POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
ANWA SP. Z O.O.
Cel dokumentu: Określenie zasad przetwarzania danych osobowych w organizacji
POLITYKA BEZPIECZENSlWA DANYCH OSOBOWYCH
ANWA SP. Z O.O. Strona/ stron 3/11 /A
Cel dokumentu: Wersja: 1.0
Określenie zasad przetwarzania danvch osobowvch w oraanizacll Z dnia: 24-01-2018
Odoowiedzlałnv: I Kierownictwo I Stosowanie: Wszvstkie stanowiska pracv
2 INFORMACJE OGÓLNE
Polityka Bezpieczeństwa danych osobowych określa zasady przetwarzania danych osobowych w ANWA SP. z o.o. w celu zapewnienia ich
bezpieczeństwa. Bezpieczeństwo danych jest rozumiane jako zapewnienie:
• Poufności – dane nie są dostępne dla osób nieupoważnionych
• Dostępności – dane są dostępne i użyteczne na żądanie osób upoważnionych
• Integralności danych i systemów, w których dane są przetwarzane – dane nie są zmienione lub zniszczone w sposób
nieautoryzowany.
Politykę stosuje się do wszystkich danych osobowych przetwarzanych w organizacji, niezależnie od formy, zakresu przetwarzania, oraz
lokalizacji zbioru.
W przedstawionej dokumentacji za Administratora Danych Osobowych (ADO) rozumie się spółkę ANWA SP. z o.o. siedzibą w Warszawie, ul.
Włodarzewska 59A. Administratora Danych Osobowych reprezentuje Zarząd.
Ochrona danych osobowych przetwarzanych w spółce ANWA SP. z o.o. (zwana dalej Spółką lub ADO) obowiązuje wszystkie osoby (bez
względu na zajmowane stanowisko oraz miejsce wykonywania jak również charakter stosunku pracy), które mają dostęp do danych osobowych
zbieranych, przetwarzanych oraz przechowywanych w Spółce w związku z prowadzoną działalnością. Na potrzeby niniejszej polityki za
pracownika uznaje się wszystkie te osoby (również stażystów, praktykantów oraz osoby zatrudnione na umowę zlecenie lub o dzieło).
Osoby mające dostęp do danych osobowych zobowiązane są do stosowania środków określonych w niniejszej polityce, regulacjach
wewnętrznych Spólki, oraz innych aktach prawnych z którymi pracownik został zapoznany. Środki te mogą wiązać pracownika zarówno
podczas trwania stosunku pracy jak i po jego ustaniu.
3 PODSTAWA PRAWNA
Podstawą do opracowania niniejszego dokumentu i jego wdrożenia są następujące przepisy prawa:
a) Konstytucja Rzeczypospolitej Polskiej,
b) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z póżn. zm.),
c) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)
d) Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
4 UŻYTE DEFINICJE
1) Ustawa – Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
2) Rozporządzenie – Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać systemy informatyczne
służące do przetwarzania danych osobowych
3) RODO – Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
ANWA SP. Z O.O. Strona/ stron 4/11 v Cel dokumentu: Wersja: 1.0
Określenie zasad przetwarzania danych osobowych w organizacji Z dnia: 24-01-2018
Odpowiedzialny: I Kierownictwo I Stosowanie: Wsmtkle stanowiska oracv
4) Dane osobowe – przez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania
osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w
szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie
tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. [ def. ustawowa J
5) Zbiór danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według
określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
6) Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach
informatycznych. [ det. ustawowa J
7) System informatyczny – rozumie się przez to zespól współpracujących ze sobą urządzeń, programów, procedur przetwarzania
informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. [ def. ustawowa J
8) Usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie
tożsamości osoby, której dane dotyczą [ def. ustawowa J
9) Zgoda osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych
osobowych osoby, która składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. [
def. ustawowa J
10) Administrator Danych Osobowych (ADO)- rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa
w art. 3 ustawy o ochronie danych osobowych, decydujący o celach i środkach przetwarzania danych osobowych. [ def. ustawowa J
11) Administrator Systemu Informatycznego (ASI) – osoba lub dział zajmujący się w szczególności nadzorowaniem pracy serwerów,
zarządzaniem kontami użytkowników, konfiguracją komputerów, instalowaniem oprogramowania, dbaniem o bezpieczeństwo systemu i
opcjonalnie samych danych, nadzorowanie, wykrywanie i eliminowanie nieprawidłowości, asystowaniem i współpracą z zewnętrznymi
specjalistami przy pracach instalacyjnych, konfiguracyjnych i naprawczych oraz innych zadań wynikających z zaleconych obowiązków.
