POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH obejmująca rejestr czynności przetwarzania danych osobowych w WMC TECH 2 Spółka z ograniczoną odpowiedzialnością
ROZDZIAŁ Ogólne zasady bezpieczeństwa
1. Preambuła
1.1. Niniejsza polityka bezpieczeństwa danych osobowych określa sposób przetwarzania danych osobowych przez WMC TECH 2 półka z ograniczoną odpowiedzialnością jako administratora danych osobowych – w tym:
1.1.1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów;
1.1.2. cele przetwarzania;
1.1.3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
1.1.4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
1.1.5. przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);
1.1.6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
1.1.7. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych których dane dotyczą.
1.2. Niniejsza polityka bezpieczeństwa danych osobowych określa także sposób przetwarzania danych osobowych przez WMC TECH 2 Spółka z ograniczoną odpowiedzialnością jako podmiot przetwarzający – w tym:
1.2.1. imię i nazwisko lub nazwę oraz dane kontaktowe każdego administratora lub podmiotu przetwarzającego, w imieniu którego WMC TECH 2 Spółka z ograniczoną odpowiedzialnością działa jako odpowiednio podmiot przetwarzający lub dalszy podmiot przetwarzający.
1.2.2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
1.2.3. przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);
1.2.4. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych których dane dotyczą.
1.3. Zasadnicze zasady w zakresie przetwarzania danych osobowych określają następujące akty prawne:
1.3.1. rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej nr L 119/1 z 4.5.2016; dalej: RODO)
1.3.2. ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2019.1781; dalej: ustawa o ochronie danych osobowych, u.o.d.o.),
1.4. Polityka bezpieczeństwa danych osobowych powinna być poddawana bieżącej aktualizacji, ale nie rzadziej niż raz do roku.
1.5. W przypadku, gdyby postanowienia Polityki okazały się z jakichkolwiek względów sprzeczne z powszechnie obowiązującym prawem – stosuje się przepisy prawa, z pominięciem postanowień Polityki.
2. Podstawowe definicje
2.1. Administrator Danych Osobowych, Administrator Danych (ADO) – osoba ustalająca cele i sposoby przetwarzania danych osobowych – którą jest WMC TECH 2 Spółka z ograniczoną odpowiedzialnością, z siedzibą w Andrychowie (34-120) przy ul. Krakowskiej 83, wpisana do rejestru przedsiębiorców KRS przez Sąd Rejonowy dla Krakowa – Śródmieścia, Wydział XII Gospodarczy KRS pod nr 0000509408, NIP: 123114168, REGON: 5512619225.
2.2. Administrator Bezpieczeństwa (AB) – osoba wyznaczona przez ADO, odpowiedzialna za zapewnianie, aby przetwarzanie danych osobowych przez ADO odbywało się zgodnie z przepisami o ochronie danych osobowych. Szczegółowy zakres obowiązków AB określa niniejsza Polityka. AB nie jest inspektorem ochrony danych, o którym mowa w art. 37 i nast. RODO, w związku z czym ADO nie ma obowiązku publikacji jego danych lub zawiadomienia o nich Organu Nadzorczego.
2.3. Administrator Systemów Informatycznych (ASI) – wyznaczona przez ADO osoba, odpowiedzialna za funkcjonowanie infrastruktury informatycznej, na którą składa się cały sprzęt informatyczny oraz systemów i aplikacji informatycznych, za ich przeglądy, konserwację oraz za stosowanie technicznych i organizacyjnych środków bezpieczeństwa w systemach informatycznych. Szczegółowy zakres obowiązków ASI określa niniejsza Polityka.
