+48455516138 kontakt@repipe.pl
Zaznacz stronę

POLITYKA BEZPIECZEŃSTWA INFORMACJI

§1

[Postanowienia ogólne]

  1. Niniejszy dokument stanowi Politykę Bezpieczeństwa Informacji określającą cele, zasady i tryb postępowania oraz środki techniczne i organizacyjne podejmowane w celu zapewnienia bezpieczeństwa procesu przetwarzania danych osobowych i innych informacji przez Mateusza Czupika prowadzącego jednoosobową działalność gospodarczą pod firmą „RePipe Mateusz Czupik”, adres siedziby: Karliczka 36 lok. 60, 40-489 Katowice. Administrator prowadzi działalność polegającą na świadczeniu usług barmańskich mobilnie, na terenie imprez i wydarzeń okolicznościowych. Na dzień przyjęcia niniejszej Polityki Administrator nie zatrudnia pracowników ani nie współpracuje z podwykonawcami, jednak w przyszłości dopuszcza możliwość współpracy z osobami pomocniczymi lub innymi podmiotami (np. DJ, fotograf, catering). W takim przypadku osoby te będą posiadały indywidualne upoważnienia i zobowiązania do zachowania poufności lub umowę powierzenia przetwarzania danych osobowych, zgodnie z procedurami określonymi w niniejszej Polityce
  2. Stosowanie zasad oraz wdrożenie procedur, określonych w niniejszej Polityce Bezpieczeństwa ma na celu zapewnienie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe oraz utrzymania bezpieczeństwa ich przetwarzania.  
  3. Niniejsza Polityka Bezpieczeństwa Informacji została opracowana w oparciu o powszechnie obowiązujące przepisy prawa z zakresu ochrony danych osobowych i jej treść odpowiada wymaganiom stawianym w szczególności przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (Dz. Urz.UE.L Nr 119, str. 1), zwanego dalej RODO. 
  4. Bez względu na zajmowane stanowisko, miejsce wykonywanej pracy oraz charakter stosunku pracy, zasady określone w Polityce Bezpieczeństwa Informacji oraz dokumentach powiązanych powinny być znane i stosowane przez pracowników Administratora, w tym osoby zatrudnione na podstawie umów cywilnoprawnych.

§2

[Definicje]

Terminy użyte w niniejszej Polityce Bezpieczeństwa oznaczają:

  1. Administrator – Mateusz Czupik prowadzący jednoosobową działalność gospodarczą pod firmą “RePipe Mateusz Czupik”, adres siedziby: Karliczka 36 lok. 60, 40-489 Katowice.
  2. Osoba uprawniona – osoba posiadająca upoważnienie do przetwarzania danych osobowych wydane przez Administratora lub inny podmiot do tego umocowany;
  3. dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
  4. przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, w tym zbieranie, przechowywanie, usuwanie, opracowywanie, zmienianie, udostępnianie, usuwanie; 
  5. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych w Systemie;
  6. Polityka Bezpieczeństwa – niniejszy dokument wraz ze wszystkimi załącznikami.

§3

[Podstawowe założenia Polityki Bezpieczeństwa]

  1. Podstawy opracowania i wprowadzenia procedur i systemów ochrony danych osobowych zakładają wysoki poziom bezpieczeństwa przetwarzania danych osobowych ze względu na fakt, iż przynajmniej jedno z urządzeń Systemu informatycznego podłączone będzie do sieci publicznej.
  2. Administrator podejmuje wszystkie niezbędne kroki mające na celu zapewnienie pełnej i prawidłowej ochrony przetwarzanych danych osobowych. W szczególności zobowiązuje się, że dane osobowe będą:
  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
  2. zbierane dla oznaczonych, prawnie uzasadnionych celów i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
  3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
  4. merytorycznie poprawne i w razie potrzeby uaktualniane;
  5. przechowywane nie dłużej, niż jest to niezbędne do celów, w których dane są przetwarzane;
  6. zabezpieczone środkami technicznymi i organizacyjnymi, które zapewniają pełną ich ochronę.
  7. Podstawowymi założeniami ochrony informacji jest zagwarantowanie:
  1. poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
  2. integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  3. rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
  4. integralności systemu – rozumie się przez to nienaruszalność systemu, niemożność jakiejkolwiek manipulacji,
  5. uwierzytelniania – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,
  1. Administrator opiera ochronę danych osobowych o następujące filary:
    1. legalność – priorytetem jest ochrona prywatności, a także przetwarzanie danych zgodnie z prawem, 
    2. bezpieczeństwo – Administrator zapewnia odpowiedni poziom bezpieczeństwa danych oraz stale podejmuje działania w tym zakresie, 
    3. prawa osób – Administrator umożliwia osobom, których dane przetwarza wykonywanie swoich praw i prawa te realizuje, 
    4. rozliczalność – Administrator dokumentuje spełnianie obowiązków by móc wykazać w każdej chwili zgodność postępowania z prawem.
  2. Do wypełnienia założeń ochrony określonych w §3 pkt 1 w stopniu najbardziej efektywnym służy połączenie różnych zabezpieczeń w celu stworzenia kilku poziomów ochrony danych. Ochrona danych osobowych jest realizowana przez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe oraz przez Osoby uprawnione i Użytkowników. Stosowane środki bezpieczeństwa są wynikiem ustalonych analiz ryzyka oraz adekwatności środków bezpieczeństwa.
  3. Realizacji założeń określonych w §3 pkt 1 i 2 służy przede wszystkim:  
  1. Dokonanie inwentaryzacji i identyfikacji zbiorów danych osobowych przez Administratora, w tym ich zakresu, a także sposobów wykorzystania.
  2. Opracowanie i wdrożenie Instrukcji zarządzania systemem informatycznym, precyzującej procedury ochronne podejmowane przez Osoby uprawnione w toku pracy z Systemem informatycznym.
  3. Opracowanie i wdrożenie procedur postępowania w razie wystąpienia naruszeń lub zagrożenia naruszeniem bezpieczeństwa danych osobowych w Systemie informatycznym.
  4. Opracowanie oraz prowadzenie rejestru czynności przetwarzania danych osobowych. 
  5. Opracowanie i wdrożenie procedur szacowania ryzyka naruszenia praw lub wolności osób fizycznych.
  6. Dokonywanie na bieżąco weryfikacji podstaw prawnych przetwarzania danych osobowych, w tym zarządzanie zgodami na przetwarzanie danych osobowych, a także analiza przypadków przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora. 
  7. Odpowiedniego przeszkolenia pracowników, a w szczególności Osób uprawnionych, w zakresie bezpieczeństwa i ochrony danych osobowych (jeśli są zatrudnione).
  8. Zapewnienie Osobom uprawnionym dostępu do Systemu informatycznego stosownie do zakresu upoważnienia oraz stworzenie procedur identyfikacji i uwierzytelniania Osób uprawnionych w Systemie informatycznym.
  9. Przeprowadzania kontroli skuteczności ochrony i bezpieczeństwa danych osobowych w Systemie informatycznym, celem wyeliminowania zagrożenia naruszeniami.
  10. Opracowanie procedur postępowania w przypadku utraty danych i informacji.
  11. Doskonalenie przyjętych rozwiązań zgodnie z rozwojem techniki informatycznej i możliwości organizacyjnych.
  12. Opracowanie zasad i metod zarządzania minimalizacją danych, w tym zasad zarządzania adekwatnością danych, dostępem do nich, a także zarządzania okresem ich przechowywania oraz weryfikacji dalszej przydatności.
  13. Stworzenie mechanizmów ułatwiających wypełnienie obowiązku notyfikacji organowi nadzorczemu wystąpienia incydentu w zakresie przetwarzania danych osobowych. 
  14. Stworzenie mechanizmów ułatwiających wypełnienie obowiązku notyfikacji osobie, której dane dotyczą incydentu dotyczącego naruszenia lub wycieku danych jej dotyczących.
  15. Wdrożenie rozwiązań umożliwiających terminowe oraz udokumentowane wykonywanie praw osób, których dane dotyczą, w tym między innymi prawa do bycia zapomnianym, przenoszenia danych lub prawa do sprzeciwu.  
  16. Opracowanie i wdrożenie zasad wypełniania obowiązków informacyjnych względem osób, których dane są przetwarzane. 
  17. Stworzenie zasad doboru podmiotów trzecich przetwarzających na rzecz i w imieniu Administratora, a także opracowanie wymogów co do warunków przetwarzania oraz prowadzenie rejestru umów powierzenia. 
  18.  Opracowanie i wprowadzenie procedur uruchamiania nowych przedsięwzięć Administratora w taki sposób, by każdorazowo w fazie projektowania zmiany, inwestycji lub nowego projektu oceniać ich wpływ na ochronę danych, zapewnienie prywatności oraz możliwość wystąpienia ewentualnych zagrożeń.
  19. W związku z charakterem działalności oraz faktem, że siedziba firmy stanowi stałe miejsce prowadzenia działalności gospodarczej, przetwarzanie danych osobowych odbywa się w wyznaczonym biurze Administratora. Biuro stanowi miejsce przechowywania dokumentacji papierowej (w segregatorze) oraz sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych. 