12) Administrator Bezpieczeństwa Informacji (ABI) – osoba nadzorująca z upoważnienia ADO przestrzeganie stosowania środków
technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz
kategorii danych objętych ochroną.
13) Użytkownik – osoba upoważniona do bezpośredniego dostępu do informacji w systemie. Użytkownicy mający dostęp do danych
osobowych przetwarzanych w systemie informatycznym posiadają ustalony identyfikator oraz hasło.
14) Odbiorca danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a. osoby, której dane dotyczą,
b. osoby upoważnionej do przetwarzania danych,
c. przedstawiciela w Rzeczypospolitej Polskiej, w przypadku opisanym w art. 31 a ustawy o ochronie danych osobowych,
d. podmiotu, któremu w drodze umowy zawartej na piśmie, powierzono przetwarzanie danych,
e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępnione w związku z prowadzonym
postępowaniem. [ def. ustawowa J
15) Użytkownik systemu – należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych zarejestrowaną w systemie
informatycznym ADO,
16) Użytkownik – należy przez to rozumieć każdą osobę korzystającą z komputera lub urządzenia mobilnego w obszarze bezpiecznym,
17) Sieć lokalna – należy przez to rozumieć połączenie systemów informatycznych ADO wyłącznie dla jego własnych potrzeb przy
wykorzystaniu urządzeń i sieci telekomunikacyjnych,
18) Sieć publiczna – należy przez to rozumieć publiczną sieć telekomunikacyjną w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo
telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z póżń. zm.),
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH A ANWA SP. Z O.O. Strona/ stron 5/11 V Cel dokumentu: Wersja: 1.0
Określenie zasad orzetwarzania danvch osobowvch w oraanizacli Z dnia: 24-01-2018
Odpowiedzialny: I Kierownictwo I Stosowanie: Wszvstkie stanowiska pracy
19) Użytkownik zdalny – użytkownik systemu łączący się z sieci rozleglej z systemem informatycznym ADO znajdującym się w sieci lokalnej,
lub pracujący zdalnie na danych poza siedzibą ADO,
20) Nośnik komputerowy (wymienny)- nośnik służący do zapisu i przechowywania informacji, np. dyskietka, dysk twardy, pendrive.
21) Program komputerowy – zbiór instrukcji, które po umieszczeniu na rozpoznawalnym przez maszynę nośniku i automatycznym
przetłumaczeniu na język zrozumiały dla tej maszyny powoduje, że osiąga on zdolność do wykonywania danej czynności lub też wykonuje
daną czynność.
22) Serwer – wyróżniony komputer świadczący usługi na rzecz mających z nim łączność innych komputerów np. przechowujący pliki,
pośredniczący w przekazywaniu poczty itp.
23) Baza danych – zbiór uporządkowanych powiązanych ze sobą tematycznie danych zapisanych np. w pamięci zewnętrznej komputera.
Baza danych jest złożona z elementów o określonej strukturze rekordów lub obiektów, w których są zapisane dane jednostkowych
obiektów.
24) Kopie bezpieczeństwa (zapasowe) – kopie plików danych lub plików programowania tworzone na nośniku wymiennym lub dysku
twardym komputera w celu ich odtworzenia.
25) w przypadku utraty lub uszkodzenia danych.
26) Teletransmisja (przesyłanie) danych – przesyłanie danych przy pomocy dostępnych łączy.
27) Plik- nośnik informacji, ciąg bajtów posiadający swoją nazwę odróżniającą ją od innych plików I parametry: rozmiar, datę powstania lub
datę ostatniej modyfikacji itp.
28) Nośnik komputerowy (wymienny, lub pamięć/nośnik przenośny)- nośnik służący do zapisu informacji, np. dyskietka, taśma, płyta
CD, wymienny dysk twardy, pamięć typu ,pen-drive’ lub jakakolwiek inna forma pamięci nadająca się do przenoszenia danych (np.
pamięć w urządzeniach tj. smartphone).
29) Szkodliwe oprogramowanie -(np. tzw. Wirus, koń trojański itd.) program, który uaktywniony w pamięci operacyjnej, powoduje wadliwe
działanie, zniszczenie lub modyfikację systemu operacyjnego, programu komputerowego lub danych, program, który udaje pracę innego
legalnego programu, a w międzyczasie wykonuje szereg niepożądanych czynności (np. fałszywy program ,login’ kradnie hasło
użytkownika).