2.4. Dane osobowe –informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
2.5. Dane biometryczne – dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
2.6. Dane dotyczące zdrowia – dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
2.7. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
2.8. Organ Nadzorczy – Prezes Urzędu Ochrony Danych Osobowych.
2.9. Odbiorca danych – osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.
2.10. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
2.11. Polityka, Polityka bezpieczeństwa – niniejsza Polityka bezpieczeństwa danych osobowych.
2.12. Profilowanie – dowolna formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
2.13. Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
2.14. Pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
2.15. Strona trzecia -osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
2.16. Zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
2.17. Zgoda, Zgoda osoby, której dane dotyczą– dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
3. Obowiązki Administratora Danych Osobowych
3.1. ADO zobowiązany jest zapewnić w szczególności, aby dane osobowe były:
3.1.1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
3.1.2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
3.1.3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
3.1.4. prawidłowe i w razie potrzeby uaktualniane („prawidłowość”);
3.1.5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
3.1.6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
3.2. ADO powinien być w stanie wykazać przestrzeganie zasad określonych w pkt. 3.1 powyżej („rozliczalność”).
3.3. ADO może realizować swe obowiązki za pośrednictwem upoważnionych osób, w tym zwłaszcza AB lub ASI. Wyznaczenie może nastąpić w szczególności poprzez złożenie oświadczenia według wzorów stanowiących załącznik do niniejszej Polityki (zob. zał. nr 3).
3.4. W przypadku, gdy niniejsza Politykaprzewiduje, iż obowiązki ADO stanowią jednocześnie obowiązkiosób wskazanych w pkt. 3.3 – należy to rozumieć jako równoznaczne z udzieleniem przez ADO odpowiedniego upoważnienia danej osobie.
4. Zgodność z prawem
4.1. W ramach obowiązku zapewnienia zgodności z prawem przetwarzania danych osobowych, ADO powinien przetwarzać dane osobowe wyłącznie w przypadku, gdy istnieje ku temu podstawa.
4.2. Podstawa przetwarzania danych osobowych istnieje jeśli:
4.2.1. osoba, której dane dotyczą wyraziła Zgodę na przetwarzanie swoich danych osobowych w danym celu lub
4.2.2. jest to niezbędne do:
a) wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy lub
b) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
c) ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej lub
d) wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub
e) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
4.3. Przetwarzanie danych osobowych wrażliwych, w tym zwłaszcza danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia – jest dopuszczalne wyłącznie na warunkach określonych w powszechnie obowiązujących przepisach (w tym zwłaszcza art. 9 RODO).
5. Rzetelność, przejrzystość i prawidłowość
5.1. W ramach obowiązku zapewnienia rzetelności i przejrzystości przetwarzania danych – ADO powinien:
5.1.1. w przypadku pozyskania danych osobowych od osób, których dane te dotyczą – udzielać owym osobom informacji, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, o:
a) tożsamości i danych kontaktowych ADO,
b) celu i podstawie prawnej przetwarzania danych,
c) okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu,
d) prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także o prawie do przenoszenia danych,
e) prawie do wniesienia sprzeciwu wobec przetwarzania,
f) prawie wniesienia skargi do organu nadzorczego,
g) tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
5.1.2. Gdy ma to zastosowanie, informacja wskazana w punkcie poprzedzającym powinna obejmować informacje:
a) o prawie do cofnięcia Zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
b) jakie prawnie uzasadnione interesy ADO lub strona trzecia realizuje w związku z przetwarzaniem danych,
c) o odbiorach lub kategoriach odbiorów danych osobowych,
d) o zautomatyzowanym podejmowaniu decyzji, w tym o Profilowaniu.
e) informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
5.1.3. w przypadku pozyskiwania danych osobowych nie od osób, których dane dotyczą – udzielać w rozsądnym terminie, nie później niż w ciągu miesiąca, informacji wskazanych w pkt. 5.1.1 i 5.1.2 powyżej, uzupełnionych dodatkowo o wskazanie:
a) kategorii odnośnych danych osobowych
b) źródła pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
5.2. ADO na żądanie osoby, której dane dotyczą realizuje wszelkie przysługujące jej prawa, na zasadach określonych w załączniku nr 15 do niniejszej polityki – procedury udzielenia odpowiedzi na żądanie osób fizycznych,
5.3. W przypadku gdy w związku z prowadzoną działalnością ADO wydaje decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym Profilowaniu, ADO wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.ADO zwolniony jest z powyższych obowiązków w przypadkach przewidzianych prawem. W szczególności ADO nie musi podawać powyższych informacji, gdy osoba, której dane dotyczą, już nimi dysponuje. Tym niemniej zaleca się podawanie tych informacji we wszystkich sytuacjach, w których jest to możliwe, w tym zwłaszcza w ramach prowadzenia działalności online, pozyskiwania zgód, zawierania umów, etc. Wzór pisma obejmującego informacje, o których mowa powyżej, stanowi załącznik do niniejszej Polityki (zał. nr 2).
