Polityka prywatności

 

POLITYKA
BEZPIECZEŃSTWA INFORMACJI
w „Pretor” – Kancelarii Prawnej Adwokaci i Radcowie Prawni Bedryj, Kostrzewska i Partnerzy

SPIS TREŚCI

1. Rozdział 1. Postanowienia ogólne. Podstawy prawne. Słownik pojęć. Cel. Zakres.
2. Rozdział 2. Administrator Danych Osobowych (ADO).
3. Rozdział 3. Zasady przetwarzania danych osobowych. Rejestr i rejestracja zbiorów. Profilowanie. Powierzenie. Udostępnianie. Obowiązek informacyjny. Zgoda. Zabezpieczenia danych osobowych. Sprawdzenia. Odpowiedzialność.
4. Rozdział 4. Ogólne warunki korzystania z systemu informatycznego. Poczta elektroniczna.
5. Rozdział 5. Postępowanie na wypadek zagrożenia bezpieczeństwa danych osobowych.
6. Rozdział 6. Postanowienia końcowe.
7. Załączniki:
Nr 1 Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe
Nr 2 Wykaz, programy oraz struktura zbiorów danych osobowych
Nr 3 Upoważnienie do przetwarzania danych osobowych
Nr 4 Oświadczenie o zachowaniu poufności
Nr 5 Wykaz osób upoważnionych do przetwarzania danych osobowych
Nr 6 Wykaz udostępnień danych osobowych innym podmiotom
Nr 7 Wykaz udostępnień danych osobowych osobom, których dane dotyczą
Nr 8 Wykaz podmiotów, którym powierzono przetwarzanie danych osobowych
Nr 9 Umowa powierzenia przetwarzania danych osobowych
Nr 10

 

Nr 11

Nr 12

 

Nr 13

Nr 14

Nr 15

Rejestr zbiorów danych osobowych

Rejestr czynności przy przetwarzaniu danych osobowych – ADO
Rejestr czynności przy przetwarzaniu danych osobowych – podmiot

Przetwarzający

Rejestr incydentów i zagrożeń

Protokół uchybienia

Protokół zagrożenia

Rozdział 1.
Postanowienia ogólne

  • 1.
    Podstawy prawne
  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)(Dz.Urz.UE L119 z 4 maja 2016 r.)
  • 2.
    Słownik pojęć
  1. Administrator Danych Osobowych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych. W tym przypadku administratorem danych osobowych jest „Pretor”- Kancelaria Prawna Adwokaci i Radcowie Prawni Bedryj, Kostrzewska i Partnerzy.
  2. Baza danych osobowych – zbiór uporządkowanych powiązanych ze sobą tematycznie danych zapisanych np. w pamięci wewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisywane dane osobowe;
  3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne;
  4. Firma – „Pretor”- Kancelaria Prawna Adwokaci i Radcowie Prawni Bedryj, Kostrzewska i Partnerzy znajdująca się przy Placu Powstańców Śląskich 17A/223, 53-329 Wrocław.
  5. GIODO – Generalny Inspektor Ochrony Danych Osobowych;
  6. Hasło – ciąg znaków literowych, cyfrowych lub innych, uwierzytelniający osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  7. Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  8. Incydent – pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji lub zmniejszeniem poziomu usług systemowych, które stwarzają znaczne prawdopodobieństwo zakłócenia działania systemu informatycznego i zagrażają bezpieczeństwu informacji; naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność;
  9. Nośniki danych – przedmioty fizyczne (elektroniczne, papierowe), na których możliwe jest zapisanie informacji w celu ich przechowywania, przetwarzania
    i transmisji. Każdy nośnik danych charakteryzuje określona gęstość zapisu, wynikająca z jego właściwości fizycznych;
  10. Odbiorca danych – każdy, komu udostępniane są dane osobowe, z wyłączeniem: osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela administratora danych mającego siedzibę w państwie trzecim, przetwarzającego dane przy wykorzystaniu środków technicznych znajdujących się na terytorium RP, podmiotu który przetwarza dane na podstawie umowy powierzenia zawartej z administratorem, a także organów państwowych i organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem (art. 7 pkt 6 ustawy);
  11. Podatność – luka (słabość), która może być wykorzystana przez co najmniej jedno zagrożenie, rozumiane jako potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę;
  12. Polityka / PBI – niniejszy dokument;
  13. Profilowanie – automatyczny proces przetwarzania danych osobowych, dopuszczalny pod warunkiem spełnienia przesłanek określonych przepisami prawa;
  14. Przetwarzanie danych – wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemie informatycznym;
  15. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, systemów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
  16. System tradycyjny – zespół procedur organizacyjnych, wyposażenia i środków trwałych związanych z mechanicznym przetwarzaniem informacji zawierających dane osobowe na nośnikach papierowych;
  17. Sieć publiczna – sieć telekomunikacyjna wykorzystywana głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych;
  18. Świadczenie usługi drogą elektroniczną – wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), ale poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej, zgodnie z Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2017 r. poz. 1219).
  19. Usługodawca – osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową świadczy usługi drogą elektroniczną;
  20. Usługobiorca – osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która korzysta z usługi świadczonej drogą elektroniczną;
  21. Ustawa o ochronie danych osobowych (uodo) – Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U.2016, poz. 922);
  22. Ustawa o świadczeniu usług drogą elektroniczną (uśude) – Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2017 r. poz. 1219);
  23. Ustawa Prawo Telekomunikacyjne (PT) – Ustawa z dnia 16 lipca 2004 roku Prawo Telekomunikacyjne (Dz.U. 2017, poz. 1907);
  24. Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
  25. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze   osobowym,   dostępnych   według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.