§4

[Odpowiedzialność Administratora]

  1. Administrator jest odpowiedzialny za przetwarzanie i ochronę danych osobowych zgodnie z przepisami prawa, w tym w szczególności za wdrożenie odpowiednich i skutecznych środków technicznych i organizacyjnych mając na względzie charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Ponadto, Administrator dba o wprowadzenie procedur postępowania zapewniających prawidłowe przetwarzanie danych osobowych, rozumiane jako ochrona danych przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem, udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną. 
  2. Do obowiązków Administratora Danych Osobowych należy w szczególności:
  1. Wykazanie zgodności przetwarzania danych z prawem.
  2. Prowadzenie rejestru czynności przetwarzania danych.
  3. Dokonanie oceny skutków planowanych operacji przetwarzania danych.
  4. Notyfikacja organowi nadzorczemu wystąpienia incydentu w zakresie przetwarzania danych osobowych.
  5. Notyfikacja osobie, której dane dotyczą incydentu dotyczącego naruszenia lub wycieku danych jej dotyczących.
  6. Współpraca z organem nadzorczym.
  7. Określenie celów i strategii ochrony danych osobowych.
  8. Podział zadań i obowiązków związanych z organizacją ochrony danych osobowych.
  9. Sporządzanie lub zatwierdzanie, a także wdrażanie wymaganych przez przepisy prawa dokumentów regulujących ochronę danych osobowych, w tym odpowiednich polityk ochrony danych oraz zapewnienie ich ogólnodostępności dla wszystkich osób, które przetwarzają dane osobowe.
  10. Dokonywanie bieżących zmian Polityki bezpieczeństwa informacji oraz dokumentów powiązanych.
  11. Wdrożenie odpowiednich środków technicznych i organizacyjnych celem skutecznej realizacji zasad ochrony danych, między innymi takich jak minimalizacja danych.
  12. Wdrożenie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. 
  13. Reagowanie na zgłaszane incydenty związane z naruszeniem ochrony danych osobowych oraz analizowanie ich przyczyn i kierowanie wniosków dotyczących ukarania winnych naruszeń. 
  14. Bieżący nadzór oraz zapewnianie optymalnej ciągłości działania systemu informatycznego.
  15. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe.
  16. Podejmowanie niezwłocznych działań, w przypadku naruszenia bądź powstania zagrożenia naruszeniem bezpieczeństwa danych osobowych.
  17. Zapewnienie zgodności wszystkich wdrażanych systemów przetwarzania danych osobowych z RODO, a także innymi obowiązującymi przepisami o ochronie danych osobowych, Polityką bezpieczeństwa informacji i Instrukcją zarządzania systemem informatycznym.
  1. Administrator, jako osoba fizyczna prowadząca jednoosobową działalność gospodarczą, odpowiada samodzielnie za wdrożenie i stosowanie zasad ochrony danych osobowych.
  2. W sytuacji rozpoczęcia współpracy z osobami trzecimi, Administrator zapewnia im dostęp do danych wyłącznie w zakresie niezbędnym do realizacji usług, po wcześniejszym podpisaniu oświadczenia o zachowaniu poufności oraz upoważnienia do przetwarzania danych osobowych.