6. Integralność i poufność danych, ocena skutków
6.1. W ramach obowiązku zapewnienia integralności i poufności danych osobowych, ADO powinien wdrożyć odpowiednie środki techniczne i organizacyjne, zabezpieczające dane przed zmianą, utratą, uszkodzeniem lub zniszczeniem – przy czym:
6.1.1. rodzaj owych środków należy określić uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania.W stosownym przypadku zapewnić należy zwłaszcza:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
6.1.2. Określenie środków bezpieczeństwa danych powinno zostać dokonane zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania. Środki powinny być poddawane przeglądom i uaktualniane (data protection by design).
6.1.3. Należy zapewnić, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (data protection by default).
6.1.4. Zastosowane środki bezpieczeństwa powinny, przy uwzględnieniu czynników wskazanych w pkt. 6.1.1 powyżej, uwzględniać w szczególności zagrożenia wystąpienia:
a) sytuacji losowych – takich jak klęski żywiołowe (pożary, powodzie), ekstremalne czynniki środowiskowe (np. temperatura, wilgotność powietrza itd.), zamachy terrorystyczne.
b) czynów zabronionych, podejmowanych przez pracowników lub osoby trzecie (np. kradzież, podsłuch, naruszenie środków bezpieczeństwa systemów informatycznych),
c) błędów pracowników (np. dopuszczenie do przetwarzania danych osobowych osób nieuprawnionych),
d) awarii sprzętu – spowodowanych w szczególności zastosowaniem niewłaściwych urządzeń, brakiem prawidłowego serwisowania, starzeniem się nośników ponad datę wskazaną przez producenta itd.
e) awarii oprogramowania – spowodowanych w szczególności zastosowaniem oprogramowania niezatwierdzonego, brakiem regularnych aktualizacji lub serwisowania itd.
6.2. Ogólny opis środków bezpieczeństwa, stosowanych przez ADO, a także procedura ich oceny i aktualizacji – zostały zawarte w specyfikacji środków bezpieczeństwa stanowiącej załącznik do niniejszej Polityki (zał. nr 1).
6.3. ADO zapewnia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. W tym celu ADO:
6.3.1. dopuszcza do przetwarzania danych wyłącznie osoby przeszkolonej i posiadającej upoważnienie – udzielone zgodnie ze wzorem stanowiącym załącznik do niniejszej Polityki (zob. zał. nr 4),
6.3.2. prowadzi ewidencję osób upoważnionych stanowiącą załącznik do niniejszej Polityki (zob. zał. nr 5).
6.4. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych stosownie do postanowień art. 35 i n. RODO (DPIA – Data Protection Impact Assessment). Kryteria przedmiotowej oceny zostały doprecyzowane i wstępnie ocenione w analizie stanowiącej załącznik nr 11 do niniejszej Polityki (zob. zał. nr 11).
7. Administrator Bezpieczeństwa– AB
7.1. ADO w wyniku przeprowadzonej analizy stwierdził, że nie zachodzą przesłanki obligatoryjnego powołania inspektora ochrony danych, o których mowa w art. 37 ust. 1 RODO, w tym zwłaszcza:
7.1.1. ADO nie jest organem administracji publicznej.
7.1.2. główna działalność ADO nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – w szczególności poprzez stosowanie Profilowania;
7.1.3. główna działalność ADO nie polega na przetwarzaniu na dużą skalę danych wrażliwych, o których mowa w art. 9 RODO (w tym: danych biometrycznych lub danych dotyczących zdrowia).
– co szczegółowo uzasadniono w analizie stanowiącej załącznik do niniejszej Polityki (zob. zał. nr 12).
W związku z powyższym, ADO odstępuje od powołania inspektora ochrony danych, a w to miejsce powołuje Administratora Bezpieczeństwa – którego prawa i obowiązki w sposób wyczerpujący określa niniejsza Polityka wraz z powołanymi w jej treści dokumentami.
