POLITYKA BEZPIECZEŃSTWA

w

P.H.U. K & K Wojtanowicz

ul. Gdańska 105/107, 82-400 Wejherowo

ul. Kcyńska 21A, 81-005 Gdynia

§ 1 Wstęp

Realizując postanowienia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej jako „RODO”, oraz przepisów krajowych oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) wprowadza się zestaw reguł i praktycznych rozwiązań regulujących sposób zarządzania, ochrony i dystrybucji informacji pozwalający na zapewnienie ochrony danych osobowych.

Celem Polityki bezpieczeństwa jest zapewnienie ochrony danych osobowych przed wszelkiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi działań osób przetwarzających dane osobowe w organizacji ADO i poza nią.

Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Zarząd ADO, a w ramach Zarządu Członek Zarządu, któremu powierzono nadzór nad obszarem ochrony danych osobowych, a także Inspektor Ochrony Danych. Zadaniem Inspektora jest bieżące wsparcie i doradztwo w zakresie realizowania zasad ochrony danych osobowych na najwyższym poziomie.

Jako załącznik do niniejszej Polityki opracowano i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Określa ona sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa.

Niniejszy dokument został uzupełniony procedurami indywidualnymi, które zostały omówione w załącznikach i stanowią integralną części polityki bezpieczeństwa. Załączniki w formie edytowalnej są na bieżąco aktualizowane

W celu sprawniejszego wdrożenia postanowień niniejszej Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych opracowano i wprowadzono w życie Regulamin ochrony danych osobowych stanowi załącznik nr 15.

Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez osoby przetwarzające dane osobowe.

Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić, by zachowane zostały zasady ochrony danych osobowych wskazane w RODO, tj.:

  1. zgodność z prawem, rzetelność i przejrzystość przetwarzania danych osobowych -rozumiane jako właściwość zapewniającą legalne, zgodne z prawem przetwarzanie danych osobowych;
  2. poufność danych – rozumiana jako właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym osobom oraz, że są chronione przed niedozwolonym lub niezgodnym z prawem przetwarzaniem;
  3. integralność danych – rozumiana jako właściwość zapewniającą, że dane osobowe nie zostały utracone, zmienione lub zniszczone w sposób nieautoryzowany,
  4. rozliczalność danych – rozumiana jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie, a także że Administrator, będąc odpowiedzialnym za przestrzeganie przepisów RODO, jest w stanie wykazać przestrzeganie zasad ochrony danych osobowych;
  5. ograniczenie celu – rozumiana jako właściwość zapewniającą zbieranie danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz zapewniającą nieprzetwarzanie pozyskanych danych osobowych dalej w sposób niezgodny z tymi celami;
  6. ograniczenie przechowywania – rozumiana jako właściwość zapewniającą, iż dane osobowe osoby, której dotyczą będą przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów w których zostały zebrane i przetwarzane;
  7. minimalizacja danych – rozumiana jako właściwość zapewniającą, iż dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
  8. prawidłowość danych – rozumiana jako właściwość, by przetwarzane dane osobowe były prawidłowe i w razie potrzeby uaktualniane; dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, będą niezwłocznie usuwane lub sprostowane;
  9. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej.


§ 2 Definicje

Przez użyte w Polityce określenia należy rozumieć:

  1. Polityka – niniejsza Polityka bezpieczeństwa.
  2. Instrukcja – Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych P.H.U. K & K Wojtanowicz
  3. Administrator danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; Administratorem danych jest
    P.H.U.  & K Wojtanowicz, ul. Gdańska 105/107, 82-400 Wejherowo, REGON 002849410; dalej także zwany: ADO.
  4. Załącznik nr 1 stanowi dowód na potwierdzenie powołania ABI.
  • Administrator Systemów Informatycznych – osoba wyznaczona przez Administratora danych, nadzorująca przetwarzanie danych osobowych w systemach informatycznych; dalej także zwany ASI. Załącznik nr 2
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz.U. z 2018 r. poz. 1000 z późn. zm.) – dalej jako UODO.
  • Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  • Prezes Urzędu Ochrony Danych Osobowych – organ właściwy do spraw ochrony danych osobowych na terytorium Polski, będący również organem nadzorczym w rozumieniu RODO; dalej także zwany PUODO.
  • Zbiór danych – każdy posiadający strukturę zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.
  • Usuwanie danych, anonimizacja – oznacza zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
  • Zgoda – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. 
  • Ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania
  • Baza danych osobowych – oznacza zbiór uporządkowanych, powiązanych ze sobą tematycznie zapisanych danych. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisane dane osobowe i przetwarzane elektronicznie za pomocą systemów, aplikacji, programów komputerowych.
  • Przetwarzanie danych – oznacza wykonywanie jakichkolwiek operacji lub zestawu operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, opracowywanie, udostępnianie, zmienianie, anonimizowanie, pseudonimizowanie, usuwanie, niszczenie, a zwłaszcza tych, które wykonuje się w systemach informatycznych.
  • Anonimizacja – proces, w wyniku którego informacja identyfikująca personalnie zostaje nieodwracalnie zmieniona w taki sposób, że podmiot informacji identyfikującej personalnie nie może być już zidentyfikowany pośrednio lub bezpośrednio ani samodzielnie przez ADO informacji personalnej ani we współpracy z jakimkolwiek innym podmiotem.an
  • Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
  • Administrator systemu – osoba nadzorująca pracę systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień.
  • Użytkownik – pracownik posiadający uprawnienia do pracy w systemie informatycznym zgodnie ze swoim zakresem obowiązków.
  • Zabezpieczenie systemu informatycznego – wdrożenie stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą.
  • Dane osobowe szczególnej kategorii – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także są to dane genetyczne, dane biometryczne, które przetwarza się w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby (art. 9 RODO).