5 ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH
5.1 ADMINISTRATOR DANYCH OSOBOWYCH
Do zadań Administratora danych osobowych, reprezentowanego przez Zarząd należy:
• Podział zadań i obowiązków związanych z organizacją ochrony danych osobowych, w szczególności decyzji o wyznaczeniu
Administratora Bezpieczeństwa Informacji;
• Podejmowanie decyzji o celach i środkach przetwarzania, zwłaszcza z uwzględnieniem zmian w obowiązujących przepisach prawa,
organizacji ADO oraz technik zabezpieczenia danych osobowych;
• Podejmowanie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych;
• Wydawanie upoważnień do przetwarzania danych osobowych dla wszystkich osób mających dostęp do danych osobowych
przetwarzanych w organizacji. Upoważnienia wydawane są przez ADO lub przez osobę posiadającą pełnomocnictwo ADO;
• Wdrażanie wewnętrznych procedur i regulacji dotyczących bezpieczeństwa danych;
• Regularna ocena ryzyka oraz ocena skutków przetwarzania danych osobowych;
• Zapewnienie niezbędnych środków w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych.
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH , / J
ANWA SP. Z O.O. Strona/ stron 6/11 N\M/A
Cel dokumentu: Wersja: 1.0
Określenie zasad przetwarzania danvch osobowvch w organizacji Z dnia: 24-01-2018
Odoowiedzialnv: I Kierownictwo I Stosowanie: WszvstJde stanowiska oracv
5.2 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI
Do zadań Administratora bezpieczeństwa informacji należy:
• informowanie ADO, oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy
przepisów o ochronie danych osobowych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz polityk administratora w dziedzinie ochrony danych
osobowych, w tym audyty;
• działania zwiększające świadomość i szkolenia personelu uczestniczącego w operacjach przetwarzania;
• nadzorowanie procesu udostępniania danych osobowych;
• nadzór nad dokumentacją przetwarzania danych osobowych;
• prowadzenie rejestru czynności przetwarzania u ADO
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
• analiza przypadków stwierdzonych lub podejrzewanych naruszeń bezpieczeństwa danych osobowych i przedstawianie w tym
zakresie raportu i zaleceń dla ADO;
• współpraca z Generalnym Inspektorem Ochrony Danych Osobowych i pełnienie funkcji punktu kontaktowego dla GIODO
5.3 ADMINISTRATOR SYSTEMU INFORMATYCZNEGO
Do zadań Administratora Systemu Informatycznego należy realizacja obowiązków przewidzianych w dokumentacji ochrony danych
osobowych, w szczególności:
• Przeciwdziałanie dostępowi osób nieupoważnionych do systemu informatycznego, w którym przetwarzane są dane osobowe, w
ramach posiadanych uprawnień;
• Na wniosek przydzielenie każdemu użytkownikowi identyfikatora i hasła oraz nadawanie, modyfikacja oraz odbieranie uprawnienia;
• Prowadzenie ewidencji użytkowników systemów informatycznych i uprawnień w tych systemach;
• Nadzorowanie działania mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do systemów służących do
przetwarzania danych osobowych;
• Podejmowanie działań służących zapewnieniu niezawodności działania komputerów, innych urządzeń mających wpływ na
bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej
teletransmisji;
• Prowadzenie rejestru incydentów naruszenia bezpieczeństwa systemu informatycznego przedstawianie w tym zakresie
kwartalnego sprawozdania ABI.
5.4 KIEROWNICY DZIAŁÓW
Do zadań Kierowników działów należy:
• Występowanie do ASI z wnioskami o nadanie uprawnień w systemie informatycznym dla podległych pracowników
• Zgłaszanie naruszeń lub podejrzeń naruszeń bezpieczeństwa danych do ABI, a jeżeli dotyczy to systemu informatycznego, również
ASI;
• Zapewnienie zapoznania podległych pracowników z wewnętrznymi regulacjami dotyczącymi ochrony danych, w tym aktualną
wersją niniejszego dokumentu.