7.2. Obowiązki AB obejmują:
7.2.1. zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Polityce lub powszechnie obowiązujących przepisach, a także informowanie władz ADO o treści oraz zmianach w zakresie owych obowiązków i wszelkich wykrytych nieprawidłowościach,
7.2.2. udzielanie i cofanie upoważnień do przetwarzania danych osobowych, a także prowadzenie i aktualizacja ewidencji owych osób, a także ewidencji urządzeń (nośników pamięci) przenośnych,
7.2.3. zawieranie umów powierzenia danych osobowych – tam, gdzie jest to konieczne,
7.2.4. zapewnienie złożenia przez pracowników oświadczenia o znajomości przepisów o ochronie danych osobowych oraz zobowiązania do zachowania w tajemnicy danych osobowych oraz informacji na temat zabezpieczania danych osobowych,
7.2.5. nadzorowanie procesów związanych z przetwarzaniem danych osobowych, realizowanych w obrębie struktury organizacyjnej ADO, w tym:
a) obiegu oraz przechowywania dokumentów zawierających dane osobowe;
b) fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w tym dostępu do tych pomieszczeń oraz kontrolę przebywających w nich osób;
c) sposobu zabezpieczenia urządzeń przenośnych, na których przechowywane są dane osobowe;
d) sposobu postępowania z nośnikami danych, przeznaczonymi do likwidacji, przekazania podmiotowi nieuprawnionemu do przetwarzania danych lub naprawy;
7.2.6. nadzorowanie ASI, a także wszelkich osób mających dostęp do danych osobowych przetwarzanych przez ADO – w zakresie realizacji ich zadań związanych z ochroną danych osobowych,
7.2.7. organizowanie szkoleń pracowników z zakresu bezpieczeństwa przetwarzania danych osobowych,
7.2.8. reprezentowanie ADO w kontaktach z Organem Nadzoru, w tym zwłaszcza w związku z prowadzonymi przez Organ Nadzoru kontrolami, postępowaniami administracyjnymi, a także przy konsultacjach oceny skutków planowanego przetwarzania dla ochrony danych osobowych, przy zgłaszaniu przypadków naruszeń ochrony danych osobowych itd.,
7.2.9. reprezentowanie ADO w kontaktach z osobami, których dane dotyczą – co obejmuje zwłaszcza pełnienie nadzoru nad przesyłaniem stosownych informacji owym osobom oraz udzielanie odpowiedzi na ich żądania związane z przetwarzanymi przez ADO danymi osobowymi.
7.2.10. opracowanie, aktualizację i przechowywanie niniejszej Polityki wraz z załącznikami oraz powiązanej z nim dokumentacji, obejmującej zwłaszcza:
a) niniejsza Polityka wraz z aneksami, wersjami archiwalnymi itd.,
b) uchwały, zarządzenia, polityki itd. dotyczące ochrony danych osobowych,
c) protokoły z przeprowadzonych kontroli wewnętrznych i zewnętrznych w zakresie ochrony danych osobowych,
d) rejestr naruszeń ochrony danych osobowych, a także raporty odnoszące się do stwierdzonych przypadków naruszeń ochrony danych osobowych,
e) oceny skutków przetwarzania dla ochrony danych osobowych,
f) plany archiwizacji danych osobowych i programów służących do ich przetwarzania,
g) umowy zawierane z podmiotami przetwarzającymi w przedmiocie powierzenia danych.
7.3. Podczas realizacji swych zadań, AB ma prawo do:
7.3.1. uzyskiwania wszelkich informacji dotyczących przetwarzanych danych osobowych od wszystkich komórek organizacyjnych.
7.3.2. kontrolowania komórek organizacyjnych pod kątem właściwego zabezpieczenia pomieszczeń oraz systemów informatycznych, w których przetwarzane są dane,
7.3.3. proponowania ADO rozwiązań dotyczących ochrony danych osobowych,
7.3.4. wydawania poleceń kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych,
7.3.5. żądania od wszystkich pracowników udzielenia wyjaśnień i pomocy w sytuacjach naruszenia bezpieczeństwa danych osobowych lub w związku z nieprawidłowościami lub zagrożeniami związanymi z ochroną danych osobowych.
