie informatycznym
w oparciu o login oraz hasło. - Procedura zmiany uprawnień odbywa się w analogiczny sposób, jak procedura nadawania uprawnień.
- Odbiór uprawnień następuje m.in. gdy zajdzie jedna z poniższych sytuacji:
- ustanie stosunku pracy lub zakończenie współpracy na podstawie umowy cywilnoprawnej;
- zmiana zakresu obowiązków;
- uzasadnione ryzyko nadużycia.
- Login i hasło zmieniane są regularnie, nie rzadziej niż 30 dni. Maria Chrostowska-Słaby lub upoważniona osoba blokuje dostęp do systemu informatycznego w przypadku powzięcia informacji, iż osoby postronne mogły wejść w posiadanie loginu oraz hasła. W takim przypadku nadawany jest nowy login i hasło, bądź nowe hasło. W przypadku, gdy użytkownik zapomni loginu lub hasła, informuje o tym niezwłocznie Marię Chrostowską-Słaby.
- Przed przystąpieniem do pracy w systemie informatycznym, bezpośrednio, bądź za pośrednictwem stacji roboczej, osoba upoważniona:
- loguje się do systemu informatycznego za pomocą udostępnionego loginu oraz hasła;
- uruchamia aplikację umożliwiającą dostęp do danych osobowych.
- Hasło należy wprowadzać w taki sposób, aby uniemożliwić zapoznanie się z nim osobom nieupoważnionym. Podczas przerwy w pracy z systemem informatycznym, osoba upoważniona zobowiązana jest wylogować się z systemu, tak aby system informatyczny był niedostępny w czasie przerwy w pracy dla osób nieuprawnionych. Kończąc pracę
z systemem informatycznym należy się wylogować i następnie zamknąć aplikację umożliwiającą dostęp do danych osobowych. - Osoba upoważniona korzystająca z komputera przenośnego umożliwiającego dostęp do danych osobowych, zobowiązana jest do zachowania szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych osobowych, w tym w szczególności obowiązana jest stosować środki ochrony kryptograficznej przetwarzanych danych osobowych.
- Mayart zapewnia, że system informatyczny rejestruje:
- operacje wykonywane na przetwarzanych danych osobowych;
- przesyłanie danych osobowych pomiędzy użytkownikami oraz do obiorców;
- nieudane próby dostępu do systemu informatycznego oraz nieprawidłowe próby wykonywania operacji na danych osobowych;
- błędy w działaniu systemu informatycznego podczas pracy danej osoby upoważnionej.
- System zapewnia poufność, integralność, dostępność i odporność systemu informatycznego w zakresie przetwarzania danych osobowych.
- Maria Chrostowska-Słaby lub inna upoważniona osoba tworzy lub nadzoruje proces tworzenia kopii bezpieczeństwa baz danych zawierających dane osobowe oraz oprogramowania służącego do ich przetwarzania. Kopie bezpieczeństwa przechowywane są w taki sposób, aby osoby nieupoważnione nie mogły uzyskać do nich dostępu.
- Dane osobowe zapisane na elektronicznych nośnikach informacji (dysk twardy, płyta CD, DVD, pendrive lub inne) mogą być wynoszone poza obszar przeznaczony do przetwarzania danych osobowych wyłącznie po ich zabezpieczeniu zapewniającym poufność i integralność zawartych na nich danych, realizowanym w szczególności poprzez zabezpieczenie dostępu do danych osobowych utrwalonych na nośniku za pomocą hasła. Przenośne nośniki informacji przechowywane są w pomieszczeniu znajdującym się
w obszarze przetwarzania danych osobowych w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym. Usunięcie danych z elektronicznego nośnika informacji polega na fizycznym zniszczeniu nośnika z zastrzeżeniem zdania następnego. Usunięcie danych zapisanych na elektronicznych nośnikach informacji, których zniszczenie jest ekonomicznie nieuzasadnione (dysk twardy, pendrive), polega na ich wykasowaniu w taki sposób, aby nie można było ich odzyskać. - W przypadku zaistnienia konieczności wykonania wydruku z systemu informatycznego zawierającego dane osobowe, z wydrukami należy postępować w sposób właściwy danych osobowych w postaci papierowej (nieelektronicznej), w tym w szczególności należy je przechowywać w sposób uniemożliwiający zapoznanie się z nimi osobom postronnym. Wydruki podlegają zniszczeniu niezwłocznie po ich wykorzystaniu zgodnie z celem, dla którego zostały wykonane. Wydruki należy niszczyć za pomocą urządzenia do niszczenia dokumentów.