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
ANWA SP. Z O.O. Strona/ stron 7/11
Cel dokumentu: Wersja: 1.0
Określenie zasad przetwarzania danvch osobowvch w oraanizacll Z dnia: 24-01-2018
Odoowledzialny: I Kierownictwo I Stosowanie: Wnvstkie stanowiska oracv
5.5 OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH
Do obowiązków wszystkich osób upoważnionych do przetwarzania danych osobowych należy:
/ 1 fA
• Przetwarzanie danych wyłącznie w takim zakresie i w takim celu, jaki wynika bezpośrednio z obowiązków służbowych oraz
nadanego upoważnienia do przetwarzania danych osobowych;
• Zachowanie w poufności r nieujawnianie osobom trzecim żadnych informacji, z jakimi zapoznały się w związku z pełnionymi
obowiązkami służbowymi w tym danych uwierzytelniających (np. haseł, loginów);
• Dbałość o bezpieczeństwo nośników i urządzeń służących do przetwarzania danych zarówno w siedzibie organizacji jak i poza nią.
• Zgłaszanie wszystkich podejrzanych lub faktycznych nieprawidłowości w procesie przetwarzania danych kierownikowi działu.
• Postępowanie zgodnie z wewnętrznymi regulacjami dotyczącymi przetwarzania danych osobowych w szczególności dotyczących
zabezpieczenia danych i nośników danych osobowych opisanych w Załączniku nr 7 do niniejszej Polityki – Instrukcji dla
pracowników;
6 PRZETWARZANE DANE OSOBOWE
Wykaz przetwarzanych danych osobowych znajduje się w Rejestrze czynności przetwarzania stanowiącym Załącznik nr 1 do niniejszej
Polityki.
7 UDOSTĘPNIANIE DANYCH OSOBOWYCH
Administrator Danych Osobowych udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym
do ich otrzymania na mocy przepisów prawa lub na podstawie zgody właściciela danych. Dane osobowe udostępnia się na pisemny,
umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej. Wniosek powinien zawierać następujące informacje:
1. Odbiorcę danych – wnioskodawca,
2. Podstawę do uzyskania informacji (zgoda, przepis prawa),
3. Informację dotyczącą właściciela danych ,
4. Zakres wymaganych informacji zgodny z uzyskaną zgodą lub przepisem prawa,
5. Cel uzyskania informacji
Wniosek jest rozpatrywany przez Administratora Danych lub upoważnionego przez niego pracownika. Osoba, która dokonała udostepnienia
zachowuje wniosek i kopię pisma, w którym udostępniła dane do celów prawidłowego wykonania obowiązku informacyjnego wobec właściciela
danych oraz do celów dowodowych.
Administrator Danych Osobowych może odmówić udostępnienia danych osobowych, jeżeli:
1. Spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób (z wyłączeniem sytuacji w której
do udostępnienia obliguje ADO przepis prawa).
2. Dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania Wnioskodawcy.
POLITYKA BEZPIECZENSTWA DANYCH OSOBOWYCH / J
ANWA SP. Z O.O. Strona/ stron 8/11 A N N A
Cel dokumentu: Wersja: 1.0
Określenie zasad przetwarzania danych osobowvch w omanizacll Z dnia: 24-01-2018
Odoow1edzlalnv: I Kierownictwo I Stosowanie: Wszvstkie stanowiska pracv
8 WYPEŁNIANIE OBOWIĄZKU INFORMACYJNEGO
Każda osoba, której dane zbiera bezpośrednio Administrator danych musi zostać poinformowana w momencie zbierania tych danych o:
• Nazwie i adresie Administratora danych
• Danych kontaktowych ABI (100)
• Celu i podstawie prawnej przetwarzania
• Ewentualnych odbiorcach danych
• Ewentualnym przekazaniu danych do państwa trzeciego
• Okresie w jakim dane będą przetwarzane
• Prawach przysługujących osobie (prawie dostępu do danych, do sprzeciwu i ewentualnego usunięcia oraz przenoszenia danych
• Prawie do wniesienia skargi do organu nadzorczego
• Obowiązku lub dobrowolności podania danych
• Ewentualnym zautomatyzowanym podejmowaniu decyzji w tym o profilowaniu
W przypadku pozyskania danych nie od osoby, której dane dotyczą, ale z innych żródeł podaje się ponadto żródlo pozyskania danych.
Informacji tych udziela się przy pierwszym kontakcie z osobą, lub w uzasadnionych przypadkach korespondencyjnie.
Informacje podane powyżej powinny znajdować się na wszystkich formularzach, na których zbierane są dane osobowe, zarówno w formie
papierowej jak i elektronicznej (np. formularze kontaktowe na stronach internetowych).