7.3.6. wnioskowania o ukaranie osób winnych naruszenia przepisów i zasad dotyczących ochrony danych osobowych.
8. Administrator Systemu Informatycznego – ASI
8.1. ADO celem zapewnienia AB pomocy w zakresie zabezpieczenia danych osobowych za pomocą środków informatycznych – może wyznaczyć Administratora Systemów Informatycznych (ASI).
8.2. Obowiązki ASI obejmują w szczególności:
8.2.1. zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Polityce lub powszechnie obowiązujących przepisach, w szczególności w zakresie informatycznych środków zabezpieczenia danych osobowych – i współdziałanie w tym celu z AB,
8.2.2. zapewnienie prawidłowego, ciągłego działania systemów, za pośrednictwem których przetwarzane są dane osobowe, a także zgodności przedmiotowych systemów z niniejszą Polityką oraz obowiązującymi standardami w zakresie bezpieczeństwa informacji,
8.2.3. zapewnienie takiej konfiguracji systemów, która będzie optymalna z punktu widzenia umożliwienia ADO wykonywania obowiązków wynikających z niniejszej Polityki oraz przepisów o ochronie danych osobowych,
8.2.4. zabezpieczenie systemów przed:
a) działaniem złośliwego oprogramowania, w tym zwłaszcza oprogramowania mającego na celu bezprawne uzyskanie dostępu do danych osobowych przez osoby trzecie;
b) wszelkimi zagrożeniami pochodzącymi z sieci publicznej;
8.2.5. nadzorowanie:
a) wykonywania kopii zapasowych, odpowiedniego ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych osobowych w przypadku awarii systemu;
b) napraw, konserwacji oraz likwidacji nośników danych osobowych ( w tym: urządzeń zawierających takie nośniki, jak np. komputery, telefony itd.);
c) stosowania zasady czystego ekranu, polegającej w szczególności na blokowaniu dostępu do urządzeń, za pomocą których możliwe jest uzyskanie dostępu do danych osobowych, na czas nieobecności użytkownika;
8.2.6. zapewnienie:
a) ochrony fizycznej serwerowni, a także nośników zawierających kopie zbiorów danych osobowych;
b) awaryjnego źródła zasilania oraz zabezpieczenia przed zakłóceniami w sieci zasilającej systemów informatycznych służących do przetwarzania danych osobowych;
8.2.7. realizację wytycznych AB w zakresie ochrony danych osobowych przetwarzanych z wykorzystaniem środków informatycznych,
8.2.8. informowanie AB o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych,
8.2.9. szkolenia użytkowników systemu w zakresie procedur i instrukcji zapewniających ochronę danych osobowych,
8.2.10. wyjaśnianie – wspólnie z AB – wszystkich zgłoszonych nieprawidłowości i incydentów,
8.2.11. zgłaszanie AB wykrytych przypadków naruszeń ochrony danych osobowych.
8.3. W przypadku braku wyznaczenia ASI, obowiązki ASI wykonuje AB.
9. Osoby upoważnione do przetwarzania danych
9.1. Do obowiązków wszelkich osób upoważnionych przez ADO do przetwarzania danych osobowych należy:
9.1.1. zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Polityce lub powszechnie obowiązujących przepisach w podległej komórce organizacyjnej – i współdziałanie w tym celu z AB,
9.1.2. sygnalizowanie ADO potrzeby zmiany zakresu upoważnień do przetwarzania danych osobowych przyznanych danej osobie lub osobom trzecim,
9.1.3. niedopuszczanie do czynności związanych z przetwarzaniem osób nie posiadających odpowiedniego upoważnienia,
9.1.4. w przypadku utworzenia nowego zbioru danych osobowych ustalenie, kogo dotyczą dane osobowe, jaki jest ich zakres (np. imię i nazwisko, adres zamieszkania, NIP, PESEL itp.), cel przetwarzania oraz komu dane osobowe mają być udostępniane. Wszystkie te informacje powinny zostać przekazane do AB oraz ASI,
9.1.5. zgłaszanie AB urządzeń (nośników pamięci) przenośnych, wykorzystywanych w danej jednostce organizacyjnej,
9.1.6. zgłaszanie AB wykrytych przypadków naruszeń ochrony danych osobowych.