3.
Cel i zakres.

  1. Polityka Bezpieczeństwa Informacji jest dokumentem wewnętrznym regulującym zasady przetwarzania i ochrony danych osobowych w „Pretor” – Kancelarii Prawnej Adwokaci i Radcowie Prawni Bedryj, Kostrzewska i Partnerzy.
  2. Polityka Bezpieczeństwa Informacji została opracowana i wdrożona w celu uzyskania standardu przetwarzania informacji zawierających dane osobowe zgodnego
    z wymaganiami określonymi w przepisach prawa, o których mowa w § 1 ust. 1-6 niniejszego dokumentu, w szczególności danych osobowych przetwarzanych w celach określonych w art. 27 ust. 2 pkt 7 ustawy, danych osobowych przetwarzanych
    w systemie informatycznym wykorzystywanym w Firmie oraz pozostałych informacji podlegających ochronie;
  • 4.

Niniejsza Polityka Bezpieczeństwa Informacji określa w szczególności:

  • prawa, obowiązki oraz granice dopuszczalnego zachowania osób przetwarzających dane osobowe w związku z działalnością Firmy oraz konsekwencje naruszenia przepisów wymienionych w § 1 ust. 1-6,
  • sposób przetwarzania danych osobowych oraz środki organizacyjne
    i techniczne zapewniające ochronę tych danych, w tym podstawowe warunki jakim powinny odpowiadać urządzenia z wykorzystaniem których dane są przetwarzane,
  • zasady prowadzenia dokumentacji związanej z przetwarzaniem danych osobowych, w tym jawnego rejestru zbiorów danych osobowych zgłaszanych do GIODO,
  • zasady prowadzenia wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opisu struktury zbiorów danych wskazującej zawartość poszczególnych pól informacyjnych
    i powiązań między nimi oraz sposobu przepływu informacji pomiędzy poszczególnymi systemami,
  • wymagania w zakresie powierzania danych osobowych innym podmiotom;
  • wymagania w zakresie odnotowywania udostępniania danych osobowych,
  • sposób postępowania w przypadku naruszenia bezpieczeństwa danych osobowych,
  • zasady przetwarzania danych osobowych w związku z korzystaniem z serwisu internetowego Firmy oraz usług świadczonych drogą elektroniczną
  • 5.

Zastosowane przez administratora danych zabezpieczenia mają zapewnić:

  • poufność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym osobom,
  • integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  • rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie,
  • integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji zamierzonej, jak i przypadkowej,
  • zarządzanie ryzykiem – rozumiane jako proces identyfikowania, monitorowania, minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa danych osobowych.

 

Rozdział 2.
Administrator Danych Osobowych (ADO).

6.

Zadania nałożone na Administratora Danych Osobowych przepisami o ochronie danych osobowych, o których mowa w § 1 ust. 1-6, obejmują:

  1. Zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
  2. Opracowanie i aktualizowanie dokumentacji opisującej sposób przetwarzania danych, środki ich ochrony oraz stosowania zasad w niej określonych;
  3. Dochowanie szczególnej staranności przy przetwarzaniu danych osobowych
    w celu ochrony interesów osób, których dane przetwarza;
  4. Zapewnienie przestrzegania przepisów o ochronie danych osobowych poprzez systematyczne sprawdzanie zgodności przetwarzania tych danych z przepisami,
    o których mowa w § 1 ust. 1-6;
  5. Wypełnianie obowiązku informacyjnego przy pozyskiwaniu danych osobowych, w tym udzielanie informacji o administratorze, celu i zakresie ich zbierania, dobrowolności podania tych danych oraz możliwości ich zmiany i usunięcia;
  6. Wypełnianie obowiązku uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane;
  7. Zapewnienie zapoznania się wszystkich osób posiadających dostęp do danych osobowych z obowiązującymi w Firmie procedurami w zakresie ochrony tych danych;
  8. Nadawanie i anulowanie upoważnień do przetwarzania danych osobowych
    (w przypadku zatrudnienia pracowników lub zawarcia umowy cywilnoprawnej z osobą fizyczną);
  9. Obowiązek prowadzenia wykazu osób upoważnionych do przetwarzania danych osobowych (w przypadku zatrudnienia pracowników lub zawarcia umowy cywilnoprawnej z osobą fizyczną);
  10. Obowiązek kontrolowania jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane (w przypadku zatrudnienia pracowników lub zawarcia umowy cywilnoprawnej z osobą fizyczną);
  11. Zgłaszanie zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych;
  12. Dokumentowanie powierzania danych osobowych w postaci zawartych umów powierzenia oraz ewidencjonowania tych umów w postaci wykazu podmiotów, którym powierzono dane osobowe, za każdym razem, gdy takie powierzenie nastąpi
  • 7.