§ 3  Inspektor Ochrony Danych

  1. adania Inspektora Ochrony Danych
    1. informowanie ADO, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO, oraz innych przepisów UE lub krajowych przepisów prawa oraz doradzanie im w tej kwestii;
    1. monitorowanie przestrzegania przepisów RODO, innych przepisów UE, krajowych przepisów prawa, a także zapisów polityk ADO w dziedzinie ochrony danych osobowych, w tym podziału obowiązków m.in. poprzez zbieranie informacji w celu identyfikacji procesów przetwarzania, analizowanie i sprawdzanie zgodności tego przetwarzania, etc.,
    1. nadzorowanie opracowania i aktualizacji dokumentacji ochrony danych osobowych, tj. Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
    1. podejmowanie działań zwiększających świadomość personelu;
    1. szkolenie personelu uczestniczącego w operacjach przetwarzania
    1. przeprowadzanie audytów;
    1. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
    1. współpraca z organem nadzorczym, a także pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
    1. pełnienie funkcji punktu kontaktowego dla podmiotów trzecich;
    1. w imieniu ADO spełnia obowiązki informacyjne względem osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizuje otrzymane w tym zakresie żądania, przekazuje prawem wymagane informacje,  a także dokumentuje realizację tych obowiązków,
    1. przygotowuje wzory innych dokumentów, mogących poprawić ochronę danych  m.in.  Instrukcję pobierania kluczy oraz zabezpieczenia pomieszczeń – 16;
    1. po przeszkoleniu personelu, przygotowywanie i udostępnienie upoważnień do przetwarzania danych osobowych dla osób przetwarzających te dane, Załącznik nr 4;
    1. prowadzenie ewidencji upoważnień do przetwarzania danych osobowych, Załącznik nr 5;
    1. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
    1. kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
    1. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
    1. zachowanie poufności i tajemnicy co do wykonywanych zadań zgodnie z prawem UE i prawem krajowym.
    • niezależność organizacyjna – Administrator zapewnia, by IOD nie otrzymywał instrukcji dotyczących wykonywania zadań. IOD nie może być odwoływany, ani karany przez ADO za wypełnianie swoich zadań. IOD podlega bezpośrednio najwyższemu kierownictwu ADO;
    • właściwe i niezwłoczne włączenie we wszystkie sprawy dotyczące ochrony danych osobowych (m.in. poprzez udział w spotkaniach przedstawicieli ADO, uczestnictwo przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych, uwzględnianie stanowisko IOD, konsultację w przypadku naruszeń ochrony danych osobowych);
    • otrzymanie wsparcia ze strony ADO w wypełnieniu jego zadań, 
    • otrzymanie niezbędnych zasobów do wykonania zadań IOD oraz dostępu do danych osobowych i operacji przetwarzania, a także zasobów do utrzymania wiedzy fachowej (m.in. poprzez wsparcie IOD ze strony kierowniczej, odpowiednie wsparcie infrastrukturalne);
    • wyznaczanie, rekomendowanie i egzekwowanie wykonania zadań związanych z ochroną danych osobowych w całej organizacji,
    • prawo wstępu do pomieszczeń, w których zlokalizowane są zbiory danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
    • żądanie złożenia pisemnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego,
    • żądanie okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli,
    • żądanie udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.
    • IDO nie jest osobiście odpowiedzialny za niezgodność działań ADO z wymogami ochrony danych osobowych;
    • Odpowiedzialność IOD zostaje wyłączona w przypadku niezastosowania się ADO oraz jego pracowników do wytycznych oraz zaleceń przygotowanych przez IOD.
    • Główne wytyczne, zalecenia oraz obowiązki dotyczące sposobu ochrony danych osobowych, IOD umieści w niniejszej Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym.
    • Podpisanie przez ADO dokumentów, o których mowa w powyższym punkcie jest równoznaczne z ich akceptacją oraz oświadczeniem ADO o wprowadzeniu zawartych w nich wytycznych do systemu działania Spółki.
    • IOD nie ponosi odpowiedzialności za nieprzestrzeganie przez ADO zaleceń zgodnie z treścią punktu powyższego.


§ 4 Administrator Systemów Informatycznych

    1. nadawanie uprawnień do przetwarzania danych osobowych w systemach informatycznych,
    1. prowadzenie rejestru nadanych uprawnień do przetwarzania danych w systemach informatycznych,
    1. nadzór nad stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych,
    1. podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń,
    1. podejmowanie działań zmierzających do bezawaryjnej pracy systemu informatycznego oraz infrastruktury informatycznej,
    1. sprawowanie nadzoru nad tworzeniem i przechowywaniem kopii zapasowych danych przetwarzanych w systemach informatycznych,
    1. inicjowanie i nadzór nad wdrażaniem nowych narzędzi, procedur organizacyjnych oraz sposobów zarządzania systemami informatycznymi, które mają doprowadzić do wzmocnienia bezpieczeństwa przy przetwarzaniu danych osobowych.
    • wyznaczanie, rekomendowanie i egzekwowanie wykonania zadań związanych z ochroną danych osobowych w zakresie przetwarzania danych w systemach informatycznych,
    • prawo wstępu do pomieszczeń, w których zlokalizowane są urządzenia służące do przetwarzania danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
    • żądanie udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.


§ 5 Wykaz zbiorów danych osobowych wraz ze wskazaniem systemów informatycznych oraz obszarów przetwarzania

  1. zbiorów danych osobowych wraz ze wskazaniem
    1. programów zastosowanych do przetwarzania tych danych,
    1. Ewidencja  zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi znajduje się w załączniku nr 6 do niniejszej Polityki.

2.       Sposób przepływu danych pomiędzy poszczególnymi systemami

a.  Sposób przepływu danych osobowych pomiędzy systemami, w których przetwarzane są dane osobowe przedstawiono w załączniku nr 7.