§5

[Osoby uprawnione i inni pracownicy Administratora]

  1. Na dzień przyjęcia niniejszej Polityki jedyną osobą przetwarzającą dane osobowe jest Administrator. W przypadku zaangażowania osób współpracujących (np. pomocników, barmanów, kierowców), Administrator nada im indywidualne upoważnienia do przetwarzania danych osobowych oraz zapewni zapoznanie z odpowiednią Instrukcją ochrony danych dla współpracownikówi. Współpracownicy zobowiązani są do zachowania poufności danych, których przetwarzanie powierzono im w związku z wykonywaniem usług. Administrator powołuje i rejestruje Osoby uprawnione do przetwarzania danych osobowych oraz prowadzi Ewidencję Osób uprawnionych do przetwarzania danych osobowych, o której mowa w §5 pkt 2 Instrukcji. Wzór powołania Osoby uprawnionej stanowi załącznik numer 9 do Polityki Bezpieczeństwa.
  2. Przetwarzania danych osobowych mogą dokonywać wyłącznie Osoby uprawnione.
  3. Zakres upoważnienia związany jest z zajmowanym stanowiskiem lub pełnioną funkcją oraz zakresem obowiązków służbowych ciążących na Osobie uprawnionej.
  4. Osoby uprawnione są zobowiązane do złożenia oświadczenia o zachowaniu danych osobowych i sposobów ich zabezpieczania w tajemnicy, przetwarzania danych osobowych zgodnie z przepisami oraz oświadczenia o znajomości Polityki bezpieczeństwa informacji. Wzór oświadczenia stanowi Załącznik nr 11. 
  5. W celu osiągnięcia i utrzymania wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych konieczne jest zaangażowanie ze strony każdego pracownika Administratora w zakresie ochrony danych osobowych.
  6. Każdy pracownik, który zostanie upoważniony przez Administratora do przetwarzania danych osobowych oraz każdy pracownik, który będzie miał dostęp do pomieszczenia, w którym przetwarzane są dane osobowe, powinien zostać uprzednio przeszkolony w zakresie przepisów prawnych dotyczących ochrony danych osobowych, procedur ochrony przyjętych przez Administratora oraz zadań i obowiązków z nich wynikających.
  7. Szkolenie powinno obejmować następujące zagadnienia:
  1. przepisy o ochronie danych osobowych;
  2. zasady przetwarzania danych osobowych;
  3. procedury dotyczące bezpiecznego przetwarzania danych osobowych w Systemie informatycznym;
  4. zasady użytkowania urządzeń i Systemu informatycznego służących do przetwarzania danych osobowych;
  5. zagrożenia na jakie może być narażone przetwarzanie danych osobowych, a w szczególności te związane z przetwarzaniem danych osobowych w systemach informatycznych;
  6. sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu informatycznego, w tym konieczność powiadomienia organu nadzorczego oraz osoby, której dane dotyczą;
  7. odpowiedzialność z tytułu naruszenia ochrony danych osobowych.
  1. Szkolenie może mieć formę udostępnienia Osobom uprawnionym stosownych materiałów szkoleniowych.
  2. Wszystkie Osoby uprawnione podlegają okresowym szkoleniom, w szczególności w razie modernizacji procedur ochrony lub Systemu informatycznego, zmiany przepisów prawa lub Polityki Bezpieczeństwa Informacji.
  3. Wszystkie Osoby uprawnione są zobowiązane do ścisłego współpracowania z Administratorem oraz wyznaczonymi przez niego osobami celem zapewnienia pełnej ochrony bezpieczeństwa danych osobowych.
  4. Osoba uprawniona powinna w szczególności:
  1. postępować zgodnie z Polityką bezpieczeństwa informacji i Instrukcją zarządzania systemem informatycznym;
  2. chronić dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem.
  3. zwracać szczególną uwagę podczas wchodzenia i wychodzenia do budynku oraz znajdujących się w nim do pomieszczeń, mając na względzie możliwość dostania się do nich osób nieuprawnionych;
  4. informować Administratora o wszystkich podejrzeniach naruszenia lub zagrożenia naruszenia bezpieczeństwa danych osobowych;
  5. przestrzegać procedur związanych z pracą w Systemie informatycznym (a w szczególności w związku z rozpoczęciem i zakończeniem pracy);
  6. informować Administratora o osobach nieupoważnionych znajdujących się w obiekcie;
  7. przekazywać Administratorowi wskazania dotyczące słabych ogniw procedur ochrony danych osobowych oraz projekty i propozycje ich ewentualnych ulepszeń;
  8. zachowywać w tajemnicy dane osobowe oraz informacje o sposobach ich zabezpieczenia;
  9. wykonywać wszelkie działania w celu zapewnienia ochrony danych osobowych.
  10. Za bieżącą ochronę danych osobowych odpowiada każda osoba przetwarzająca dane w zakresie zgodnym z zakresem upoważnienia, kompetencjami lub rolą sprawowaną w procesie przetwarzania danych.

§6

[Rejestr czynności przetwarzania danych osobowych]

  1. Odrębnie dla każdego procesu przetwarzania danych osobowych Administrator oraz podmiot przetwarzający dane prowadzi Rejestr czynności przetwarzania danych osobowych, w którym inwentaryzuje oraz monitoruje sposób, w jaki wykorzystuje dane osobowe.  
  2. Wzór Rejestru stanowi Załącznik numer 13 i jest aktualizowany w miarę zmian w działalności.
  3. Rejestr zawiera w szczególności:
  1. nazwę oraz adres Administratora;
  2. cele przetwarzania danych;
  3. opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
  5. informację o przekazaniu danych osobowych do państwa trzeciego;
  6. informację o planowanych terminach usunięcia poszczególnych kategorii danych;
  1. Rejestr jest prowadzony w postaci elektronicznej.
  2. Opis technicznych i organizacyjnych środków bezpieczeństwa danych został w sposób szczegółowy określony w Polityce oraz Instrukcji. 
  3. Rejestr prowadzony jest w uproszczonej formie elektronicznej.

§7

[Ochrona danych osobowych: zabezpieczenia fizyczne]

  1. Dane osobowe mogą być przetwarzane wyłącznie w pomieszczeniach przetwarzania danych osobowych. Ewidencja wszystkich budynków i pomieszczeń, w których przetwarzane są dane osobowe stanowi Załącznik numer 2. Dane osobowe przetwarzane są obecnie w siedzibie prowadzonej działalności oraz podczas wyjazdów na imprezy i inne wydarzenia. Dokumenty papierowe przechowywane są w zamykanym segregatorze, w miejscu niedostępnym dla osób trzecich. Dostęp do urządzeń (laptop, telefon) zabezpieczony jest hasłem i blokadą ekranu
  2. Do podstawowych zabezpieczeń fizycznych danych osobowych oraz budynków i pomieszczeń, w których dane są przetwarzane należy:
  1. wydzielanie pomieszczeń, w których dozwolone jest podejmowanie czynności związanych z przetwarzaniem danych osobowych;
  2. zabezpieczenie wejść do budynków i pomieszczeń poprzez zamykanie klasycznych zamków. 
  1. Klucze do pomieszczeń posiadają wyłącznie osoby do tego uprawnione. Klucze zapasowe do pomieszczeń są w posiadaniu Administratora i mogą być wydawane wyłącznie w przypadkach awaryjnych, za jego zgodą.
  2. Stały dostęp do pomieszczeń, w których przetwarzane są dane osobowe mają wyłącznie Osoby uprawnione.  