Zadania Administratora Danych Osobowych jako administratora wykorzystywanego
w Firmie systemu informatycznego obejmują:

  1. Zapewnienie działania infrastruktury teleinformatycznej i oprogramowania w sposób zapewniający właściwy poziom bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym stosowanym w Firmie w celu zabezpieczenia ich przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
  2. Zapewnienie alternatywnego, awaryjnego zasilania systemu informatycznego oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych
    w systemie informatycznym stosowanym w Firmie;
  3. Podejmowanie działań zabezpieczających system informatyczny w przypadku otrzymania informacji o naruszeniu zabezpieczeń, zmianach w sposobie działania systemu lub innych urządzeń wskazującej na naruszenie bezpieczeństwa przetwarzanych w nim danych osobowych;
  4. Zapewnienie ochrony danych osobowych w związku z naprawą, konserwacją oraz likwidacją systemu informatycznego, w tym urządzeń komputerowych i mobilnych, na których zapisane są dane osobowe;
  5. Tworzenie i bezpieczne przechowywanie kopii zapasowych, w sposób zgodny z przepisami, o których mowa w § 1 ust. 1 i 4;
  6. Podejmowanie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń lub zmianach w sposobie działania systemu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych, w tym podjęcie działań mających na celu wykrycie przyczyny lub sprawcy zaistniałej sytuacji i jej usunięcie.
  • 8.

Zadania Administratora Danych Osobowych jako administratora serwisu internetowego (usługodawcę) wynikające z przepisów, o których mowa w § 1 ust. 1-6, obejmują:

  1. Posiadanie podstawy do przetwarzania danych osobowych;
  2. Wypełnienie obowiązku informacyjnego poprzez podanie w sposób wyraźny, jednoznaczny i bezpośrednio dostępny poprzez system teleinformatyczny, którym posługuje się usługobiorca, informacji dotyczących:
  • adresów elektronicznych administratora,
  • imienia, nazwiska i adresu oraz nazwy firmy i adresu jej siedziby,
  • podstawy wykonywania działalności gospodarczej/świadczenia usługi,
  • podstawy do przetwarzania danych osobowych w celach marketingowych;
  1. Uzyskanie zgody na wysyłanie informacji handlowych drogą elektroniczną za pośrednictwem e-maila lub sms;
  2. Uzyskanie zgody na wykonywanie telefonicznych połączeń w związku z działalnością marketingową.

 

Rozdział 3.
Zasady przetwarzania danych osobowych. Rejestr i rejestracja zbiorów. Profilowanie.
Powierzenie. Udostępnianie. Obowiązek informacyjny. Zgoda. Zabezpieczenia. Sprawdzenia. Odpowiedzialność


9.
Zasady przetwarzania danych osobowych.

  1. Przetwarzanie danych osobowych odbywa się tradycyjnie z wykorzystaniem pism, dokumentów finansowo-księgowych i innych dokumentów wytwarzanych w Firmie oraz elektronicznie z wykorzystaniem elektronicznych nośników danych oraz przekazywanych drogą elektroniczną, w tym w systemie do obsługi dokumentów ubezpieczeniowych ZUS, dokumentów Urzędu Skarbowego oraz w bankowości elektronicznej;
  1. Dane osobowe mogą być wykorzystywane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Firma może żądać podania danych osobowych, tylko wówczas, gdy:
  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
    realizowanych przez administratora lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą;
  1. Zgodnie z art. 23 ust. 4 ustawy o ochronie danych osobowych, za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, przy czym katalog ten może ulec rozszerzeniu w zależności od zakresu działalności Firmy;
  2. Po wykorzystaniu, dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą, zniszczone, lub w przypadku powierzenia, zwrócone podmiotowi, który dane powierzył;
  3. Zasady przetwarzania danych osobowych określone w niniejszej Polityce mają zastosowanie do:
  • wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów przetwarzania informacji zawierających dane osobowe, w tym systemów informatycznych,
  • wszystkich informacji zawierających dane osobowe będących własnością Firmy oraz przetwarzanych przez nią w związku z prowadzoną działalnością,
  • wszystkich lokalizacji, budynków i pomieszczeń, w których te dane są lub będą przetwarzane,
  • wszystkich podmiotów współpracujących oraz osób świadczących pracę lub wykonujących czynności na rzecz Firmy, mających dostęp do przetwarzanych przez nią danych osobowych.
  • 10.

Obszarem przetwarzania danych osobowych są wydzielone pomieszczenia lub części pomieszczeń w siedzibie Firmy ujęte w wykazie, którego wzór stanowi załącznik nr 1 do niniejszej Polityki;

  • 11.

Wszystkie osoby, które posiadają dostęp do danych osobowych w obszarze wymienionym
w § 10 muszą posiadać pisemne upoważnienie do przetwarzania danych nadane przez administratora oraz podpisać oświadczenie o zachowaniu poufności. Wzór upoważnienia stanowi załącznik nr 3 do PBI. Wzór oświadczenia o zachowaniu poufności stanowi załącznik nr 4 do PBI.                   

  • 12.
  1. W zbiorach danych przetwarzanych w związku z działalnością Firmy zabrania się przetwarzania danych ujawniających stan zdrowia, pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, przynależność partyjną lub związkową, dane genetyczne, dane biometryczne, nałogi, preferencje seksualne, chyba że wymagają tego obowiązujące przepisy prawa lub osoba, której dane dotyczą, wyraziła na to pisemną zgodę;
  2. Dane o skazaniach, w tym dane o niekaralności można przetwarzać wyłącznie
    w zakresie uregulowanym w art. 6 ust. 1 pkt 10 ustawy z dnia 24 maja 2000 r.
    o Krajowym Rejestrze Karnym (Dz.U. 2017 poz. 678);
    13.
    Rejestr i rejestracja zbiorów.
  1. Administrator danych prowadzi jawny rejestr zbiorów danych osobowych  przetwarzanych  na potrzeby działalności Firmy (załącznik nr 10) oraz wykaz zbiorów określający strukturę tych zbiorów, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi wraz z programami zastosowanymi do ich przetwarzania (załącznik nr 2);
  2. Katalog zbiorów danych osobowych przetwarzanych w Firmie obejmuje:
  • Zbiór danych odbiorców treści marketingowych,
  • Zbiór danych użytkowników serwisu internetowego (strony www),
  • Zbior danych klientów,
  • Zbiór danych kontrahentów,
  • Zbiór danych księgowości.