§ 6 Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

1.Przetwarzanie danych osobowych przez ADO ma miejsce w :

  1. siedziba ADO – Wejherowo 82-400, ul. Gdańska 105/107
    1. oddział: – Gdynia 81-005, ul. Kcyńska 21 A
    1. obszar prowadzenia działalności przez podmioty, którym powierzono przetwarzanie danych osobowych znajduje się w Załączniku nr 8.


§ 7 Procedura dostępu podmiotów zewnętrznych

Celem procedury jest zapewnienie bezpiecznego przetwarzania danych osobowych przez podmioty zewnętrzne, gdy cel i zakres tego przetwarzania określa ADO.

  1. IOD prowadzi rejestr podmiotów zewnętrznych, którym Administrator danych udostępnia dane osobowe oraz podmiotów, którym powierzono przetwarzanie danych osobowych w formie usługi zewnętrznej. Załącznik nr 8
  2. ADO udostępnia dane osobowe będące w jego obszarze przetwarzania podmiotom zewnętrznym w oparciu o umowę poufności. Załącznik nr 9
  3. ADO powierza dane osobowe do przetwarzania w formie usługi zewnętrznej podmiotom zewnętrznym w oparciu o umowę powierzenia przetwarzania danych. Załącznik nr 10


§ 8. Zasady i sposób odnotowywania informacji o udostępnieniu danych osobowych

  1. Odbiorca

Odbiorcą nazywa się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią z tym zastrzeżeniem, iż organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców. Przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

  • System przetwarzający dane osobowe udostępniane odbiorcom musi umożliwiać rejestrację:
    • nazwy jednostki organizacyjnej lub imienia i nazwiska osoby, której udostępniono dane,
    • zakresu udostępnianych danych,
    • daty udostępnienia.
  • Dane osobowe udostępnia się osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa, na pisemny umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej.
  • Zgody na udostępnienie danych udziela Administrator danych.
  • Odnotowanie informacji o udostępnieniu danych (podmiot, zakres, data) powinno nastąpić niezwłocznie po udostępnieniu danych:
    • w systemie informatycznym, z którego te dane pochodzą, jeśli przetwarza udostępnione dane osobowe,
    • w postaci ewidencji udostępniania danych. Załącznik nr 11
  • IOD odpowiada za wykonanie decyzji ADO związanej z udostępnieniem danych osobowych. IOD może odmówić wykonania decyzji niezgodnej z prawem, zgodnie z powyższym odpowiedzialność ponosi ADO.
  • Na żądanie osoby, której dane zostały udostępnione, informacje o udostępnieniu danych są zamieszczane w raporcie z systemu informatycznego lub wyciągu z rejestru papierowego, a raport przekazywany jest tej osobie.
  • Procedura nadawania rabatu dla określonych grup społecznych:
    • Podmiotami uprawnionymi do zakupu pojazdów mechanicznych marki KIA z uwzględnieniem preferencyjnych warunków finansowych są:
      • osoby reprezentujące określone grupy zawodowe między innymi takie jak: lekarze, prawnicy, nauczyciele akademiccy, duchowni , policjanci, itp.,
      • osoby o orzeczonej niepełnosprawności,
    • Osoba wymieniona w ust. 8 punkt a w celu uzyskania preferencyjnych warunków muszą przedstawić dokument potwierdzający ich uprawnienie do nabycia rabatu cenowego;
    • Dokument przedstawiony przez klienta zgodnie z punktem b, kopiowany jest przez pracownika ADO, a następnie skanowany i przekazywany do Importera samochodów KIA – KIA Motors Sp. z o.o. w celu podjęcia decyzji dotyczącej udzielenia rabatu;
    • Po przekazaniu dokumentacji o której mowa w punkcie b do KIA Motors Sp. z o.o. dokument jest niszczony przy użyciu niszczarki oraz usuwany z systemu.