§8

[Ochrona danych osobowych: procedury organizacyjne]

  1. Szczegółowe opisy procedur organizacyjnych dotyczących pracy w Systemie informatycznym znajdują się w Instrukcji zarządzania systemem informatycznym, który stanowi Załącznik numer 1.
  2. Przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego odbywa się wyłącznie w obszarze wyznaczonym przez Administratora.
  3. Przetwarzanie danych osobowych na urządzeniach przenośnych może być dokonywane wyłącznie przy zachowaniu szczególnej ostrożności podczas transportowania i przechowywania urządzenia przenośnego.
  4. Zabronione jest przetwarzanie danych osobowych w czasie, gdy w pomieszczeniu znajdują się osoby nieupoważnione lub gdy zachodzi uzasadnione podejrzenie naruszenia ochrony danych osobowych.
  5. Osoby nieupoważnione mogą przebywać w pomieszczeniach, w których przetwarzane są dane osobowe wyłącznie w obecności Osób uprawnionych lub za zgodą Administratora.
  6. Administrator oraz osoby przez niego wyznaczone są odpowiedzialni za całość zagadnień dotyczących ochrony i bezpieczeństwa danych osobowych.
  7. Osoby uprawnione są zobowiązane do przestrzegania zasad określających dopuszczanie osób nieupoważnionych do pomieszczeń, w których przetwarzane są dane osobowe. 

§ 9

[Minimalizacja czasu przetwarzania danych]

  1. Administrator, z uwzględnieniem danych zawartych w rejestrze czynności przetwarzania danych weryfikuje przydatność przetwarzanych danych osobowych.
  2. Po ustaniu okresu użyteczności danych osobowych, Administrator usuwa ww. dane z systemu informatycznego, a także przekazuje dokumentację papierową do zniszczenia.  
  3. Administrator stosuje zasadę minimalizacji danych – gromadzi tylko dane niezbędne do wykonania usługi. W przypadku kontaktów telefonicznych lub mailowych dane klientów są zapisywane wyłącznie na zabezpieczonym laptopie lub telefonie Administratora. Administrator nie przechowuje danych klientów w komunikatorach internetowych ani na prywatnych kontach w mediach społecznościowych, chyba że klient sam przekaże je tym kanałem (np. Messenger), wówczas dane są przenoszone do bezpiecznego miejsca przechowywania.
  4. Dane klientów, kontrahentów i współpracowników przechowywane są przez okres niezbędny do realizacji celu, dla którego zostały zebrane, zgodnie z zasadami retencji opisanymi w Rejestrze czynności przetwarzania. Po upływie okresu przydatności dane są bezpiecznie usuwane lub niszczone.

§10

[Polityka niszczenia dokumentów oraz elektronicznych nośników zawierających dane]

  1. Zasady dotyczące niszczenia dokumentów należy stosować względem wszelkiego rodzaju dokumentów zawierających dane osobowe. Usuwanie danych osobowych jest jedną z operacji przetwarzania danych, dlatego winno odbywać się z poszanowaniem zasad wskazanych w przepisach prawa.
  2. Osoby uprawnione do przetwarzania danych osobowych niszczą dokumenty oraz inne nośniki zawierające dane osobowe w przeznaczonych do tego urządzeniach niszczących lub poprzez przekazanie wyspecjalizowanemu podmiotowi zewnętrznemu na podstawie umowy powierzenia danych osobowych. 

§ 11

[Przechowywanie dokumentów oraz elektronicznych nośników zawierających dane osobowe]

  1. Przetwarzanie danych osobowych, w tym ich przechowywanie odbywa się w obszarze określonym Załącznikiem numer 2 do Polityki.
  2. Dokumenty oraz nośniki zawierające dane osobowe są przechowywane poza godzinami pracy w pomieszczeniach zamykanych na klucz. Pomieszczenia oraz budynki wchodzące w skład obszaru przetwarzania danych osobowych, o którym mowa w Załączniku nr 2, są zabezpieczane poprzez zamknięcie na klucz po zakończeniu godzin pracy. Klucze do pomieszczeń i budynków są przechowywane w zamykanych na klucz szufladach, dostępnych wyłącznie dla osób upoważnionych.
  3. Osoby uprawnione obowiązane są do przechowywania kluczy do szaf służących przechowywaniu nośników danych osobowych w sposób uniemożliwiający dostęp do ww. kluczy przez osoby nieupoważnione do przetwarzania danych osobowych.

§ 12

[Zasada czystej drukarki, zasada czystego telefonu]

  1. Celem zminimalizowania zagrożenia uzyskania dostępu do danych osobowych przez osoby nieupoważnione wprowadza się tzw. czystej drukarki” oraz “zasadę czystego telefonu”. 
  2. Osoby uprawnione obowiązane są do pracy z dokumentami stanowiącymi nośnik danych osobowych w taki sposób, by na stanowisku pracy znajdowały się w danym momencie wyłącznie te dokumenty, które są wykorzystywane w realizacji bieżącego zadania. Po zakończeniu realizacji zadania oraz po godzinach pracy, dokumenty zawierające dane osobowe umieszcza się w zamykanych szafach lub pomieszczeniach.
  3. Osoby uprawnione korzystające ze wspólnych urządzeń drukujących, drukując dokumenty stanowiące nośniki danych osobowych, obowiązane są do drukowania tych dokumentów w mniejszych partiach oraz niepozostawiania tych dokumentów po wydruku na podajniku urządzenia drukującego.
  4. Osoby uprawnione wykonujące w ramach swoich obowiązków za pośrednictwem telefonu komórkowego fotografie lub skany dokumentów stanowiące nośnik danych osobowych obowiązane są gromadzić dane osobowe widoczne na fotografiach lub skanach dokumentów wyłącznie w jednym miejscu na dedykowanym serwerze w Systemie informatycznym, o którym mowa w Instrukcji Zarządzania Systemem Informatycznym. 
  5. Wszelkie zabezpieczenia dotyczące nośników danych zawarte w Instrukcji Zarządzania Systemem Informatycznym stosuje się odpowiednio do telefonów komórkowych oraz drukarek. 
  6. Zasady te stosuje się odpowiednio do pracy mobilnej. Dane klientów lub zdjęcia dokumentów nie mogą być przechowywane na telefonie dłużej niż przez okres wskazany w Rejestrze Czynności Przetwarzania. 