- System informatyczny podłączony do sieci publicznej (np. Internet) chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń (np. firewall). System informatyczny jest zabezpieczony przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawionego dostępu oraz przed działaniami inicjowanymi z sieci zewnętrznej. Zabezpieczenie obejmuje:
l.p. |
Obszar chroniony |
Rodzaj ochrony |
Typ |
1. |
Stacje robocze |
|
|
2. |
Sieć wewnętrzna |
|
|
3 |
Poczta e-mail |
|
- System informatyczny jest automatycznie skanowany z częstotliwością . Aktualizacja bazy wirusów odbywa się poprzez automatyczne pobieranie bazy wirusów przez program antywirusowy. W przypadku wykrycia wirusa należy:
- uruchomić program antywirusowy i skontrolować użytkowany system;
- usunąć wirusa z systemu przy wykorzystaniu programu antywirusowego. Jeżeli operacja usunięcia wirusa się nie powiedzie, należy:
- zakończyć pracę w systemie komputerowym;
- odłączyć zainfekowany komputer od sieci;
- powiadomić o zaistniałej sytuacji Marię Chrostowską-Słaby.
- W przypadku zastosowania zabezpieczeń logicznych, obejmują one co najmniej:
- kontrolę przepływu informacji pomiędzy systemem informatycznym a siecią publiczną;
- kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego.
- System informatyczny, jak i każda stacja robocza wyposażona jest w oprogramowanie antywirusowe umożliwiające również wykrywanie złośliwego oprogramowania oraz oprogramowania szpiegującego. System informatyczny zapewnia na bieżąco aktualizację definicji wirusów oraz bazy złośliwego i szpiegującego oprogramowania.
- Zabrania się używania w systemie informatycznym nośników niewiadomego pochodzenia bez uprzedniego zweryfikowania ich za pomocą programu, o którym mowa w pkt. 19 powyżej.
- Zabrania się pobierania za pomocą stacji roboczych z sieci publicznej plików niewiadomego pochodzenia.
- Obowiązki określone w niniejszym rozdziale Polityki w odniesieniu do poszczególnych stacji roboczych spoczywają w pierwszej kolejności na ich użytkownikach.
- MAYART zapewnia zdolność do szybkiego przywrócenia dostępności danych osobowych
i dostępu do nich w razie incydentu fizycznego lub technicznego poprzez współpracę
z wykwalifikowanym informatykiem. - MAYART zapewnia regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
- MAYART przeprowadza okresowe kontrole sprawności systemu informatycznego.
- Prace serwisowe prowadzone w systemie informatycznym mogą być wykonywane wyłącznie pod nadzorem Marii Chrostowskiej-Słaby lub innej upoważnionej osoby.
- Każda awaria lub konieczność wykonania prac serwisowych na stacji roboczej podlega niezwłocznemu zgłoszeniu do Marii Chrostowskiej-Słaby. Osoby upoważnione bezwzględnie stosują się do poleceń wydanych w tym zakresie przez Marię Chrostowską-Słaby lub upoważnioną osobę.
Część IV – Procedura zgłaszania naruszeń i zawiadamianie podmiotu danych
o naruszeniu ochrony danych osobowych
- W przypadku naruszenia ochrony danych osobowych, MAYART zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, tj. Prezesowi Urzędu Ochrony Danych Osobowych.
- Prezes Urzędu Ochrony Danych Osobowych prowadzi system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych.
- Procedura oceny zgłaszania i oceny naruszenia ochrony danych osobowych:
- każdy pracownik MAYART, który stwierdzi lub poweźmie podejrzenie, że doszło do naruszenia ochrony danych osobowych, przekazuje Marii Chrostowskiej-Słaby niezwłocznie, nie później niż w terminie 1 godziny, informację o możliwym naruszeniu;
- informacja o możliwym naruszeniu ochrony danych osobowych powinna co najmniej opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę podmiotów danych, których naruszenie może dotyczyć, opisywać sposób, w jaki prawdopodobnie doszło do naruszenia oraz miejsce
i czas naruszenia.
- Maria Chrostowska-Słaby dokonuje niezwłocznie oceny, czy występuje ryzyko naruszenia praw lub wolności osoby fizycznej. Ocena, czy występuje ryzyko naruszenia praw lub wolności osoby fizycznej, powinna być oparta na obiektywnych kryteriach (dotychczasowe doświadczenie, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności konkretnego naruszenia ochrony danych osobowych (charakter danych, skala naruszenia, kategoria podmiotów danych, etc.). W toku dokonywania oceny naruszenia Maria Chrostowska-Słaby bierze pod uwagę wszelkie możliwe szkody i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych, takie jak np. utrata kontroli nad danymi, negatywne konsekwencje wizerunkowe, możliwość zawarcia przez inne osoby umów z wykorzystaniem danych, straty finansowe, negatywny odbiór społeczny.
- Uznaje się, że istnieje małe prawdopodobieństwo, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, jeśli:
- doszło do przypadkowego skasowania danych osobowych będącego efektem błędu systemu teleinformacyjnego;
- dane osobowe były zaszyfrowane z wykorzystaniem odpowiedniego algorytmu szyfrującego (np. zagubiono nośnik z danymi albo doszło do wycieku danych osobowych, które były należycie zabezpieczone poprzez szyfrowanie).