10.Powierzanie przetwarzania danych osobowych
10.1. ADO może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu, jak również przyjmować dane osobowe administrowane przez osoby trzecie w powierzenie jako podmiot przetwarzający – w drodze umowy zawartej na piśmie. Podmiot przetwarzający powinien posiadać odpowiednią wiedzę fachową, wiarygodność i zasoby zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi powszechnie obowiązujących przepisów i chroniło prawa osób, których dane dotyczą.
10.2. Umowa powierzenia powinna określać co najmniej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora – a także zawierać inne postanowienia wymagane w świetle powszechnie obowiązujących przepisów (w tym zwłaszcza art. 28 ust. 3 RODO).
10.3. Przekazanie danych osobowych do państwa trzeciego (nie należącego do Europejskiego Obszaru Gospodarczego) lub organizacji międzynarodowej dopuszczalne jest wyłącznie na zasadach wynikających z powszechnie obowiązujących przepisów.
10.4. Wzory umów o powierzenie przetwarzania danych osobowych, które ADO powinien w miarę możliwości stosować w relacjach z osobami trzecimi, w tym: a) z podmiotami przetwarzającymi oraz b) z innymi administratorami, gdy ADO działa jako podmiot przetwarzający – stanowią załączniki do niniejszej Polityki (zob. kolejno zał. nr 6a i 6b).
10.5. Ewidencja umów powierzenia, zawartych przez ADO (zarówno jako administratora, jak i podmiot przetwarzający), została zawarta w rejestrze stanowiącym załącznik do niniejszej Polityki (zob. zał. nr 7).
11.Przetwarzanie danych osobowych; Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe; urządzenia przenośne
11.1. Przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego oraz kartotek odbywa się wyłącznie na obszarze wyznaczonym przez ADO.
11.2. Wykaz budynków, pomieszczeń lub części pomieszczeń, w których odbywa się przetwarzanie danych osobowych, stanowi załącznik do niniejszej Polityki (zob. zał. nr 8) – i powinien być na bieżąco aktualizowany przez AB.
11.3. Opis zbiorów danych osobowych, przetwarzanych przez ADO jako administratora, wraz ze wskazaniem podstawy przetwarzania – zawarty jest w Rejestrze stanowiącym załącznik do niniejszej Polityki (zob. zał. nr 9). Nadto, ADO prowadzi rejestr kategorii czynności przetwarzania dokonywanych w imieniu innych administratorów (zob. zał. nr 7).
11.4. W przypadku danych, dla których podstawą przetwarzania jest prawnie uzasadniony interes administratora lub osoby trzeciej – ADO każdorazowo przeprowadza dodatkową analizę w przedmiocie istnienia wspomnianego interesu. Przedmiotowa analiza stanowi załącznik do niniejszej Polityki (zob. zał. nr 13).
11.5. Przetwarzanie danych osobowych za pomocą urządzeń przenośnych może odbywać się poza obszarem przetwarzania danych wyłącznie za zgodą AB. AB prowadzi ewidencję takich przenośnych urządzeń (zał. nr 10).
11.6. Osoba użytkująca urządzenie przenośne, zawierające dane osobowe, zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w pkt. 11.1 wobec przetwarzanych danych osobowych. W razie utraty, uszkodzenia lub zniszczenia urządzenia – użytkownik niezwłocznie poinformuje o tym AB.
12.Szkolenia
12.1. Każdy nowo zatrudniony pracownik (bez względu na podstawę zatrudnienia) – przed dopuszczeniem do przetwarzania danych osobowych – podlega przeszkoleniu w zakresie przepisów o ochronie danych osobowych oraz wynikających z nich zadań oraz obowiązków (w tym zwłaszcza w zakresie treści niniejszej Polityki i wskazanej w niej dokumentacji). Dotyczy to także współpracowników, stażystów itd.
12.2. Wszyscy użytkownicy podlegają okresowym szkoleniom, stosownie do potrzeb wynikających ze zmian w systemie informatycznym (wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmian wewnętrznych regulacji.