§ 13

[Prawa osób, których dane dotyczą. Obowiązek informacyjny]

  1. Administrator realizuje obowiązki informacyjne względem osób, których dane przetwarza, a także zapewnia obsługę ich praw spełniając żądania ww. osób poprzez następujące działania:
    1. przed zebraniem danych każda osoba otrzymuje wymagane prawem informacje, a fakt ten jest przez Administratora udokumentowany, 
    2. każde żądanie osoby, której dane są przetwarzane jest weryfikowane i wykonywane zarówno przez Administratora, jak i podmiot przetwarzający dane, 
    3. pracownicy Administratora są odpowiednio przeszkoleni i mają środki do tego, by żądania osób, których dane są przetwarzane były realizowane należycie i w stosownych terminach, a cały proces jest odpowiednio udokumentowany. 
  2. Administrator podejmuje wszelkie starania, aby komunikacja z osobami, których dane dotyczą, a także przekazywane informacje były czytelne, jasne i zrozumiałe. 
  3. Administrator dba o to, by w komunikacji z osobami używać prostego języka i jak najmniej cytować przepisy. 
  4. Komunikacja odbywa się zasadniczo na piśmie lub elektronicznie, co czyni zadość spełnieniu zasady rozliczalności. Wyjątkowo, na wniosek osoby komunikacja odbywa się ustnie, jednakże taka forma komunikacji nie uchybia konieczności potwierdzenia tożsamości w inny sposób niż ustnie. 
  5. Schemat obsługi żądań osób, których dane dotyczą stanowi Załącznik numer 14. 
  6. Administrator podaje na należącej do niego stronie internetowej lub przez niego zarządzanej niezbędne informacje w zakresie jego danych, możliwych sposobach kontaktu, a także prawach osób, których dane dotyczą. 
  7. Metody identyfikacji i uwierzytelniania tożsamości na potrzeby realizacji praw oraz spełnienia obowiązków informacyjnych opisano w Instrukcji zarządzania systemem informacyjnym.  
  8. Celem realizacji praw osób, których dane dotyczą, Administrator zapewnia odpowiednie mechanizmy pozwalające na identyfikację danych konkretnych osób, a także możliwość ich modyfikacji oraz usuwania. Opis zastosowanych środków znajduje się w Instrukcji zarządzania systemem informatycznym. 
  9. Administrator dokumentuje realizację obowiązków informacyjnych, a także żądań osób, których dane dotyczą. 
  10. Administrator przestrzega terminów udzielenia informacji o działaniach podjętych w związku z wystosowanym żądaniem. Jeśli miesięczny termin odpowiedzi nie może być zachowany, Administrator informuje osobę o jego przedłużeniu.
  11. Administrator informuje osobę o przetwarzaniu jej danych przy pozyskiwaniu danych od tej osoby, a także w przypadku pozyskania danych od osoby trzeciej.
  12. W przypadku przetwarzania danych niezidentyfikowanych, Administrator informuje o tym poprzez publiczne wywieszenie informacji, np. zamieszcza tablicę informacyjną o objęciu obszaru monitoringiem.
  13. Administrator informuje odbiorców danych o:
    1. sprostowaniu danych, ich usunięciu lub ograniczeniu przetwarzania,
    2. planowanej zmianie celu przetwarzania danych, 
    3. uchyleniu ograniczenia przetwarzania, 
    4. prawie sprzeciwu.
  14. W przypadku wystąpienia ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, Administrator bez zbędnej zwłoki zawiadamia tę osobę o naruszeniu ochrony danych osobowych. 
  15. W przypadku, gdy żądanie zgłosiła osoba, której dane nie są przetwarzane, Administrator informuje osobę o tym, że nie przetwarza danych jej dotyczących.
  16. O odmowie rozpatrzenia żądania Administrator informuje do miesiąca osobę, która takie żądanie zgłosiła o odmowie rozpatrzenia jej żądania i jej prawach z tym związanych. 
  17. Realizując żądanie dostępu do danych, Administrator informuje osobę, czy przetwarza jej dane, podaje szczegóły przetwarzania zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących. 
  18. Dostęp do danych może być zrealizowany w szczególności poprzez wydanie kopii danych. Pierwsza wydana kopia danych jest bezpłatna. Cennik wydawanych kolejnych kopii danych stanowi Załącznik numer 15.
  19. Administrator dokonuje sprostowania danych, ich uzupełniania oraz aktualizacji na żądanie osoby, której dane dotyczą. 
  20. Administrator usuwa dane na żądanie osoby, której dane dotyczą w następujących przypadkach:
    1. dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach, 
    2. zgoda na przetwarzanie została cofnięta i nie występuje inna podstawa przetwarzania, 
    3. osoba wniosła skuteczny sprzeciw względem przetwarzania danych, 
    4. dane były przetwarzane niezgodnie z prawem, 
    5. konieczność usunięcia wynika z obowiązku prawnego, 
    6. żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego.
  21. Procedura obsługi prawa usunięcia danych została opisana w Instrukcji Zarządzania Systemem Informatycznym, czyniąc jednocześnie zadość efektywnej realizacji ww. prawa przy poszanowaniu zasad ochrony danych, w tym bezpieczeństwa. 
  22. Wykonując prawo do usunięcia danych Administrator informuje również inne podmioty, którym przekazał dane o konieczności ich usunięcia. 
  23. Administrator podejmuje działania mające na celu sprawną realizację prawa do ograniczenia przetwarzania. 
  24. W przypadku żądania przeniesienia danych, Administrator wydaje w formacie nadającym się do odczytu maszynowego dane dotyczące tej osoby, które dostarczyła Administratorowi. 
  25. Realizacja prawa sprzeciwu wobec przetwarzania danych następuje po uprzedniej weryfikacji uzasadnienia zgłoszenia oraz podstawy prawnej realizacji żądania. Administrator uwzględni sprzeciw, o ile nie zachodzą po jego stronie ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. 
  26. Administrator uwzględnia sprzeciw względem przetwarzania danych na potrzeby marketingu bezpośredniego, a także zaprzestaje przetwarzania danych w ww. celu. 
  27. Administrator zapewnia realizację praw osób, których dane dotyczą, również w przypadku kontaktów elektronicznych lub przez media społecznościowe.
  28. Przykładowe wzory klauzul informacyjnych zawarto w Załączniku numer 12. 