§ 9 Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

  1. 1.          Zabezpieczenia organizacyjne
    1. zostanie wyznaczony IOD nadzorujący przestrzeganie zasad ochrony przetwarzanych danych osobowych – załącznik nr 1A;
    1. została opracowana i wdrożona Polityka bezpieczeństwa;
    1. została opracowana i wdrożona Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;
    1. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające ważne upoważnienia nadawane przez system informatyczny Platformy e-szkoleniowej  po odbyciu szkolenia i zaliczeniu testu z zakresu ochrony danych osobowych.
    1. prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
    1. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;
    1. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
    1. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
    1. przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
    1. ADO prowadzi, a IOD wspiera w prowadzeniu, Rejestru czynności przetwarzania danych osobowych, Załącznik nr 17. Za prowadzenie Rejestru czynności przetwarzania danych osobowych odpowiedzialni są wyznaczeni pracownicy poszczególnych komórek organizacyjnych ADO.
    1. stosuje się pisemne umowy powierzenia przetwarzania danych przy współpracy z podwykonawcami przetwarzającymi dane osobowe. Podmioty te zobowiązuje się do prowadzenia Rejestru wszystkich kategorii czynności przetwarzania danych dokonywanych w imieniu ADO – Załącznik nr 18.
    1. procedura realizacji praw jednostki – Załączniki nr 19 oraz Rejestr realizacji praw jednostki – Załącznik nr 20.
    1. W przypadku przetwarzania danych osobowych osób, których dane dotyczą, przygotowano obowiązki informacyjne zgodnie z wymogami z art. 13 i 14 RODO. Wzór obowiązki informacyjnego Załącznik nr 21.
    1. przygotowano obowiązek informacyjny dotyczący stosowania monitoringu wizyjnego (załącznik nr 22),
    1. Został przygotowany obowiązek informacyjny dotyczący rekrutacji (Załącznik nr 23).
    1. stosuje się pisemne umowy powierzenia przetwarzania danych przy współpracy z podwykonawcami przetwarzającymi dane osobowe.
  • 2.          Zabezpieczenia ochrony fizycznej danych osobowych
    • Zbiory danych osobowych przechowywane są w pomieszczeniach zabezpieczonych drzwiami zwykłymi, zamykanymi na klucz, w  odpowiednio zabezpieczonych szafkach zamykanych na klucz.
    • Dodatkowo w zależności od danego pomieszczenia, w którym ADO prowadzi swoją działalność stosowane są następujące zabezpieczenia:

a. Budynki, w których przetwarzane są zbiory danych osobowych zabezpieczone są systemem alarmowym.

b. Budynki, w których przetwarzane są zbiory danych osobowych objęte są monitoringiem wizyjnym, oraz stosownym oznakowaniem.

c. Dostęp do budynków, w których przetwarzane są zbiory danych osobowych jest nadzorowany przez służbę ochrony.

d. Zbiory danych osobowych w formie papierowej przechowywane są w zamkniętych niemetalowych szafach.

e. Pomieszczenia są zabezpieczone przed skutkami pożaru za pomocą alarmowego systemu przeciwpożarowego.

f. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

  • e dokumentów i wydruków
    • Dokumenty i wydruki zawierające dane osobowe przechowuje się w pomieszczeniach zabezpieczonych w sposób wskazany w § 9 ust. 2
    • Za bezpieczeństwo dokumentów i wydruków odpowiedzialne są osoby je przetwarzające oraz kierownicy właściwych jednostek lub komórek organizacyjnych, a w szczególności odpowiadają za:
    • Zamykanie dokumentów na klucz w szafach, biurkach, sejfach podczas nieobecności w pomieszczeniach lub po zakończeniu pracy (tzw. Polityka czystego biurka – Załącznik nr 24).
    • Niszczenie dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania (Procedura niszczenia dokumentów – Załącznik nr 25)
    • Niepozostawianie wydruków i ksero na urządzeniach lub w ich okolicy bez nadzoru
  • stosuje się dla fizycznych elementów systemu, ich połączeń oraz systemów operacyjnych. Szczegółowy opis zabezpieczeń zawarty jest w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
  • 5.          Zabezpieczenia  baz danych i oprogramowania przetwarzającego dane osobowe stosuje się dla procedur, aplikacji, programów i innych narzędzi programowych przetwarzających dane osobowe. Szczegółowy opis zabezpieczeń zawarty jest w Instrukcji zarządzania systemem informatycznym.
  • 6.          Procedura nadawania upoważnień do przetwarzania danych osobowych pracownikom
    • Każda osoba, która wykonując obowiązki służbowe ma dostęp do danych osobowych przed dopuszczeniem do pracy musi uzyskać stosowne upoważnienie do przetwarzania danych osobowych.
    • Upoważnienie nadawane jest indywidualnie i wskazuje zbiory danych, do których ma dostęp upoważniony.
    • Upoważnienia nadane przez Administratora danych wydawane są automatycznie przez system informatyczny Platformę e-szkoleniową.
    • Upoważnienia nadawane są zgodnie z następującą procedurą:
      • W przypadku zatrudnienia nowego pracownika Kierownik Działu Kadr zgłasza IOD konieczność nadania upoważnienia pracownikowi.
      • Przekazanie informacji następuje w formie pisemnej lub poprzez wysłanie wiadomości e-mail zawierającej: imię i nazwisko pracownika, stanowisko lub miejsce pracy, identyfikator w systemie informatycznym, zakres obowiązków pracownika (określenie zbiorów danych).
      • IOD nadaje pracownikowi dostęp do Platformy e-szkoleniowej, a następnie przesyła na podany adres e-mail pracownika link aktywacyjny do e-szkolenia.
      • Po wykonaniu przez pracownika e-szkolenia oraz rozwiązaniu testu sprawdzającego wiedzę z zakresu ochronnych danych osobowych, system informatyczny automatycznie generuje zaświadczenie o odbyciu e-szkolenia z zakresu danych osobowych oraz upoważnienie do przetwarzania danych osobowych w określonych zbiorach danych.
      • Pracownik zobowiązany jest wydrukować wygenerowane przez system upoważnienie, złożyć na nim własnoręczny podpis oraz niezwłocznie przekazać do działu kadr. Upoważnienie po podpisaniu przez pracownika zostaje włączone do dokumentacji kadrowej.
      • Wydanie każdego upoważnienia jest odnotowywane przez IOD w prowadzonej przez niego Ewidencji upoważnień do przetwarzania danych osobowych. Załącznik nr 5
  • 7.          Procedura podpisywania umów w zakresie ochrony danych osobowych:
  • ADO obowiązany jest do informowania oraz przekazywania IOD, wszelkich projektów umów, zawieranych w swoim imieniu, przed ich podpisaniem w celu sprawdzenie zgodności z powszechnie obowiązującym prawem w zakresie zapisów dotyczących ochrony danych osobowych.
  • IOD opiniuje zapisy umów przekazanych mu przez ADO w zakresie ochrony danych osobowych, udziela ADO rekomendacji w zakresie zgodności z przepisami prawa.
  • IOD nie ponosi odpowiedzialności za zapisy umów z zakresu ochrony danych osobowych w przypadku, kiedy projekt umowy nie został do niego przekazany przed zawarciem umowy oraz w przypadku kiedy ADO nie zastosował się do sugestii oraz zmian dokonanych przez IOD.


