Polityka Ochrony Danych Osobowych w SYSTEmEG Sp. z o. o.

WSTĘP

Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).

Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem.

1 INWENTARYZACJA DANYCH, ZGODNOŚĆ Z PRAWEM, UPOWAŻNIENIA

1.1 INWENTARYZACJA DANYCH

  1. Dane osobowe wymagające ochrony zostały wykazane w załączniku 01 Wykaz zbiorów danych osobowych
  2. Wykaz obejmuje zbiory ze stwierdzonym potencjalnym ryzykiem naruszenia praw lub wolności osób fizycznych
  3. Każdy ze zbiorów jest opisany w sposób umożliwiający przeprowadzenie analizy ryzyka
  4. Opis zbiorów obejmuje takie informacje, jak:
    1. nazwę zbioru
    2. opis celów przetwarzania
    3. charakter, zakres, kontekst, dokumentowane dane osobowe
    4. odbiorcy
    5. funkcjonalny opis operacji przetwarzania
    6. aktywa służące do przetwarzania danych osobowych (Informacje, Programy, systemyoperacyjne, Infrastruktura IT, Infrastruktura, Pracownicy i współpracownicy, Outsourcing)
    7. informacja o konieczności wpisu do rejestru czynności przetwarzania
    8. informacja o konieczności przeprowadzenia oceny skutków dla zbioru.

1.2 ZGODNOŚĆ Z PRAWEM

1.2.1 Administrator zapewnia, że:

  1. dane są legalnie przetwarzane (na podstawie art. 6, 9)
  2. dane osobowe są adekwatne w stosunku do celów przetwarzania
  3. dane osobowe są przetwarzane przez określony konkretny czas (retencja danych)
  4. wobec osób, które przetwarza Administrator wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14)wraz ze wskazaniem im praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia,ograniczenia przetwarzania, sprzeciwu)
  5. zapewniono ochronę danych w przypadku powierzenia przetwarzania danych w postaci umówpowierzenia z podmiotami przetwarzającymi (art. 28)

1.2.2 Potwierdzenie zgodności z prawem przetwarzanych danych osobowych w zbiorach, znajduje się w załączniku 01 Wykaz zbiorów danych osobowych

1.2.3 Klauzule informacyjne znajdują się w załączniku 01a Klauzule informacyjne

1.3 UPOWAŻNIENIA

  1. Administrator odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych w zbiorach papierowych oraz w systemach informatycznych.
  2. Każda osoba upoważniona musi przetwarzać dane wyłącznie na polecenie Administratora lub na podstawie przepisu prawa.
  3. Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia określają zakres operacji na danych, np. tworzenie, usuwanie, wgląd, przekazywanie – patrz załącznik 02 Upoważnienie do przetwarzania danych osobowych.
  4. Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia Administratora w postaci umowy powierzenia.
  5. Inspektor Ochrony Danych prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych – załącznik 03 Ewidencja osób upoważnionych.

2 PROCEDURA ANALIZY RYZYKA / OCENA SKUTKÓW

  1. Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń.
  2. Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru danych osobowych lub grupy zbiorów charakteryzujących się podobieństwem celów i sposobów przetwarzania.
  3. W przypadku konieczności przeprowadzenia oceny skutków (Art. 35), wymagane jest wykonanie następujących czynności:
    1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania – zawarty w załączniku 01 Wykaz zbiorów danych osobowych
    2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów – zawartą w załączniku 01 Wykaz zbiorów danych osobowych
    3. ocenę ryzyka – patrz załącznik 04 Procedura analizy ryzyka
    4. środki planowane w celu zaradzenia ryzyku, przedstawione w postaci planu postępowania zryzykiem – patrz załącznik 04 Procedura analizy ryzyka

3 INSTRUKCJA POSTĘPOWANIA Z INCYDENTAMI

Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.

  1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego (lub jeśli jest powołany – Inspektora Ochrony Danych).
  2. Do typowych podatności bezpieczeństwa danych osobowych należą:
    1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów
    2. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratądanych osobowych
    3. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowaniezasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
  3. Do typowych incydentów bezpieczeństwa danych osobowych należą:
    1. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)
    2. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych)
    3. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
  4. W przypadku stwierdzenia wystąpienia incydentu, Administrator (lub w przypadku powołania – IOD) prowadzi postępowanie wyjaśniające w toku, którego:
    1. ustala zakres i przyczyny incydentu oraz jego ewentualne skutki
    2. inicjuje ewentualne działania dyscyplinarne
    3. działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu
    4. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnychincydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.
  5. Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tymokoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze –patrzzałącznik 05 Formularz rejestracji incydentu .
  6. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione doprzetwarzania danych.
  7. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lubwolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

4 REGULAMIN OCHRONY DANYCH OSOBOWYCH

Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania. Patrz załącznik – 06 Regulamin Ochrony Danych Osobowych .

Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, patrz 06a Oświadczenie poufności .

5 SZKOLENIA

  1. Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO.
  2. Za przeprowadzenie szkolenia odpowiada Inspektor Ochrony Danych.
  3. W przypadku przeprowadzenia szkolenia wewnętrznego z zasad ochrony danych osobowych wskazane jest udokumentowanie odbycia tego szkolenia za pomocą 07 Plan szkolenia RODO.
  4. Materiały szkoleniowe dla uczestników szkolenia opracowano w formie załącznika 07a ODO ogólne szkolenie wewnętrzne.
  5. Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, patrz 06a Oświadczenie poufności.

6 REJESTR CZYNNOŚCI PRZETWARZANIA

1. W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Administratora, wypełnia się 08a Rejestr czynności prowadzony przez Administratora .

2. W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Podmiot przetwarzający, wypełnia się 08b Rejestr czynności prowadzony przez Podmiot przetwarzający .

7 AUDYTY

Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W tym celu Administrator stosuje procedurę audytów – patrz 09 Procedura audytu .

8  PROCEDURA PRZYWRÓCENIA DOSTĘPNOŚCI DANYCH OSOBOWYCH I DOSTĘPU DO NICH WRAZIE INCYDENTU FIZYCZNEGO LUB TECHNICZNEGO (BCP)

Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania, opisane w 10 Plan ciągłości działania .

9  WYKAZ ZABEZPIECZEŃ

  1. Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych, patrz 11 Wykaz zabezpieczeń .
  2. W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne.
  3. Wykaz jest aktualizowany po każdej analizie ryzyka.