Katalog zbiorów przetwarzanych danych osobowych może ulec rozszerzeniu,
w zależności od zakresu bieżącej działalności Firmy;

  1. Zgodnie z art. 40 uodo, administrator danych jest zobowiązany do zgłoszenia zbiorów do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych z wyłączeniem zbiorów prowadzonych tylko i wyłącznie w formie papierowej, danych osób przetwarzanych w związku z ich zatrudnieniem oraz tylko i wyłącznie w celu wystawienia faktury (nie dotyczy to danych wrażliwych określonych art. 27 ustawy).
  • 14.
    Profilowanie danych osobowych.
  1. Do profilowania zabrania się używania danych wymienionych w § 12, chyba, że wymagają tego obowiązujące przepisy prawa, osoba, której dane dotyczą wyraziła na to zgodę lub jest to podyktowane ważnym interesem publicznym;
  2. Przy profilowaniu Administrator Danych Osobowych obowiązkowo wdraża środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą;
  3. O profilowaniu należy informować osobę, której ono dotyczy na etapie zbierania danych, a także na każdy wniosek osoby, której dane dotyczą;
  4. Każda osoba, której dane dotyczą, ma prawo wyrażenia sprzeciwu na profilowanie jej danych osobowych, jeżeli uzna, że narusza to jej prawa i wolności.
  • 15.
    Powierzenie przetwarzania danych osobowych
    .
  1. Powierzenie przetwarzania danych osobowych następuje na podstawie umowy powierzenia (lub innego aktu prawnego), zawartej w formie pisemnej lub dopuszczalnej prawem formie elektronicznej (oświadczenie złożone drogą elektroniczną lub zapisane na elektronicznym nośniku informacji, określona opcja internetowa). Wzór umowy powierzenia, zgodny z art. 31 ustawy o ochronie danych osobowych oraz art. 28 rozporządzenia ogólnego (RODO), stanowi załącznik nr 9 do niniejszej Polityki;
  2. Do przetwarzania powierzonych danych osobowych mogą być dopuszczeni jedynie pracownicy podmiotów współpracujących lub świadczących usługi na rzecz Firmy
    w zakresie adekwatnym do celu powierzenia;
  3. Umowa powierzenia danych osobowych określa przedmiot i czas trwania przetwarzania, zakres, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa stron umowy;
  4. Podmiot, z którym zostaje zawarta umowa powierzenia (procesor) jest zobowiązany do wdrożenia środków organizacyjnych i technicznych odpowiednich do ryzyk przetwarzania powierzonych danych, prowadzenia rejestru czynności przetwarzania, zgłaszania naruszeń ochrony danych do organu nadzorczego, czyli GIODO;
  5. Administrator Danych Osobowych zobowiązany jest do dokumentowania powierzania tych danych w postaci wykazu podmiotów, którym powierzono dane osobowe,
    za każdym razem, gdy takie powierzenie nastąpi. Wzór wykazu podmiotów, którym powierzono dane osobowe stanowi załącznik nr 8 do niniejszej Polityki;
  6. W przypadku, w którym podmiot określony w umowie powierzenia danych osobowych, w zakresie realizacji swoich usług korzysta z pomocy innych podmiotów (podpowierzenie danych), wymagana jest szczegółowa lub ogólna zgoda ADO na przekazanie powierzonych danych, wyrażona w formie pisemnej lub równoważnej jej formie elektronicznej.16.
    Udostępnianie danych osobowych
  1. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie w sytuacji, w której administrator danych udostępniający dane oraz administrator danych pozyskujący dane drogą udostępnienia posiadają odpowiednią podstawę prawną w sprawie ww. czynności;
  1. Administrator Danych Osobowych dokumentuje udostępnianie danych w postaci wykazu udostępnień danych osobowych innym podmiotom, którego wzór stanowi załącznik nr 6 do niniejszej Polityki;
  2. W przypadku udostępnienia danych osobowych osobom, których dane dotyczą, administrator dokumentuje ten fakt w wykazie udostępnień danych osobowych osobom, których dane dotyczą. Wzór tego wykazu stanowi załącznik nr 7 do niniejszej Polityki;
  3. Administrator Danych Osobowych może odmówić udostępnienia danych osobowych w sytuacji, w której spowodowałoby to istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób oraz w sytuacji, w której dane osobowe nie mają istotnego związku ze wskazanymi motywami działania wnioskującego
    o udostępnienie danych;
  4. W przypadku konieczności udostępniania dokumentów i danych w nich zawartych, wśród których znajdują się dane osobowe niemające bezpośredniego związku
    z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych;
  5. W przypadku, gdy dane osobowe osoby, od której zostały zebrane, są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.