§ 10 Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

  1. :
    1. Incydent – naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność. Incydent stanowią m. in:
      1. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
      1. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych),
      1. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych, kradzież sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów, działanie wirusów i innego szkodliwego oprogramowania).
    1. Zagrożenie – potencjalna możliwość wystąpienia incydentu, spowodowana m. in. przez:
      1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
      1. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
      1. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników.
    1. Korekcja – działanie w celu wyeliminowania skutków incydentu.
    1. Działanie korygujące – jest to działanie przeprowadzane w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji.
    1. Działanie zapobiegawcze – jest to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądanej.
    1. Kontrola – systematyczna, niezależna i udokumentowana ocena skuteczności systemu ochrony danych osobowych, na podstawie wymagań ustawowych, Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym.
  • Procedura działań korygujących i zapobiegawczych
    • Celem procedury jest uporządkowanie i przedstawienie czynności związanych z inicjowaniem oraz realizacją działań korygujących i zapobiegawczych wynikających z zaistnienia incydentów bezpieczeństwa lub zagrożeń systemu ochrony danych osobowych.
    • Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność z wymaganiami Ustawy, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych.
    • Osobą odpowiedzialną za nadzór nad procedurą oraz poprawnością i terminowością wdrażanych działań korygujących jest IOD.
    • IOD jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach są:
      • zgłoszenia od pracowników,
      • wiedza IOD,
      • wyniki kontroli.
    • Każdy pracownik w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest niezwłocznie poinformować bezpośredniego przełożonego lub IOD. IOD niezwłocznie informuje ADO o rozpoczęciu prowadzenia sprawdzenia doraźnego. Razem ustalają, czy incydent może spowodować naruszenie praw i wolności osoby fizycznej. Pracownicy, bezpośredni przełożeni lub obie te osoby spisują raport z naruszeń ochrony danych – Załącznik nr 26.
    • W przypadku stwierdzenia wystąpienia zagrożenia Administrator Bezpieczeństwa Informacji prowadzi postępowanie wyjaśniające, w toku którego:
      • ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
      • inicjuje ewentualne działania dyscyplinarne,
      • rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości,
      • dokumentuje prowadzone postępowania,
      • inicjuje działania dyscyplinarne,
      • wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
      • dokumentuje prowadzone postępowania.
    • W przypadku stwierdzenia incydentu (naruszenia), Administrator Bezpieczeństwa Informacji prowadzi postępowanie wyjaśniające, w toku którego:
      • ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
      • zabezpiecza ewentualne dowody,
      • ustala osoby odpowiedzialne za naruszenie,
      • podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),
      • inicjuje działania dyscyplinarne,
      • wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
      • dokumentuje prowadzone postępowania.
    • W przypadku, gdy IOD stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa: źródło powstania incydentu lub zagrożenia, zakres działań korygujących lub zapobiegawczych, termin realizacji, osobę odpowiedzialną.
    • Po przeprowadzeniu działań korygujących lub zapobiegawczych, IOD jest zobowiązany do oceny efektywności ich zastosowania.
    • Jeśli prawdopodobnym jest, że naruszenie ochrony danych osobowych będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, IOD w miarę możliwości w terminie 72 godzin pomaga ADO dokonać zgłoszenia do organu nadzorczego naruszenia ochrony danych osobowych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Załącznik nr 27 – Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu;
    • Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, IOD pomaga ADO zawiadomić osobę, której dane dotyczą, o takim naruszeniu, chyba że:

a) ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b) ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w lit. a powyżej;

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku ADO wydaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