§ 14

[Powierzanie przetwarzania danych osobowych]

  1. Powierzenie przetwarzania danych osobowych polega na przekazaniu danych podmiotowi trzeciemu, który przetwarza dane w imieniu i na rzecz Administratora.
  2. Administrator przy wyborze podmiotu trzeciego, o którym mowa w ust. 1, kieruje się przede wszystkim kryterium bezpieczeństwa danych – czy ww. podmiot daje wystarczające gwarancje wdrożenia odpowiednich środków adekwatnych do ryzyka naruszenia danych osobowych, a także realizacji praw jednostki oraz innych obowiązków ochrony spoczywających na Administratorze. 
  3. Wskazane w ust. 1 powierzenie przetwarzania danych osobowych może się odbywać wyłącznie w trybie przewidzianym w art. 28 RODO poprzez zawarcie na piśmie lub w formie elektronicznej umowy powierzenia przetwarzania danych osobowych.
  4. W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim zobowiązania podmiotu przetwarzającego do:
  1. przetwarzania danych wyłącznie na udokumentowane polecenie administratora;
  2. zapewnienia, by Osoby uprawnione zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmowania środków zabezpieczenia danych wymaganych przez RODO i pomagania administratorowi wywiązać się z tych obowiązków;
  4. przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, w tym między innymi za zgodą Administratora;
  5. pomagania Administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania jej praw określonych w RODO;
  6. usunięcia danych lub do zwrotu danych Administratorowi danych po zakończeniu przetwarzania, zgodnie z decyzją administratora;
  7. udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia jego obowiązków oraz do umożliwiania Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzania audytów.
  1. Projekt umowy powierzenia przetwarzania danych osobowych innemu podmiotowi przygotowuje zespół powołany przez Administratora.
  2. Powierzenie przetwarzania danych osobowych poza granice Rzeczypospolitej Polskiej wymaga zgody Administratora i odbywa się po sprawdzeniu wymagań prawnych obowiązujących w tym zakresie.
  3. Administrator prowadzi Ewidencję umów powierzania przetwarzania danych osobowych, która stanowi Załącznik nr 6.

§15

[Kontrola przestrzegania zasad ochrony danych osobowych]

  1. Administrator poprzez wyznaczone osoby sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych, w tym w szczególności dokonuje okresowej kontroli i oceny funkcjonowania mechanizmów zabezpieczeń oraz przestrzegania zasad postępowania w przypadku naruszenia zabezpieczeń. 
  2. Przedmiotem kontroli powinny być w szczególności:
  1. funkcjonowanie zabezpieczeń fizycznych i organizacyjnych;
  2. funkcjonowanie zabezpieczeń systemowych (oprogramowanie);
  3. funkcjonowanie systemów uwierzytelniania;
  4. realizacja wdrożonych procedur.
  1. Z przeprowadzonych kontroli sporządza się protokoły, które szczegółowo opisują stan przestrzegania i skuteczności ochrony danych osobowych. Protokoły są przechowywane przez Administratora.
  2. W jednoosobowej działalności kontrolę i ocenę skuteczności zabezpieczeń przeprowadza sam Administrator co najmniej raz w roku lub po każdej zmianie istotnej dla bezpieczeństwa danych (np. wymiana sprzętu, wdrożenie nowego narzędzia informatycznego).

§16

[Naruszenie ochrony danych osobowych]

  1. Naruszeniem ochrony danych osobowych jest w szczególności:
  1. udostępnienie danych osobowych lub próba uzyskania do nich dostępu przez osoby nieupoważnione;
  2. nieuprawniony dostęp lub próba dostępu do Systemu informatycznego lub do pomieszczeń, w których przetwarzane są dane osobowe;
  3. zabranie i modyfikacja danych osobowych lub ich próby przez osobę nieuprawnioną;
  4. naruszenie integralności Systemu informatycznego;
  5. przetwarzanie danych osobowych z naruszeniem przepisów RODO;
  6. zmodyfikowanie lub utrata danych osobowych;
  7. uszkodzenie lub zniszczenie danych osobowych;
  8. włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe;
  9. każdy stan uzasadniający podejrzenie naruszenia lub próby naruszenia procedur ochronnych przez osobę nieuprawnioną.
  10. Wszystkie incydenty naruszenia ochrony danych osobowych podlegają wpisowi do Ewidencji, stanowiącej Załącznik numer 3. Z każdego naruszenia Administrator sporządza ponadto protokół, wzór protokołu stanowi Załącznik numer 4.

§17

[Postępowanie w przypadku naruszeń ochrony danych osobowych]

  1. Przed przystąpieniem do pracy Osoba uprawniona jest obowiązana sprawdzić stan urządzeń komputerowych oraz całego stanowiska pracy, w tym zwrócić szczególną uwagę czy nie zaszły okoliczności wskazujące na naruszenie lub próby naruszenia ochrony danych osobowych.
  2. W przypadku stwierdzenia przez Osobę uprawnioną naruszenia zabezpieczenia Systemu informatycznego lub podejrzenia, że zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu mogą wskazywać na naruszenie bezpieczeństwa danych osobowych, osoba uprawniona jest zobowiązana niezwłocznie poinformować o tym Administratora oraz podjąć niezbędne kroki mające na celu zapobieżenie dalszym skutkom naruszenia, a w szczególności:
  1. powstrzymać się od rozpoczęcia lub kontynuowania pracy, jak również podjęcia wszelkich innych czynności, które skutkować mogą zniekształceniem dokonanego naruszenia lub dopuszczeniem do zwiększenia jego skali;
  2. zabezpieczyć System informatyczny przed dostępem do niego osób nieupoważnionych;
  3. wykonywać wszystkie polecenia Administratora lub osoby przez nich wyznaczonej.
  1. Każdy pracownik Administratora jest zobowiązany poinformować go niezwłocznie o zajściu lub podejrzeniu zajścia okoliczności określonych w § 17 pkt 2.
  2. W przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki – nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłasza wystąpienie incydentu Organowi Nadzorczemu, zgodnie z wymogami art. 33 RODO. 
  3. W przypadku wystąpienia incydentu bezpieczeństwa dotyczącego danych osobowych powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zawiadamia również o incydencie osobę, której dane dotyczą, na zasadach określonych w art. 34 RODO. 
  4. Ponadto, w przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na zagrożenie jego wystąpieniem, Administrator podejmuje następujące czynności:
  1. ocenia sytuację, biorąc pod uwagę stan pomieszczeń, urządzeń i Systemu informatycznego, identyfikując rodzaj i skalę naruszenia;
  2. wysłuchuje relacji osoby, która powiadomiła o naruszeniu;
  3. niezwłocznie podejmuje niezbędne decyzje i działania, mające na celu zapobieżenie dalszym skutkom naruszenia, stosownie do rodzaju i skali naruszenia;
  4. sporządza protokół z naruszenia, zgodnie z Załącznikiem nr 4 do Polityki Bezpieczeństwa.
  1. Administrator lub osoba przez niego upoważniona, podejmuje działania mające na celu likwidację skutków naruszenia oraz zapobieżenie ich występowania w przyszłości. Jeżeli zachodzi taka potrzeba, wdraża niezbędne dla zachowania poziomu bezpieczeństwa dodatkowe formy ochrony danych osobowych.
  2. W przypadku zaistnienia naruszenia Osoba uprawniona może rozpocząć lub kontynuować pracę z Systemem informacji dopiero po otrzymaniu pozwolenia Administratora lub osoby przez niego upoważnionej.
  3. W przypadku kradzieży urządzeń komputerowych, każdy pracownik Administratora ma obowiązek niezwłocznie poinformować o zaistniałym fakcie Administratora oraz jednostkę policji, a także dążyć do szybkiego i pełnego wyjaśnienia wszystkich okoliczności sprawy.
  4. W przypadku, gdy naruszenie ochrony danych osobowych stanowiło naruszenie obowiązującej u Administratora dyscypliny pracy, przepisów prawa lub przepisów wewnętrznych, Administrator może przeprowadzić postępowanie wyjaśniające mające na celu ustalenie zakresu odpowiedzialności pracowników oraz podjęcia stosownych działań wobec tych osób.
  5. Osoba uprawniona oraz wszyscy inni pracownicy Administratora za naruszenie obowiązków wynikających z przepisów Polityki Bezpieczeństwa Informacji i przepisów o ochronie danych osobowych ponoszą odpowiedzialność określoną w wewnętrznych regulaminach Administratora, Kodeksie Pracy oraz przepisach powszechnie obowiązujących z zakresu ochrony danych osobowych.