- W przypadku uznania, że jest mało prawdopodobne, aby naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, MAYART nie dokonuje zgłoszenia.
- W przypadku uznania, że zgłoszone naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, MAYART zgłasza je w terminie nie dłuższym niż 72 godziny od stwierdzenia naruszenia. Zgłoszenie dokonywane jest w ramach systemu teleinformatycznego prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych. Zgłoszenie dokonywane jest przez Marię Chrostowską-Słaby lub przez pracownika upoważnionego do tego przez MAYART.
- W przypadku niedotrzymania terminu, o którym mowa w ust. 7 powyżej, MAYART dołącza do przekazanego zgłoszenia po upływie 72 godzin wyjaśnienie przyczyn opóźnienia.
- Zgłoszenie musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę podmiotów danych oraz kategorie
i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; - zawierać dane kontaktowe MAYART lub oznaczenie innego punktu kontaktowego,
od którego można uzyskać więcej informacji; - opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
- opisywać środki zastosowane lub proponowane przez MAYART w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
- MAYART dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. MAYART dokumentuje wszystkie naruszenia danych osobowych, w tym również te, do których doszło u podmiotów przetwarzających dane. Dokumentacja obejmuje także naruszenia, których MAYART nie zgłosił z uwagi na małe prawdopodobieństwo, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej. Dokumentacja ta musi pozwolić na weryfikowanie przestrzegania obowiązków MAYART, o których mowa w niniejszym rozdziale Polityki.
- MAYART, który może działać jako podmiot przetwarzający powierzonych mu danych osobowych, po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, jednak w terminie nie dłuższym niż 24 godziny, zgłasza je administratorowi.
- Podmiot przetwarzający dane osobowe powierzone mu przez MAYART po stwierdzeniu naruszenia ochrony powierzonych mu danych osobowych bez zbędnej zwłoki, jednak
w terminie nie dłuższym niż 24 godziny, zgłasza je MAYART. - MAYART dokonuje oceny, czy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena dokonywana jest
z wykorzystaniem procedury i kryteriów, o których mowa w niniejszym rozdziale powyżej. Gdy MAYART uzna, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (a zatem jest bardzo prawdopodobne, że efektem naruszenia ochrony danych osobowych stanie się naruszenie praw lub wolności podmiotu danych), MAYART bez zbędnej zwłoki, jednak w terminie nie dłuższym niż 72 godziny od stwierdzenia naruszenia, zawiadamia podmiot danych
o takim naruszeniu. - Zawiadomienie przekazywane jest w formie zależnej od posiadanych przez MAYART danych kontaktowych podmiotu danych – pisemnie, telefonicznie, w formie wiadomości e-mail lub sms, z zastrzeżeniem że zawiadomienie powinno być sporządzone w formie, która pozwala podmiotowi danych na wielokrotne jej przeczytanie. Jeśli zawiadomienie dokonywane jest telefonicznie, konieczne jest jego potwierdzenie co najmniej w formie wiadomości e-mail lub sms przekazanej podmiotowi danych. Zawiadomienia dokonuje Maria Chrostowska-Słaby lub pracownik upoważniony przez MAYART.
- Zawiadomienie, o którym mowa w ust. 14 powyżej, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej następujące informacje i środki:
- dane kontaktowe MAYART lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez MAYART w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki
w celu zminimalizowania jego ewentualnych negatywnych skutków.
- Zawiadomienie, o którym mowa w ust. 14 powyżej, nie jest wymagane, w następujących przypadkach:
- MAYART wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie;
- MAYART zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności podmiotów danych;
- wymagałoby ono niewspółmiernie dużego wysiłku.
- MAYART stwierdza, czy spełniony został jeden z warunków, o których mowa w ust. 16 powyżej. W przypadku, o którym mowa w ust. 16.3. powyżej, MAYART wydaje publiczny komunikat lub stosuje podobny środek, za pomocą którego podmioty danych zostaną poinformowane w równie skuteczny sposób.
Część V – Postanowienia końcowe
- 1
Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością wynikającą
z przepisów RODO oraz przepisów krajowych dotyczących ochrony danych osobowych,
a także – w przypadku pracowników MAYART – może stanowić rażące naruszenie podstawowych obowiązków pracowniczych.
- 2
W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie przepisy RODO oraz przepisy krajowe dotyczące ochrony danych osobowych.
- 3
Załącznikami do niniejszej Polityki są:
- Załącznik nr 1 – obszar przetwarzania;
- Załącznik nr 2 – wzór upoważnienia do przetwarzania danych wraz z oświadczeniem
o zachowaniu poufności; - Załącznik nr 3 – wzór umowy powierzenia przetwarzania danych osobowych;
- Załącznik nr 4 – rejestr czynności przetwarzania i rejestru kategorii przetwarzania
- 4
Niniejszy dokument wchodzi w życie z dniem 14 czerwca 2019 roku.
_______________________________
Maria Chrostowska-Słaby
MAYART