Polityka Ochrony Danych Osobowych

w A&M Agnieszka i Maciej Kaczorowscy Spółka Jawna

 Wstęp

  1. Celem dokumentu Polityki ochrony danych osobowych w A&M Agnieszka i Maciej Kaczorowscy Spółka Jawna jest:
  2. zapewnienie właściwej ochrony zasobów informacyjnych;
  3. zachowanie poufności gromadzonych i przetwarzanych informacji; – zmniejszenie ryzyka utraty danych, kradzieży sprzętu i włamań do systemu teleinformatycznego; -minimalizowanie negatywnych skutków naruszeń bezpieczeństwa;
  4. zapewnienie spełnienia wymagań z właściwymi przepisami prawa, regulacjami wewnętrznymi oraz wymaganiami wynikającymi z umów;
  5. podnoszenie świadomości pracowników, szkolenia;
  6. zaangażowanie wszystkich pracowników w ochronę przetwarzania informacji.
  1. Administrator upoważnia osoby zatrudnione w A&M Agnieszka i Maciej Kaczorowscy Spółka Jawna do czynności przetwarzania danych osobowych w A&M Agnieszka i Maciej Kaczorowscy Spółka Jawna.
  2. Żadne odstępstwa od zasad bezpieczeństwa przedstawionych w przedmiotowym dokumencie nie są dopuszczalne bez uzyskania zgody Administratora Danych Osobowych.

 Inwentaryzacja danych

  • Administrator danych osobowych w A&M Spółka Jawna Agnieszka i Maciej Kaczorowscy dokonał inwentaryzacji przetwarzanych danych w formie określenia zbiorów danych. Inwentaryzacja danych ma formę opracowania pisemnego i stanowi dokument pt. „Rejestr zbiorów danych , cz. I, II. „
  • Rejestr zbiorów składa się z dwóch części. W pierwszej części rejestru określono:
  1. nazwę zbioru i jego wewnętrznie nadany numer;
  2. wykaz aktywów biorących udział w czynnościach przetwarzania danych w zbiorze;
  3. podstawę przetwarzania danych wynikającą z art. 6 lub/i art. 9 RODO;
  4. decyzja administratora o opracowaniu lub nie opracowaniu  rejestru czynności przetwarzania;
  5. decyzja administratora o przeprowadzeniu lub nie przeprowadzaniu oceny skutków przetwarzania;
  6. cele przetwarzania;
  7. rodzaj i zakres danych;
  8. odbiorcy danych znajdujących się w zbiorze;
  9. opis operacji przetwarzania;
  10. czas przechowywania danych.

W drugiej części Rejestru wskazano miejsce lokalizacji zbiorów, w tym zbiorów rozproszonych oraz formy zastosowanych zabezpieczeń fizycznych.

  • Wykaz zbiorów uwzględnia wszystkie dane osobowe, które są przetwarzane przez administratora i ewentualnie przez współadministratorów, które podlegają ochronie ze względu na ryzyko naruszenia praw i wolności osób fizycznych.  
  • Administrator danych w celu oszacowania ryzyk przetwarzania danych osobowych dokonał audytu wewnętrznego. Wyniki audytu udokumentowane są w formie pisemnego opracowania w postaci kart, zawierających nazwę zbioru i wykaz aktywów biorących udział w procesie przetwarzania danych w konkretnym zbiorze.
  • W firmie została opracowana Polityka Zarządzaniem Ryzykiem w przetwarzaniu danych osobowych, określająca zasady szacowania skali ryzyka i prawdopodobieństwa jego wystąpienia, a tym samym istotności ryzyka.
  • Administrator opracował karty zawierające analizę ryzyka dla poszczególnych operacji przetwarzania danych szczególnej kategorii.

 

 Zapewnienie o przetwarzania danych osobowych zgodnie z prawem.

  •  Administrator zapewnia, że:
  1. dane osobowe są przetwarzane legalnie na podstawie art. 6 i 9 RODO;
  2. zakres danych osobowych jest adekwatny do celów przetwarzania, z zachowaniem zasady minimalizacji danych;
  3. wobec osób, których dane są przetwarzane wykonano obowiązek informacyjny wraz ze wskazaniem im:  prawa dostępu do danych osobowych, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, i  „bycia zapomnianym”;
  4. zapewniono ochronę danych osobowych w przypadku powierzenia danych w postaci umów powierzenia z podmiotami przetwarzającymi (art. 28 RODO).
  • Potwierdzenie przetwarzania danych osobowych zgodnie z prawem znajduje się w kolumnie ” Cele przetwarzania” w  Rejestrze Zbiorów Danych Osobowych.
  • Wzór klauzuli informacyjnej stanowi załącznik do niniejszej Polityki.