12.3. Szkolenia organizuje AB lub ASI.
12.4. Uczestnictwo i zakres szkolenia powinny być każdorazowo odpowiednio udokumentowane.
13.Postępowanie na wypadek stwierdzenia naruszenia ochrony danych osobowych
13.1. Każda osoba, mająca dostęp do danych osobowych ADO, zobligowana jest informować AB o wszelkich przypadkach naruszenia ochrony danych osobowych, jak też zdarzeniach mogących świadczyć o zwiększonym zagrożeniu takiego naruszenia – jak zwłaszcza:
13.1.1. stwierdzenie naruszenia zabezpieczeń danych, w szczególności polegającego na przełamaniu zabezpieczeń fizycznych (np. poprzez zauważenie śladów włamania, przemieszczenia sprzętu, śladów korzystania ze sprzętu przez osoby nieuprawnione itd.) lub informatycznych (np. poprzez zauważenie: (i) braku dostępu do danych pomimo dysponowania stosownymi uprawnieniami; (ii) spowolnienia, niedziałania lub nieprawidłowego działania oprogramowania; (iii) obecności wirusa komputerowego lub innego złośliwego oprogramowania), ujawnieniu haseł dostępowych, otrzymaniu zgłoszenia osoby trzeciej itd.,
13.1.2. wykrycie naruszenia obowiązków związanych z ochroną danych osobowych, wynikających z powszechnie obowiązujących przepisów lub niniejszej Politykiz załącznikami – przez daną osobę lub osoby trzecie,
13.1.3. wykrycie zmiany stanu stanowiska pracy w porównaniu ze stanem pozostawionym,
13.1.4. wykrycie, iż dostęp do danych osobowych uzyskała osoba nieuprawniona.
13.2. AB niezwłocznie, przekaże informację o stwierdzonych naruszeniach do wiadomości odpowiednich władz ADO, w terminie wystarczającym do wykonania przez ADO obowiązków wskazanych w pkt. 13.3 i 13.4.
13.3. ADO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza je Organowi Nadzorczemu – chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie powinno co najmniej:
13.3.1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
13.3.2. zawierać imię i nazwisko oraz dane kontaktowe AB;
13.3.3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
13.3.4. opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków (np. zmiana haseł, odzyskanie danych osobowych przy wykorzystaniu kopii zapasowej, zastosowanie dodatkowych środków bezpieczeństwa fizycznego, teleinformatycznego lub organizacyjnego itd.).
13.4. ADO bez zbędnej zwłoki zawiadamia o naruszeniu osobę, której dane dotyczą – jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności owej osoby. Zawiadomienie powinno zostać sformułowane jasnym i prostym językiem, opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki o których mowa w pkt. 13.3.2-4 powyżej.
13.5. Zawiadomienie, o którym mowa w pkt. 13.4, nie jest wymagane w następujących przypadkach:
13.5.1. ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
13.5.2. ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 13.4;
13.5.3. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
13.6. Zgłoszenia naruszeń ochrony danych osobowych Organowi Nadzoru, jak również zawiadomienia osób których dane dotyczą – powinny być dokonywane przez AB, po odbyciu konsultacji z władzami ADO.
13.7. W razie stwierdzenia naruszenia ochrony danych osobowych, niezależnie od jego zakresu, wagi itd. – AB przeprowadzi postępowanie wyjaśniające, zakończone sporządzeniem stosownego raportu, który należy przekazać do wiadomości władz ADO. Raport z naruszenia ochrony danych osobowych powinien obejmować co najmniej:
13.7.1. datę i godzinę naruszenia, a także uzyskania przez ADO informacji o naruszeniu,
13.7.2. wskazanie, czy naruszenie zostało zgłoszone Organowi Nadzoru lub osobom których dane dotyczą,
13.7.3. kwestie, o których mowa w pkt. 13.3 powyżej – w postaci możliwie rozbudowanej i uwzględniającej wszelkie ustalenia dokonane po ewentualnym zgłoszeniu naruszenia
13.7.4. propozycję ew. dalszych działań, mających na celu eliminację podobnych naruszeń w przyszłości.
13.8. Raport, o którym mowa powyżej, powinien mieć formę pozwalającą Organowi Nadzoru dokonać weryfikacji, że ADO wywiązał się z obowiązków wynikających z powszechnie obowiązujących przepisów.