§18

[Postępowanie w przypadku wystąpienia klęski żywiołowej]

  1. Klęską żywiołową jest wydarzenie wywołane działaniem sił przyrody, takich jak ogień, woda i wiatr.
  2. Każdy pracownik ma obowiązek poinformować niezwłocznie Administratora lub Osobę uprawnioną o zajściu prawdopodobieństwa wystąpienia sytuacji określonej w §18 pkt 1.
  3. Osoby przeprowadzające akcję ratunkową nie są zobowiązane do przestrzegania wymogów określonych w Polityce Bezpieczeństwa Informacji w zakresie, który jest niezbędny w danej sytuacji.
  4. W przypadku ogłoszenia alarmu ewakuacyjnego pracownicy Administratora są zobowiązani, w miarę możliwości do:
  1. zakończenia pracy z Systemem informatycznym;
  2. zabezpieczenia danych osobowych.
  1. W czasie trwania akcji ratunkowej i po jej zakończeniu Administrator oraz wszyscy pracownicy mają obowiązek, w miarę możliwości, zabezpieczyć dane przed dostępem do nich osób nieuprawnionych.
  2. Niniejsza Polityka oraz dokumenty z nią powiązane powinny być aktualizowane wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.

§19

[Procedura przeprowadzenia analizy ryzyka]

  1. Zastosowanie Analizy ryzyka
  1. Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
  2. Przyjęto, że analiza ryzyka przeprowadzana jest dla kategorii osób lub dla procesów przetwarzania. 
  3. Rezultaty analizy determinują powstanie lub kształt wielu obowiązków prawnych Administratora. Należą do nich między innymi:
  1. obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać,
  2. obowiązek uwzględnienia ochrony danych w fazie projektowania,
  3. obowiązek prowadzenia Rejestru czynności przetwarzania,
  4. obowiązek dokonywania oceny skutków dla ochrony danych aktualizujący się w przypadku istnienia dużego prawdopodobieństwa wysokiego ryzyka naruszenia praw lub wolności osób fizycznych,
  5. obowiązek uprzedniej konsultacji z Prezesem Urzędu Ochrony Danych Osobowych.
  1. Metodologia Analizy ryzyka i oceny skutków przetwarzania dla ochrony danych jest również przydatna podczas dokonywania oceny czy zaistnienie Incydentu materializuje obowiązek zgłoszenia naruszenia ochrony danych osobowych Organowi nadzorczemu oraz obowiązek zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.
  2. Analiza ryzyka oraz ocena skutków znajdą także szerokie zastosowanie w wewnętrznych procesach analizy ryzyka biznesowego Administratora na potrzeby zarządcze. Konstruując założenia i metodologię analizy ryzyka i oceny skutków Administrator starał się w maksymalnym stopniu uwzględnić powyższe cele.
  3. Przebieg analizy Ryzyka
  1. Proces analizy ryzyka polega co do zasady na zidentyfikowaniu wszystkich czynności przetwarzania a następnie ocenie prawdopodobieństwa oraz wagi potencjalnych ryzyk związanych z każdą z nich dla praw i wolności osób fizycznych. Ocena ryzyka wykonywana jest przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania.
  2. Analiza ryzyka składa się z poniższych etapów: 
  1. Zidentyfikowanie wszystkich czynności przetwarzania dokonywanych przez Administratora na moment przeprowadzania analizy. Czynności przetwarzania stanowiące punkt wyjścia dla wskazania potencjalnych ryzyk powinny być zgodne z Rejestrem czynności przetwarzania, który stanowi ich bieżący zbiór.
  2. Określenie każdej z istotnych cech czynności przetwarzania wpływającej na ryzyka związane z daną czynnością przetwarzania. Do cech tych należą charakter, zakres, cel i kontekst przetwarzania w ramach każdej z czynności. Pojęcia te mają następujące znaczenia:
  1. kategoria danych osobowych – charakter przetwarzanych danych a więc to czy są sensytywne, wrażliwe, szczególnie chronione. Czy są wśród nich dane, których utrata poufności, integralności, mogą skutkować powstaniem znaczącej krzywdy lub straty po stronie osoby fizycznej, której dane dotyczą;
  2. zakres przetwarzania – rodzaj i intensywność przetwarzanych danych, skala przetwarzania,  liczba osób fizycznych, których te dane dotyczą, liczba osób, które do tych danych uzyskują dostęp, liczba nośników, na których dane występują, liczba urządzeń służących do ich przetwarzania i tym podobne;
  3. kontekst przetwarzania danych – wszelkie okoliczności prawne i faktyczne przetwarzania to jest typy Aktywów wykorzystywanych do przetwarzania danych, intensywność ingerencji w prywatność danego procesu przetwarzania danych, okres retencji danych, okoliczność czy dane przetwarzane są w interesie osoby fizycznej czy też Administratora danych, czy przetwarzane są dane konsumentów, czy przedsiębiorców, czy przetwarzanie danych odbywa się na podstawie obowiązku publicznoprawnego czy też jest wynikiem działań w sferze prywatnoprawnej w ramach którego oceniana jest podstawa prawna przetwarzana i tym podobne;
  4. cele przetwarzania – powód, dla którego dane są przetwarzane.

3) Określenie prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych w związku z dokonywaniem danej czynności przetwarzania. Na prawdopodobieństwo wystąpienia ryzyka wpływają przede wszystkim zakres oraz kontekst przetwarzania danych. Prawdopodobieństwo przyjmuje w analizie wskaźnik „wysokie” bądź „niskie”.

4) Określenie wagi ryzyka jakie może zaistnieć w związku z określoną czynnością przetwarzania dla praw i wolności osób fizycznych. Ustalając wagę naruszenia Administrator ocenia jego wpływ w szczególności na te prawa i wolności osób fizycznych, które zostały zagwarantowane w Konstytucji Rzeczpospolitej Polskiej oraz Karcie Praw Podstawowych, takie jak prawo do prywatności. Przy ocenie wagi ryzyka brany jest pod uwagę zarówno charakter, kontekst, zakres jak i cel przetwarzanych danych. Waga ryzyka uzyskuje w raporcie wskaźnik „duże” lub „małe”. Podczas ustalania wagi ryzyka należy brać pod uwagę czy w szczególności:

  1. przetwarzanie danych osobowych może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności gdy przetwarzanie może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, tajemnicą przedsiębiorstwa,, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
  2. osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  3. przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe lub przynależność do związków zawodowych oraz dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
  4. oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych;
  5. Przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
  6. Przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

5) Określenie czy z danym rodzajem przetwarzania wiąże się obowiązek przeprowadzenia oceny skutków jakie to przetwarzanie będzie miało dla ochrony danych. Obowiązek taki materializuje się w jednej z następujących sytuacji:

  1. Czynność przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych zgodnie z rezultatem analizy z punktu 3 i 4;
  2. Dany rodzaj przetwarzania znajduje się w wykazie rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych zgodnie z art. 35 ust 4 RODO;
  3. W przypadku dokonywania systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  4. W przypadku przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO;
  5. Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Oceny skutków nie przeprowadza się również jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub e) RODO ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega Administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej – chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.

  1. Ocena skutków dla ochrony danych
  1. W sytuacji, w której z analizy ryzyka wynika, że istnieją czynności przetwarzania, wobec których konieczne jest przeprowadzenie oceny skutków dla ochrony danych, należy dokonać oceny skutków wobec każdej takiej czynności przed przystąpieniem do przetwarzania danych.
  2. Ocena skutków dla ochrony danych odbywa się na poniższych zasadach.
  1. Sporządzenie opisu planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez Administratora. 
  2. Dokonanie oceny, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania danych.
  3. Zdefiniowanie ryzyk dla praw i wolności osób fizycznych w oparciu o metodologię z punktu „Przebieg analizy ryzyka”.
  4. Opis środków planowanych w celu zapobieganiu ryzyku, w tym Zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą i innych osób, których sprawa dotyczy.
  1. Oceniając – w szczególności do celów oceny skutków dla ochrony danych – skutki operacji przetwarzania wykonywanych przez Administratora uwzględnia się przestrzeganie przez niego zatwierdzonych kodeksów postępowania, o których mowa w art. 40 RODO. 
  2. W stosownych przypadkach Administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania. 
  3. Jeżeli ocena skutków dla ochrony danych, wykaże, że dana czynność przetwarzania powodowałaby wysokie ryzyko, mimo zastosowania środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania Administrator konsultuje się z organem nadzorczym. 
  4. Zasady przeprowadzania analizy ryzyka
  1. Pierwsza analiza ryzyka została przeprowadzona przez Administratora danych przed przyjęciem niniejszego dokumentu. Analiza taka zdeterminowała ostatecznie zakres czynności przetwarzania danych przez Administratora oraz kształt Polityki Bezpieczeństwa Informacji. Analiza wykazała brak obowiązku konsultacji z organem nadzorczym. 
  2. Analiza ryzyka nie sprowadza się do jednorazowej operacji. Jest ona traktowana jako stały mechanizm wspierający ochronę danych osobowych stosowany zarówno okresowo bez względu na okoliczności, nie rzadziej niż raz do roku, jak i doraźnie za każdym razem kiedy zajdzie taka potrzeba np. przy modyfikacji czynności przetwarzania lub w przypadku uzasadnionych podejrzeń, że wzrosły dotychczasowe lub pojawiły się nowe ryzyka związane z przetwarzaniem danych.
  3. Analizę ryzyka przeprowadza Administrator lub osoba przez niego wyznaczona. Administrator zapewnia osobie wyznaczonej wszelką pomoc w zakresie przeprowadzenia analizy ryzyka, w tym udziela mu niezbędnych informacji o swojej działalności związanej z przetwarzaniem danych.
  4. Rezultatem przeprowadzanej analizy ryzyka jest raport z analizy ryzyka zawierający ocenę skutków dla danych osobowych. Raport uwzględnia ustalenia z każdego z etapów procesu analizy ryzyka, zostaje podpisany imieniem i nazwiskiem osoby przeprowadzającej analizę oraz opatrzony datą jego sporządzenia. Raport zostaje przedłożony Administratorowi danych w celu zapoznania się z jego ustaleniami.
  5. Wzór raportu stanowi Załącznik numer 16 do niniejszej Polityki.

§20

[Postanowienia końcowe]

  1. Polityka Bezpieczeństwa Informacji wraz ze wszystkimi załącznikami zawiera dane, których ujawnienie osobom nieupoważnionym mogłoby spowodować zagrożenie utratą skuteczności ochrony danych osobowych. W związku z tym stanowi przedmiot tajemnicy przedsiębiorstwa i nie może być udostępniana osobom nieupoważnionym w żadnej formie.
  2. Administrator jest zobowiązany do zapoznania każdego nowego pracownika z treścią Polityki Bezpieczeństwa Informacji oraz wszystkimi jej załącznikami.
  3. Osoba uprawniona zobowiązana jest złożyć oświadczenie o tym, że została zaznajomiona z przepisami RODO, a także z obowiązującą Polityką Bezpieczeństwa Informacji oraz Instrukcją zarządzania systemem informatycznym (tj. Dokumentacją ochrony danych osobowych).
  4. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (Dz. Urz.UE.L Nr 119, str. 1).
  5. Niniejsza Polityka Bezpieczeństwa wchodzi w życie z dniem 1 września 2025 r.