 Upoważnienia

  • Administrator odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych w zbiorach papierowych i systemach informatycznych.
  • Administrator rejestruje wydane upoważnienia do przetwarzania danych oraz ich cofnięcia.  Imienne upoważnienia umieszczane są w aktach osobowych poszczególnych pracowników.
  • Każda osoba składa pisemne oświadczenie poufności. Oświadczenie o poufności umieszcza się w aktach osobowych pracowników lub dołącza się do umowy powierzenia.
  • Osoba upoważniona może przetwarzać dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa.
  • Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia określają zakres operacji na danych.
  • Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia.
  • Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych w formie dokumentu – Ewidencja osób upoważnionych do przetwarzania danych osobowych.  

  Procedura analizy ryzyka i ocena skutków

  • Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń.
  • Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru danych osobowych lub grupy zbiorów charakteryzujących się podobieństwem celów i sposobów przetwarzania/ odrębnie dla każdego zbioru.
  • W przypadku konieczności przeprowadzenia oceny skutków (art. 35) dokonano następujących czynności:
  1. dokonano opisu planowanych operacji przetwarzania i celów przetwarzania –  opracowanie w dokumencie – Rejestr zbiorów danych osobowych;
  2. określono zagrożenia we wszystkich aktywach biorących udział w procesie przetwarzania;
  3. dokonano oceny ryzyk, zgodnie z zasadami wskazanymi w Polityce Zarządzania Ryzykiem;
  4. sporządzono mapę ryzyk ze wskazaniem istotności ryzyka;
  5. zaplanowano środki techniczne, organizacyjne i informatyczne dla ryzyk przekraczających istotność powyżej 4.

   Instrukcja postępowania z incydentami

Instrukcja definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń
i występowania incydentów w przyszłości.

  • Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego.
  • Do typowych podatności bezpieczeństwa danych osobowych należą:
  1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;
  2. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed zainfekowaniem, kradzieżą  i utratą danych osobowych;
  3. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
  • Do typowych incydentów niebezpieczeństwa danych osobowych należą:
    1. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
    2. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych);
    3. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów

i innego szkodliwego oprogramowania).

  • W przypadku stwierdzenia wystąpienia incydentu, Administrator prowadzi postępowanie wyjaśniające w toku, którego:
    1. ustala zakres i przyczyny incydentu oraz jego ewentualne skutki;
    2. proponuje ewentualne działania dyscyplinarne;
    3. proponuje rozwiązania na rzecz przywrócenia działań organizacji po wystąpieniu incydentu;
    4. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.
  • Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  • Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych.
  • W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.  

 Regulamin Ochrony Danych

Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania. Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.

  Procedura przywracania dostępności danych osobowych

Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował Procedury Przywracania Danych – dokument: „Plan ciągłości działania”

 Wykaz zabezpieczeń

  • Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych.
  • W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne, informatyczne i organizacyjne.
  • Wykaz jest aktualizowany.

   Szkolenia

  • Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO oraz niniejszą Polityką wraz z załącznikami.
  •  Za przeprowadzenie szkolenia odpowiada Administrator danych.
  • Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.
  • Zgodnie z art. 32 RODO, Administrator zobowiązuje się regularnie testować, mierzyć
    i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Postanowienia końcowe

  1. Integralną częścią Polityki ochrony danych osobowych stanowią:
  1. załącznik nr 1 – Regulamin ochrony danych osobowych;
  2. załącznik nr 2 – Polityka zarządzania ryzykiem;
  3. załącznik nr 3 – Oświadczenie o poufności;
  4. załącznik nr 4 – Upoważnienie do przetwarzania danych osobowych dla – pracownika;
  5. załącznik nr 5 – Ewidencja osób upoważnionych do przetwarzania danych osobowych
  6. załącznik nr 7 – Zgoda na przetwarzanie danych osobowych;
  7. załącznik nr 8 – Klauzula informacyjna;
  1. Niedopuszczalne jest korygowanie błędnych zapisów w ww. dokumentacji przy użyciu substancji usuwających zmienioną lub skreślona treść albo czyniących ją nieczytelną, tj. korektory, gumki itp.
  2. Wykazy i ewidencja, o których mowa w pkt. 1, mogą być prowadzone w formie elektronicznej.
  3. Upoważnienia do przetwarzania danych osobowych wydane do dnia zatwierdzenia nowej polityki nie tracą ważności.
  4. Z niniejszym dokumentem mają obowiązek zapoznać się wszystkie osoby biorące udział w procesie przetwarzania danych osobowych.
  5. Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością dyscyplinarno – karną.

Szczecin, 25 maja 2018 r.