Każda osoba, której dane przetwarza Administrator danych ma prawo uzyskać powyższe informacje na żądanie. Odpowiedzi udziela się w
terminie 30 dni. ADO ma prawo odmówić udzielenia informacji, jeśli nie jest możliwe potwierdzenie tożsamości wnioskodawcy.
9 REALIZACJA PRAWA DO SPRZECIWU, USUNIĘCIA ORAZ PRZENOSZENIA
DANYCH
Prawo do sprzeciwu wobec przetwarzania danych przysługuje każdej osobie. Realizacja prawa może nastąpić na pisemny wniosek osoby,
który jest oceniany przez … ■
bana usuwane s na p,semnąprosbę wlasc1c1ela danych. Realizacja prawa polega na usunl cłu danych z systemu … Usunięcia dokonuje„
O usunięciu dan ch należy poinformować także … 1
Prawo do przenoszenia danych dla osób będących użytkownikami skle u internetowego realtzowane jest poprzez. .
10 ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DO ZAPEWNIENIA
POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZY PRZETWARZANIU
DANYCH
Dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych ADO stosuje środki techniczne i organizacyjne właściwe dla
wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, stosownie do wymogów określonych w
Rozporządzeniu.
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH /”1
ANWA SP. Z O.O. Strona/ stron 9/11 M M / A
Cel dokumentu: Wersja: 1.0
Określenie zasad przetwarzania danych osobowvch w organizacji Z dnia: 24-01-2018
Odaowiedzlafny: I Kierownictwo I Stosowanie: Wszvstkle stanowiska pracy
10.1 ZABEZPIECZENIA FIZYCZNE OBSZARU BEZPIECZNEGO
Administrator danych stosuje zabezpieczenia pomieszczeń, biur, miejsc i nośników danych, bez względu na ich formę, które chronią
przetwarzane dane przed dostępem osób nieupoważnionych. Do pomieszczeń, w których przetwarzane są dane osobowe dostęp mają
wyłącznie osoby posiadające upoważnienie od Administratora Danych;
Zasady ochrony fizycznej dla pracowników opisane są w Załączniku nr 7 do niniejszej Polityki – Instrukcji dla pracowników;
10.2 ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO
Zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych opisane są w Załączniku nr 12 do niniejszej
Polityki – Procedurze zarządzania systemem informatycznym.
10.3 ZABEZPIECZENIA ORGANIZACYJNE
• Administrator danych wyznaczył Administratora Bezpieczeństwa Informacji.
• Wszystkie osoby posiadające dostęp do danych osobowych posiadają pisemne upoważnienie ADO według wzoru stanowiącego
Załącznik nr 5 do niniejszej Polityki – Upoważnienie do przetwarzania danych osobowych wraz z Oświadczeniem o
zachowaniu poufności, oraz prowadzona jest ewidencja osób upoważnionych do przetwarzania danych zawierająca:
o imię i nazwisko osoby upoważnionej.
o datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
Ewidencja prowadzona jest wg wzoru stanowiącego Załącznik nr 6 do niniejszej Polityki.
Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy i podpisały stosowne
oświadczenie według wzoru stanowiącego Załącznik nr 5 do niniejszej Polityki .
Upoważnienie wraz z oświadczeniem o zachowaniu poufności uzupełniane jest w momencie podpisywania z osobą umowy o pracę,
staż, praktykę, zlecenie, o dzieło lub inną formę współpracy. Za wydanie tych dokumentów odpowiedzialna jest osoba , która
przygotowuje umowę z daną osobą,
• Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych m.in.
poprzez zapoznanie się z niniejszym dokumentem oraz z Instrukcją dla Pracowników stanowiącą Załącznik nr 7 do niniejszej
Polityki.
• Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. Za
przeszkolenie w zakresie pracy w systemie informatycznym odpowiada ASI.
11 INSTRUKOA POSTĘPOWANIA W PRZYPADKU NARUSZENIA OCHRONY
DANYCH OSOBOWYCH
Instrukcja definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie.
Celem instrukcji jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa, ograniczenie ryzyka powstania zagrożeń i występowania
incydentów w przyszłości.
1) Każdy pracownik Spółki w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest
poinformować bezpośredniego przełożonego lub Administratora danych.