  • Powyższe czynności IOD rejestruje w Rejestrze incydentów i działań korygujących i zapobiegawczych. Załącznik nr 12
    • Celem procedury jest sprawdzenie zgodności przetwarzania danych osobowych
      z przepisami o ochronie danych osobowych.
    • Procedura obejmuje wszystkie procesy organizacji, gdzie przestrzeganie zasad ochrony danych osobowych jest wymagane.
    • Sprawdzenia stanu ochrony danych osobowych dokonuje IOD.
    • Sprawdzeniu podlegają systemy informatyczne przetwarzające dane osobowe, zabezpieczenia fizyczne, zabezpieczenia organizacyjne, bezpieczeństwo osobowe oraz zgodność stanu faktycznego z wymaganiami ustawy i aktów wykonawczych.
    • IOD przygotowuje plan sprawdzenia uwzględniając zakres oraz potrzebne zasoby fizyczne, czasowe i osobowe. Sprawdzenie powinno odbyć się co najmniej raz w roku.
    • Sprawdzenie przeprowadzane jest na podstawie listy kontrolnej dokumentu
      Załącznik nr 13.
    • Na jego podstawie IOD inicjuje działania korygujące lub zapobiegawcze.
    • Po dokonanym sprawdzeniu IOD przygotowuje i przekazuje sprawozdanie ADO.
    • Raz w roku IOD przygotowuje sprawozdanie roczne stanu funkcjonowania systemu ochrony danych osobowych.
    • Sprawozdanie sporządzane jest w formie pisemnej i zostaje przedłożone ADO do akceptacji. Sprawozdanie przygotowane jest według Załącznika nr 14
  • Odpowiedzialność:
  1. IOD nie ponosi odpowiedzialności w przypadku nieprawidłowości nie wynikających z jego działań lub niedostosowania się ADO do zaleceń IOD oraz powstałych w wyniku siły wyższej niezależnej od woli ludzkiej lub były umyślnym działaniem osób trzecich.
  2. Za siłę wyższą uważa się wszelkie działania przypadkowe, niedające się przewidzieć, niezawinione, mające miejsce bez ingerencji czynnika ludzkiego.


§ 11 Postanowienia końcowe

  1. Polityka bezpieczeństwa jest dokumentem wewnętrznym i nie powinna być udostępniania podmiotom zewnętrznym.
  2. Wszystkie regulacje dotyczące systemów informatycznych określone w Polityce bezpieczeństwa dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.
  3. Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.
  4. Przypadki, nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych.
  5. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
  6. Kara dyscyplinarna, orzeczona wobec osoby uchylającej się od powiadomienia, nie wyklucza odpowiedzialności karnej tej osoby oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.
  7. W sprawach nieuregulowanych w niniejszej Polityce bezpieczeństwa mają zastosowanie przepisy RODO, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. Poz. 1000 z późn. zm.) oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  8. Podpisanie oraz ogłoszenie Polityki Bezpieczeństwa przez ADO jest równoznaczne z  wdrożeniem i zastosowaniem niniejszych zaleceń w wykonywaniu działalności przez Spółkę.

Załączniki:

  1. Powołanie ABI,

1A. Powołanie IOD

  • Powołanie Administratora Systemów Informatycznych
  • Rejestr zbiorów danych osobowych
  • Upoważnienie do przetwarzania danych osobowych
  • Ewidencja upoważnień do przetwarzania danych osobowych
  • Ewidencja zbiorów danych osobowych
  • Sposób przepływu danych pomiędzy systemami
  • Rejestr podmiotów zewnętrznych
  • Wzór umowy o poufności
  • Wzór umowy o powierzenie
  • Ewidencja udostępniania danych
  • Rejestr incydentów i działań korygujących i zapobiegawczych
  • Lista kontrolna
  • Sprawozdanie roczne
  • Regulamin ochrony danych osobowych
  • Instrukcja pobierania kluczy
  • Rejestr czynności przetwarzania danych osobowych
  • Rejestr wszystkich kategorii czynności przetwarzania danych dokonywanych w imieniu ADO
  • Procedura realizacji praw jednostki
  • Rejestr realizacji praw jednostki
  • Wzór obowiązki informacyjnego
  • Obowiązek informacyjny dotyczący stosowania monitoringu wizyjnego
  • Obowiązek informacyjny dotyczący rekrutacji
  • Polityka czystego biurka
  • Procedura niszczenia dokumentów
  • Raport z naruszeń ochrony danych
  • Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu