Polityka Ochrony Danych Osobowych w TSK PLASTIK sp.j. w Czarnej Białostockiej
WSTĘP
Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).
Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem.
DEFINICJE:
1 OCENA SKUTKÓW DLA OCHRONY DANYCH, ANALIZA RYZYKA
1.1. OCENA SKUTKÓW
1. W przypadku przetwarzania danych osobowych, które ze względu na swój charakter, zakres, kontekst i cel mogą powodować z dużym prawdopodobieństwem wysokie ryzyko naruszenie praw i wolności osób fizycznych, należy przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
2. Poprzez ryzyko naruszenia praw i wolności osób fizycznych należy rozumieć każde zagrożenia mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, np.:
– strata finansowa,
– kradzież tożsamości,
– naruszenie dobrego imienia,
– naruszenie poufności danych osobowych chroniących tajemnicę zawodową.
3. Oceny skutków dokonuje się ze współudziałem Inspektorem Danych Osobowych – w przypadku powołania IDO
4. Ocena zawiera:
– systematyczny opis planowanych operacji przetwarzania,
– ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne do celów,
– ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
– środki planowane w celu zaradzeniu ryzyku.
5. Prawdopodobieństwo ryzyka naruszenia praw i wolności osoby, której dane dotyczą określa się w odniesieniu do charakteru, zakresu, kontekstu i celu przetwarzania danych.
6. W celu dokonania analizy ryzyka należy zidentyfikować zbiory danych, które należy zabezpieczyć.
1.2 INWENTARYZACJA DANYCH
1. Dane osobowe wymagające ochrony zostały wykazane w załączniku 01a Wykaz zbiorów danych osobowych
2. Każdy ze zbiorów jest opisany w sposób umożliwiający przeprowadzenie analizy ryzyka
3. Opis zbiorów obejmuje takie informacje, jak:
a) nazwę zbioru danych,
b) aktywa służące do przetwarzania danych osobowych (Informacje, Programy, systemy operacyjne, Infrastruktura IT, Infrastruktura, Pracownicy i współpracownicy, Outsourcing),
c) podstawę przetwarzania danych,
d) informacja o konieczności wpisu do rejestru czynności przetwarzania,
e) informacja o konieczności przeprowadzenia oceny skutków dla zbioru,
f) charakter, zakres, kontekst danych osobowych osobowe i cel przetwarzania,
g) odbiorcy,
h) opis operacji przetwarzania,
i) czas przechowywania danych osobowych,
j) funkcjonalny opis przetwarzania.
1.3. ZGODNOŚĆ Z PRAWEM
1.3.1. Administrator zapewnia, że:
1. dane są legalnie przetwarzane (na podstawie art. 6, 9)
2. dane są zbierane w konkretnych i prawnie uzasadnionych celach (na podstawie art. 5)
3. dane osobowe są adekwatne w stosunku do celów przetwarzania (na postawie art. 5)
4. dane osobowe są prawidłowe i w razie potrzeby uaktualniane (na podstawie art. 5)
5. dane osobowe są przetwarzane przez określony konkretny czas (retencja danych)
6. dane osobowe są przetwarzane w sposób zapewniających odpowiednie bezpieczeństwo danych osobowych
7. dane osobowe szczególnych kategorii są przetwarzane zgodnie z art.9 ust.2 pkt. b i h
8. wobec osób, które przetwarza administrator wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14) wraz ze wskazaniem im praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu)
9. zapewniono ochronę danych w przypadku powierzenia przetwarzania danych w postaci umów powierzenia z podmiotami przetwarzającymi (art. 28)
1.3.2. Potwierdzenie podstawy przetwarzanych danych osobowych w zbiorach, znajduje się w załączniku 01a Wykaz zbiorów danych osobowych
1.3.3.Klauzule informacyjne znajdują się w załączniku 01b Klauzule informacyjne
1.4.UPOWAŻNIENIA
1. Administrator odpowiada za nadawanie oraz anulowanie upoważnień do przetwarzania danych w zbiorach papierowych oraz w systemach informatycznych
2. Każda osoba upoważniona przetwarza dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa
3. Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia nadawane są w formie udokumentowanego zakresu obowiązków
4. Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia
5. Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych.
6. W przypadku korzystania z usług podmiotów przetwarzających dane zawarto umowy powierzenia (wzór zgodnie z załącznikiem 01f)
7. Dla podmiotów przetwarzających prowadzi się rejestr podmiotów przetwarzających dane osobowe zgodnie z załącznikiem 01e Rejestr umów powierzenia
2 ANALIZY RYZYKA
1. Analiza ryzyka obejmuje:
– identyfikację aktywów, zagrożeń i słabych punktów,
– prawdopodobieństwo zagrożenia,
– określenie poziomu ryzyka,
– określenie zalecanych zabezpieczeń,
– ocenę ryzyka i postępowanie z ryzykiem
2. Szczegółowy opis szacowania ryzyka ujęty jest w załączniku 02a Procedura analizy ryzyka
3 INSTRUKCJA POSTĘPOWANIA Z INCYDENTAMI
Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.
1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu Administratora.
2. Do typowych podatności bezpieczeństwa danych osobowych należą:
a. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów
b. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych
c. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf)
3. Do typowych incydentów bezpieczeństwa danych osobowych należą:
a. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)
b. zdarzenia losowe wewnętrzne (komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych)
c. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania)
4. W przypadku stwierdzenia wystąpienia incydentu, Administrator prowadzi postępowanie wyjaśniające w toku, którego:
a. ustala zakres i przyczyny incydentu oraz jego ewentualne skutki
b. inicjuje ewentualne działania dyscyplinarne
c. działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu
d. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia
5. Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze –załącznik 03 Formularz rejestracji incydentu
6. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych
7. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.
4 REGULAMIN OCHRONY DANYCH OSOBOWYCH
Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania – załącznik – 04 Regulamin Ochrony Danych Osobowych
Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.
5 SZKOLENIA
1. Każda osoba przed dopuszczeniem do pracy z danymi osobowymi zostaje poddana przeszkoleniu i zapoznana z przepisami RODO.
2. Za przeprowadzenie szkolenia odpowiada Administrator.
3. W przypadku przeprowadzenia szkolenia wewnętrznego tworzy się listę szkolenia zgodnie, z którą szkolenie jest przeprowadzane – 05a Załącznika Plan szkolenia RODO.
4. Po przeprowadzeniu szkolenia każdy z uczestników podpisuje listę obecności.
6 REJESTR CZYNNOŚCI PRZETWARZANIA
1. W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Administratora, wypełnia załącznik 06a Rejestr czynności prowadzony przez Administratora
7 AUDYTY
Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W tym celu Administrator stosuje procedurę audytów – patrz załącznik 07 Procedura audytu
8 PROCEDURA PRZYWRÓCENIA DOSTĘPNOŚCI DANYCH OSOBOWYCH I DOSTĘPU DO NICH W RAZIE INCYDENTU FIZYCZNEGO LUB TECHNICZNEGO
Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania, opisane w załączniku 08 Plan ciągłości działania
9 WYKAZ ZABEZPIECZEŃ
1. Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych – załącznik 2d Lista potencjalnych zabezpieczeń
2. W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne
3. Wykaz jest aktualizowany po każdej analizie ryzyka