  • 17.
    Obowiązek informacyjny.
  1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, ADO jest obowiązany poinformować tę osobę o:
  • adresie swojej siedziby i pełnej nazwie,
  • celu i zakresie zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej i konsekwencjach niepodania danych,
  • prawnie uzasadnionym celu administratora, jeżeli na tej podstawie odbywać się będzie przetwarzanie danych,
  • okresie, przez który dane osobowe będą przechowywane lub o kryteriach tego okresu,
  • profilowaniu danych,
  • prawach osoby, której dane dotyczą tj. prawie do usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, cofnięcia zgody (gdy osoba, której dane dotyczą wyraża zgodę na przetwarzanie danych);
  1. W przypadku pozyskania danych osobowych z innego źródła, niż osoba, której dane dotyczą, ADO jest zobowiązany poinformować tę osobę, oprócz wymienionych w ust. 1 pkt 1-7, o źródle pozyskania danych oraz uprawnieniach wynikających z art. 32 ust. ustawy o ochronie danych osobowych;
  2. Obowiązek poinformowania wymieniony w ust. 1 niniejszego paragrafu powinien być wykonany w momencie zbierania danych z wyjątkiem sytuacji, w której przepis innej ustawy zezwala na przetwarzanie danych osobowych lub osoba, której dane dotyczą, posiada już informacje, których udzielenia wymaga art. 24 ust. 1 ustawy o ochronie danych osobowych;
  3. Obowiązek poinformowania wymieniony w ust. 2 niniejszego paragrafu powinien zostać spełniony bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie z wyjątkiem sytuacji opisanych w art. 25 ust. 2 ustawy o ochronie danych osobowych.
  • 18

W przypadku zbierania danych od użytkowników serwisu internetowego, zgodnie z ustawą
o prawie telekomunikacyjnym, Administrator Danych Osobowych, jako właściciel serwisu informuje użytkownika o zagrożeniach związanych ze świadczoną usługą, w tym
o sposobach ochrony bezpieczeństwa, prywatności i danych osobowych poprzez umieszczenie informacji o stosowanych plikach cookies. Szczegółowe informacje dotyczące stosowanych zabezpieczeń zawiera umieszczona w serwisie Firmy Polityka prywatności.

  • 19.
    Zgoda na przetwarzanie danych osobowych.
  1. Zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych oraz art. 4 ust. 11 RODO, zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli,
    w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
  2. Zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana ani wynikać z oświadczenia woli o innej treści, tzn. zgoda nie może być zawarta np. w regulaminie, którego zaakceptowanie wiąże się ze zgodą na warunki
    w nim zawarte;
  3. Zgodnie z ust. 32 preambuły RODO, w przypadku pozyskania zgody w formie innej niż pisemna, na ADO ciąży obowiązek udowodnienia, że została ona pozyskana,
    a niedorozumiana – „Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody”;
  4. Zgoda na przetwarzanie danych osobowych powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, należy pozyskać odrębną zgodę na każdy cel;
  5. Zgodnie z ust. 32 preambuły RODO, elektroniczne pytanie o zgodę musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy;
  6. Zgoda na przetwarzanie danych osobowych może być odwołana w każdym czasie
    w sposób tak samo prosty i przystępny, w jaki została pozyskana.
  • 20.
  1. Zgoda na przetwarzanie danych osobowych nie jest wymagana w przypadku, gdy dane będą przetwarzane:
  • w związku z zawarciem umowy z osobą, której dane dotyczą,
  • na podstawie przepisu prawa,
  • w interesie publicznym,
  • w prawnie usprawiedliwionym celu administratora danych,
  • w przypadku żywotnego interesu osoby, której dane dotyczą, gdy pozyskanie zgody jest konieczne, ale niemożliwe.

  • 21.

    Zabezpieczenia danych osobowych.
  1. W celu zapewnienia należytej ochrony przetwarzania danych osobowych, w Firmie zastosowano środki w postaci zabezpieczeń technicznych i organizacyjnych;
  2. Dokumenty zawierające dane osobowe w formie papierowej, przechowywane są
    w szafkach zamykanych na klucz;
  3. Pomieszczenia, w których przetwarzane są dane osobowe są zabezpieczone przed skutkami pożaru (instalacja ppoż., gaśnica);
  4. W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenia dokonuje się poprzez pocięcie w niszczarce;
  5. Zastosowano specjalistyczne urządzenia chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania;
  6. Zastosowano kryptograficzne środki ochrony danych osobowych w stosunku do danych przetwarzanych na nośnikach zewnętrznych oraz danych przesyłanych poza obszar przetwarzania;
  7. Do ochrony dostępu do sieci komputerowej stosuje się zaporę sieciową Firewall;
  8. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
  9. Stosowany system informatyczny posiada mechanizm wymuszający okresową zmianę haseł dostępu;
  10. Dla potrzeb ochrony danych osobowych przetwarzanych w edytorach tekstu (Ms Word), arkuszach kalkulacyjnych (Ms Excel) lub programach równorzędnych (np. Open Office) i innych programach do tworzenia baz danych oraz w systemach informatycznych, np. Płatnik, system bankowości elektronicznej itp. stosuje się środki ochrony przed szkodliwym oprogramowaniem: robaki, wirusy, konie trojańskie itp.;
  11. Zastosowany system informatyczny umożliwia rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych;
  12. Zastosowany system informatyczny umożliwia określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego w tym systemie zbioru danych osobowych;
  13. Zainstalowano wygaszacz ekranów na stanowisku, na którym przetwarzane są dane osobowe;
  14. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika;
  15. Opracowano i wdrożono Politykę Bezpieczeństwa Informacji;
  16. Wszystkie osoby wykonujące czynności związane z przetwarzaniem danych osobowych zostały zaznajomione z przepisami dotyczącymi ochrony tych danych oraz z zasadami zabezpieczania danych w systemie informatycznym;
  17. Do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO oraz które podpisały oświadczenie
    o zachowaniu poufności zobowiązujące je do zachowania przetwarzanych danych
    w tajemnicy;
  18. Prowadzone są wykazy osób i podmiotów, którym udostępniono lub powierzono przetwarzanie danych osobowych;
  19. Dostęp osób nieposiadających stosownych upoważnień do pomieszczeń, w których przetwarzane są dane osobowe odbywa się wyłącznie za zgodą i w obecności administratora danych;
  20. Wykonane kopie zapasowe zbiorów danych osobowych przechowywane są
    w pomieszczeniu zabezpieczonym w sposób uniemożliwiający dostęp osobom nieuprawnionym;
  21. Po godzinach pracy dostęp do pomieszczeń mają osoby sprzątające upoważnione przez ADO;
  22. Osoby opuszczające puste pomieszczenie, w którym przetwarzane są dane osobowe, zobowiązane są do zamknięcia drzwi na klucz. Zabrania się pozostawiania klucza w drzwiach po ich zewnętrznej stronie, za wyjątkiem sytuacji związanych
    z ochroną przeciwpożarową;
  23. Po zakończeniu pracy użytkownik systemu informatycznego zobowiązany jest wylogować się z systemu, zamknąć okna w pomieszczeniu, umieścić materiały
    i dokumenty zawierające dane osobowe w szafach lub szufladach zamykanych na klucz, zgodnie z zasadą czystego biurka, czystej drukarki i czystej kopiarki (o ile takie urządzenia znajdują się w pomieszczeniu) oraz zniszczyć w niszczarce wszystkie materiały zbędne w postaci błędnie utworzonej lub niepotrzebnej dokumentacji mającej krótkotrwałe znaczenie praktyczne, m.in. wydruków komputerowych i innych materiałów analogowych zawierających dane osobowe.
  • 22.
  1. Udostępnianie drogą pocztową lub kurierską dokumentów i materiałów zawierających dane osobowe może odbywać się przesyłką rejestrowaną, a w przypadku danych zawartych na nośnikach magnetycznych, optycznych lub elektronicznych – przesyłką rejestrowaną za potwierdzeniem odbioru;
  2. W Firmie dopuszcza się stosowanie zabezpieczeń innych, niż wymienione w § 21.

  • 23.
    Sprawdzenia.
  1. Sprawdzenia zgodności przetwarzania danych osobowych z przepisami prawa oraz wewnętrznych regulacji obowiązujących w tym zakresie dokonuje Administrator Danych Osobowych nie rzadziej niż raz w roku;
  2. Sprawdzeniu podlega system informatyczny, w którym przetwarzane są dane osobowe, zabezpieczenia fizyczne i organizacyjne, bezpieczeństwo osobowe oraz zgodność stanu faktycznego z wymaganiami prawnymi;
  3. Zbiory danych oraz system informatyczny służący do przetwarzania lub zabezpieczania danych osobowych są obejmowane sprawdzeniem co najmniej raz na pięć lat;
  4. Dokumentowanie przez ADO czynności w toku sprawdzenia polega na tworzeniu materiałów w postaci papierowej lub elektronicznej w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  • 24.
    Odpowiedzialność.
  1. Za zapewnienie warunków organizacyjnych mających na celu zapewnienie należytego bezpieczeństwa danych osobowych odpowiada Administrator Danych Osobowych;
  2. Na Administratorze Danych Osobowych ciąży odpowiedzialność za wypełnienie obowiązku dbałości o zabezpieczanie danych osobowych przed ich udostępnieniem, zabraniem, przetwarzaniem z naruszeniem ustawy przez osoby nieuprawnione oraz zmianą, uszkodzeniem, utratą lub zniszczeniem.
  • 25.
  1. Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną wynikającą z rozdziału 8 art. 49 – 54a ustawy o ochronie danych osobowych oraz Rozporządzenia ogólnego (ROD);
  2. Odpowiedzialności karnej podlega administrator danych osobowych, który:
  • przetwarza w zbiorze danych dane osobowe, do których nie jest upoważniony,
  • przetwarza w zbiorze danych dane, których przetwarzanie jest zabronione,
  • przetwarza w zbiorze danych dane niezgodne z celem stworzenia tego lub innych zbiorów,
  • udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym,
  • nie zgłasza zbiorów danych podlegających rejestracji,
  • nie dopełnia obowiązku poinformowania osoby, której dane dotyczą,
    o przysługujących jej prawach,
  • uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw;

Rozdział 4.
Ogólne warunki korzystania z systemu informatycznego. Poczta elektroniczna.

  • 26.
  1. Zasady zachowania bezpieczeństwa w systemie informatycznym obejmują wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę informacji przed ich nieuprawnionym przetwarzaniem;
  2. Korzystanie z funkcjonalności systemu informatycznego jest możliwe pod warunkiem nadania przez Administratora danych „uprawnień Użytkownika systemu informatycznego” w postaci przyznania loginu i hasła tymczasowego, zmienianego na własne przy pierwszym logowaniu;
  3. Każdy Użytkownik systemu informatycznego stosowanego w Firmie jest zobowiązany do zapoznania się z zasadami korzystania z tego systemu;

  • 27.

 

  1. Zgodnie z postanowieniami niniejszej Polityki, zabrania się podejmowania jakichkolwiek czynności mających na celu naruszenie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym stosowanym w Firmie, w tym prób przełamania zabezpieczeń tego systemu;
  2. W celu zapobieżenia nieautoryzowanemu dostępowi do systemu informatycznego nie wolno przechowywać danych służących do logowania do systemu w miejscach dostępnych dla innych osób oraz ujawniać danych służących do logowania innym osobom;
  3. Zabronione jest korzystanie z systemu informatycznego z użyciem danych dostępowych innego Użytkownika;
  4. Ustawienie ekranu (ekranów) monitora (monitorów) winno uniemożliwiać osobom postronnym wgląd lub spisanie informacji aktualnie wyświetlanej na ekranie monitora;
  5. Bezwzględnie należy przestrzegać zasady „czystego biurka”, w szczególności przed opuszczeniem stanowiska pracy należy schować wszelkie dokumenty oraz informatyczne nośniki danych;
  6. W czasie kopiowania, drukowania dokumentów zawierających dane osobowe, obowiązuje zachowanie zasady „czystej drukarki”, „czystej kopiarki”, w szczególności przed opuszczeniem stanowiska kopiowania/drukowania należy upewnić się, że
    w urządzeniach nie pozostały dokumenty zawierające dane osobowe;
  7. Przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych z użyciem urządzeń mobilnych, należy sprawdzić, czy zawarte na nim dane są należycie zabezpieczone przed dostępem osób nieupoważnionych;
  8. Po zakończeniu przetwarzania danych osobowych, należy dokładnie zabezpieczyć je przed dostępem osób nieupoważnionych
  • 28.
    Poczta elektroniczna.

Podczas korzystania z poczty elektronicznej należy bezwzględnie dbać o jej bezpieczeństwo, w szczególności poprzez używanie silnego hasła dostępu, nieotwieranie załączników do poczty i linków pochodzących z nieznanych źródeł oraz zachowanie ostrożności podczas otwierania nieoczekiwanych załączników w korespondencji pochodzącej od znanych nadawców;


Rozdział 5.
Postępowanie na wypadek zagrożenia bezpieczeństwa danych osobowych.

  • 29.
  1. Ryzyko w zakresie bezpieczeństwa informacji, w tym danych osobowych, definiuje się jako prawdopodobieństwo wystąpienia zagrożeń i powstanie szkód, zniszczeń oraz przerw lub zakłóceń prawidłowego funkcjonowania systemu tradycyjnego oraz systemu informatycznego, w których przetwarzane są dane osobowe;
  2. Zarządzanie ryzykiem jest procesem identyfikacji zasobów, odpowiadających im podatności i zagrożeń, oceny prawdopodobieństwa ich wystąpienia, wielkości potencjalnych strat oraz przeciwdziałania i określenia kryteriów akceptowalności ryzyka. Obejmuje możliwie jak najszybszą identyfikację ryzyka związanego
    z planowanym działaniem, ocenę stopnia wpływu ryzyka na uzyskane wyniki lub cele oraz zastosowanie odpowiednich środków kontroli ryzyka;
  3. Proces zarządzania ryzykiem w zakresie bezpieczeństwa informacji zawierających dane osobowe, odnoszącym się do działalności Firmy, dokonywany jest przez Administratora Danych Osobowych;
  4. W procesie zarządzania ryzykiem do działań zapewniających ochronę przetwarzanych informacji należy w szczególności:
  • zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
  • utrzymanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację,
  • przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
  • podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji,
  • dokonanie bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4,
  • zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji,
  • zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
  1. monitorowanie dostępu do informacji,
  2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
  3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji,
  • ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
  • zawieranie w umowach serwisowych zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji,
  • ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji,
    w tym urządzeń mobilnych,
  • bezzwłocznego reagowania na incydenty naruszenia bezpieczeństwa informacji w sposób, umożliwiający szybkie podjęcie działań korygujących,
  • zapewnienie okresowego audytu wewnętrznego lub zewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
  • 30.
  1. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
  • próby naruszenia ochrony danych:

– z zewnątrz – włamania do systemu, podsłuch, kradzież danych
– z wewnątrz – nieumyślna lub celowa modyfikacja danych, kradzież danych,

  • programy destrukcyjne: wirusy, konie trojańskie, makra, bomby logiczne,
  • awarie sprzętu lub uszkodzenie oprogramowania,
  • zabór sprzętu lub nośników z ważnymi danymi ,
  • inne skutkujące utratą danych osobowych, bądź wejściem w ich posiadanie osób nieuprawnionych,
  • usiłowanie zakłócenia działania systemu informatycznego;
  1. Do typowych incydentów zagrażających bezpieczeństwu danych osobowych należą:
  • niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
  • niewłaściwe zabezpieczenie sprzętu IT i oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
  • nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek),
  • zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
  • zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych),
  • umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania);
  1. Do typowych źródeł informacji o incydentach, zagrożeniach lub słabościach systemu zalicza się:
  • zgłoszenia od Użytkowników,
  • alarmy z systemów informatycznych,
  • analizy incydentów,
  • wyniki audytów / kontroli.
  • 31.