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH / 1
ANWA SP. Z O.O. Strona/ stron 10/11 A N N A
Cel dokumentu: Wersja: 1.0
Określenie zasad przetwarzania danych osobowvch w organizacji Z dnia: 24-01-2018
Odoowledzialny: I Kierownictwo l Stosowanie: Wszvstkle stanowiska pracy
2) Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
(a) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów
(b) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych
(c) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego
biurka/ ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek)
3) Do typowych incydentów bezpieczeństwa danych osobowych należą:
(a) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)
(b} zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki
informatyków, użytkowników, utrata/ zagubienie danych}
(c} umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek
informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie
wirusów i innego szkodliwego oprogramowania}
4) W przypadku stwierdzenia wystąpienia zagrożenia, Administrator bezpieczeństwa informacji prowadzi postępowanie wyjaśniające w
toku, którego:
a) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki
b) inicjuje ewentualne działania dyscyplinarne
c) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w
przyszłości
d) dokumentuje prowadzone postępowania na druku „Raport z incydentu” stanowiącym Załącznik nr 9 do
niniejszej Polityki oraz w „Rejestrze Incydentów” stanowiącym Załącznik nr 10 do niniejszej Polityki.
5) W przypadku stwierdzenia incydentu (naruszenia), Administrator bezpieczeństwa informacji prowadzi postępowanie wyjaśniające w toku,
którego:
a) ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały
b) zabezpiecza ewentualne dowody
c) ustala osoby odpowiedzialne za naruszenie
d) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody)
e) inicjuje działania dyscyplinarne
Q wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w
przyszłości
g) dokumentuje prowadzone postępowania
6) Jeśli doszło do naruszenia ochrony danych osobowych zgodnie z art. 4 pkt 12 RODO, oraz to naruszenie powoduje ryzyko naruszenia
praw lub wolności osób fizycznych Administrator zgłasza taki fakt do GIODO w terminie 72 h od powzięcia informacji o naruszeniu.
7) Podmioty, którym Administrator danych powierzy/ przetwarzanie danych są zobowiązane poprzez odpowiednie klauzule w umowach do
zgłoszenia naruszenia powierzonych danych, do którego doszło u tych podmiotów – w terminie 24 h.
8) Punktem kontaktowym w związku z naruszeniem jest administrator bezpieczeństwa informacji.
9) Jeśli naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osoby, Administrator danych bez zbędnej zwłoki zawiadamia tą
osobę, lub jeśli jest to niemożliwe -wydaje publiczny komunikat o naruszeniu.
12 ANALIZA RYZYKA DLA DANYCH OSOBOWYCH
Ocena i analiza ryzyka dla przetwarzanych danych osobowych przeprowadzana jest zgodnie z zasadami opisanymi w Załączniku nr. 11 do
niniejszej Polityki – ,,Procedura oceny ryzyka”.
–
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH / 1
ANWA SP. Z O.O. Strona/ stron 11/11 N\M/A
Cel dokumentu: Wersja: 1.0
Określenie zasad orzetwarzania danvch osobowvch w oraanizacn Z dnia: 24-01-2018
Odp0wiedzialny: I Kierownictwo I Stosowanie: Wszystkie stanowiska pracy
13 POWIERZENIE PRZETWARZANIA
Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej
w formie pisemnej. Podmiot, któremu ADO powierzył dane, jest zobowiązany do zastosowania środków organizacyjnych i technicznych,
zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych, oraz
jest zobowiązany przetwarzać dane osobowe wyłącznie w zakresie, w jakim reguluje to zawarta umowa.
Zapisy w umowie z podmiotem, któremu powierzono przetwarzanie danych musi zawierać zapisy gwarantujące, że podmiot ten:
• przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora
• nie będzie podzlecał czynności jakie wykonuje dla administratora bez jego pisemnej zgody
• zapewnia, by osoby upoważnione do przetwarzania danych osobowych po jego stronie zobowiązały się do zachowania tajemnicy
lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
• wspomaga administratora w wykonywaniu obowiązku informacyjnego
• zabezpiecza powierzone dane osobowe w sposób adekwatny do zagrożeń w tym zgodnie z instrukcjami przekazanymi przez
administratora
• zabezpiecza, zwraca lub niszczy dane i nośniki po ustaniu świadczenia usług – zależnie od wzajemnych ustaleń,
• umożliwia administratorowi przeprowadzenie kontroli zgodności przetwarzania danych z umową
Administrator danych prowadzi rejestr podmiotów, którym powierzono przetwarzanie danych na wzorze, który stanowi Załącznik nr 8 do
niniejszej Polityki – Rejestr podmiotów przetwarzających.
14 ODPOWIEDZIALNOŚĆ PRACOWNIKÓW
Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.
Pracownicy ponoszą pełną odpowiedzialność za ochronę powierzonych im danych osobowych.