Każda osoba posiadająca dostęp do danych osobowych, w przypadku stwierdzenia zagrożenia lub naruszenia ochrony tych danych, zobowiązana jest poinformować Administratora Danych Osobowych. Zasady działania w takich przypadkach określa tabela nr 1:

Tabela nr 1. Zasady działania w przypadku zagrożenia lub naruszenia ochrony danych osobowych

Kod uchybienia lub zagrożenia  

Uchybienie i zagrożenie nieświadome wewnętrzne i zewnętrzne

 

Postępowanie w przypadku uchybienia lub zagrożenia

                                                                                  W zakresie wiedzy:
A 1. Ujawnianie sposobu działania aplikacji
i systemu jej zabezpieczeń osobom niepowołanym. Ujawnienie informacji
o sprzęcie i pozostałej infrastrukturze informacyjnej. Dopuszczenie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np.
z obserwacji lub dokumentacji.
Natychmiast przerwać rozmowę lub inną czynność prowadzoną
do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić ADO.
W zakresie sprzętu i oprogramowania
B 1. Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport.
B 2. Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. Wezwać osobę bezprawnie korzystającą z komputera
do opuszczenia stanowiska. Pouczyć osobę, która dopuściła
do takiej sytuacji. Sporządzić raport.
B 3. Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci. Natychmiast zabezpieczyć notatkę z hasłem w sposób umożliwiający odczytanie. Niezwłocznie powiadomić ADO. Sporządzić raport.
B 4. Samodzielne instalowanie jakiegokolwiek oprogramowania. Pouczyć osobę popełniającą wymieniona czynność, aby jej zaniechała. Wezwanie ADO w celu odinstalowania programów. Sporządzić raport.
B 5. Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby
nie będące pracownikami.
Wezwać osobę nieuprawnioną do opuszczenia stanowiska.
Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy.
Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport.
W zakresie dokumentów i obrazów zawierających dane osobowe
C 1. Pozostawianie dokumentów
w otwartych pomieszczeniach
bez nadzoru.
Zabezpieczyć dokumenty. Sporządzić raport.
C 2. Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych. Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń. Sporządzić raport.
C 3. Wyrzucenie dokumentów w stopniu zniszczenia umożliwiającym
ich odczytanie.
Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Sporządzić raport.
C 4. Dopuszczenie do kopiowania dokumentów i utraty kontroli nad kopią. Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport.
C 5. Dopuszczenie, aby inne osoby odczytywały zawartość ekranu monitora na którym wyświetlane są dane osobowe. Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane. Sporządzić raport.
W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych
D 1. Opuszczanie i pozostawianie
bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany
do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych.
Zabezpieczyć (zamknąć) pomieszczenie. Powiadomić przełożonego. Sporządzić raport.
D 2. Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym. Wezwać osoby bezprawnie przebywające w pomieszczeniach
do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić ADO. Sporządzić raport.
W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci
E 1. Dopuszczenie lub ignorowanie faktu,
że osoby spoza administracji systemów informatycznych
i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci.
Wezwać osoby dokonujące zakazanych czynności
do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić ADO. Sporządzić raport.
E 2. Dopuszczanie do znalezienia się
w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej centralnych lub węzłów sieci komputerowej osób spoza administracji systemów informatycznych i telekomunikacyjnych.
Wezwać osoby dokonujące zakazanych czynności
do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić tożsamość. Powiadomić ADO. Sporządzić raport.
Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych
F 1. Ślady manipulacji przy układach sieci komputerowej lub komputerach. Powiadomić niezwłocznie ADO.
Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.
F 2. Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służących
do przetwarzania danych osobowych.
Powiadomić niezwłocznie ADO.
Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.
F 3. Obecność nowych programów
w komputerze lub inne zmiany
w konfiguracji oprogramowania.
Powiadomić niezwłocznie ADO.
Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.
F 4. Ślady włamania do pomieszczeń,
w których przetwarzane są dane osobowe.
Powiadomić niezwłocznie ADO.
Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.
Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z Użytkownikiem
G 1. Próba uzyskania hasła uprawniającego do dostępu do danych osobowych
w ramach pomocy technicznej
Powiadomić ADO. Sporządzić raport.
G 2. Próba nieuzasadnionego przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych
za pomocą aplikacji w bazie danych identyfikatorem i hasłem Użytkownika.
Powiadomić ADO. Sporządzić raport.

 

  • 32.
  1. W przypadku stwierdzenia wystąpienia zagrożenia, ADO prowadzi postępowanie wyjaśniające, w toku którego ustala zakres i przyczyny zagrożenia oraz jego potencjalne skutki, inicjuje ewentualne działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości, dokumentuje prowadzone postępowanie;
  2. ADO jest odpowiedzialny za analizę incydentów naruszenia bezpieczeństwa, zagrożeń lub słabości systemu ochrony danych osobowych. Gdy stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa źródło powstania incydentu, zagrożenia lub słabości, zakres działań korygujących lub zapobiegawczych, termin realizacji oraz osobę odpowiedzialną;
  3. ADO jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych. Po przeprowadzeniu działań korygujących lub zapobiegawczych, jest zobowiązany do oceny efektywności ich zastosowania i prowadzenia stosownej dokumentacji.

Rozdział 6.
Postanowienia końcowe

  • 33.
  1. W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
  2. Nad aktualnością Polityki Bezpieczeństwa Informacji w „Pretor” – Kancelarii Prawnej Adwokaci i Radcowie Prawni Bedryj, Kostrzewska i Partnerzy czuwa Administrator Danych Osobowych.