Polityka ochrony danych osobowych
Niniejsza polityka, zwana dalej „Polityką”, opisuje reguły i zasady ochrony danych osobowych przetwarzanych przez WIRTUALNA MOBILNA ASYSTENTKA Iwona Kowalska z siedzibą przy ul. Adm. Józefa Unruga 51 B/4, 81-181 Gdynia NIP 8781710515
zwanym dalej „Administratorem”.
Polityka stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych stosowanych przez Administratora.
Z polityką zapoznawana jest i zobowiązana jest przestrzegać jej postanowień każda osoba biorąca udział w procesie przetwarzania danych osobowych w ramach organizacji Administratora.
Polityka może podlegać aktualizacjom i modyfikacjom. Wszystkie zmiany w dokumencie muszą zostać odnotowane w poniższym rejestrze zmian.
Data modyfikacji
|
Autor modyfikacji
|
Opis zmian
|
|
|
|
|
|
|
|
|
|
|
|
|
Spis treści
- Spis treści jest pusty, ponieważ nie wybrano stylów akapitu, które mają być w nim uwzględniane.
§ 1 Postanowienia wstępne
- Administrator prowadzi działalność gospodarczą polegającą na administracyjnej obsłudze biura, wykonywaniu fotokopii, przygotowywaniu dokumentów i pozostałej specjalistycznej działalności wspomagającej prowadzenie biura.
- W związku z prowadzoną przez Administratora działalnością gospodarczą dochodzi do przetwarzania danych osobowych.
- Administrator przetwarza dane osobowe zarówno jako administrator danych osobowych, jak i podmiot przetwarzający.
Dane osobowe przetwarzane są zarówno w formie elektronicznej, jak i papierowej.
- Celem Polityki jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe, w tym zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
- Polityka opisuje również zasady zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych
- Polityka została wdrożona w związku z treścią art. 24 ust. 2 RODO jako dowód dołożenia należytej staranności w zakresie ochrony danych osobowych.
- Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz samych użytkowników.
- Polityka stanowi element dokumentacji ochrony danych osobowych wdrożonej przez Administratora, która to dokumentacja obejmuje, poza Polityką, również inne dokumenty. Dokumentacja ochrony danych osobowych jest przez Administratora przechowywana w formie elektronicznej.
§ 2 Zakres zastosowania
- Polityka zawiera informacje dotyczące zasad przetwarzania danych osobowych, do którego dochodzi w związku z prowadzoną przez Administratora działalnością gospodarczą.
- Politykę stosuje się w szczególności do:
- danych osobowych przetwarzanych w formie papierowej i elektronicznej,
danych osobowych przetwarzanych w systemach informatycznych,
-
- informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
- rejestru użytkowników i podmiotów przetwarzających,
wszelkich innych zasobów, w tym dokumentów zawierających dane osobowe.
-
- Zasady ochrony danych osobowych określone przez Politykę mają zastosowanie do wszystkich systemów informatycznych, w których przetwarzane są dane osobowe, wszystkich lokalizacji, w których przetwarzane są dane osobowe oraz wszystkich osób mających dostęp do danych osobowych w ramach organizacji Administratora, a w szczególności:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych, w których przetwarzane są dane osobowe podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich zleceniobiorców, wykonawców umów o dzieło, wykonawców umów o świadczenie usług i innych osób mających dostęp do informacji podlegających ochronie.
- Polityka nie dotyczy podmiotów zewnętrznych, które przetwarzają dane osobowe powierzone im do przetwarzania przez administratora danych osobowych na podstawie stosownych umów powierzenia. Podmioty te stosują własne procedury i środki bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa, do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych osobowych.
§ 3 Bezpieczeństwo danych osobowych
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć zapewnieniu bezpieczeństwa danych osobowych i zapewnić:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej
- dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
- Bezpieczeństwo danych osobowych opiera się o filary ochrony danych osobowych stosowane przez Administratora:
legalność – Administrator dba o ochronę prywatności i przetwarzane dane zgodnie z prawem,
-
- bezpieczeństwo – Administrator zapewnia odpowiedni poziom bezpieczeństwa danych, podejmując stale działania w tym zakresie,
- prawa jednostki – Administrator umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje,
- rozliczalność – Administrator dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
§ 4 Administrator danych osobowych (ADO)
- Administratorem danych osobowych jest WIRTUALNA MOBILNA ASYSTENTKA Iwona Kowalska z siedzibą przy ul. Adm. Józefa Unruga 51 B/4, 81-181 Gdynia NIP 878 1710515
-
- Do najważniejszych zadań Administratora należy:
wdrożenie, utrzymywanie i aktualizowanie Polityki,
-
- organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami obowiązujących przepisów prawa,
- zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki,
weryfikacja podmiotów przetwarzających i zawieranie umów powierzenia,
-
- prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych i zgłoszenie faktu naruszenia organowi nadzorczemu oraz zawiadomienie o tym osoby, której dane dotyczą,
- nadzór nad bezpieczeństwem danych osobowych,
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
-
- pozbawianie urządzeń i innych nośników informacji przeznaczonych do likwidacji zapisu danych lub – gdy nie jest to możliwe – uszkadzanie je trwale w sposób uniemożliwiający odczytanie danych,
- nadzorowanie usuwania awarii sprzętu komputerowego w sposób zapewniający bezpieczeństwo przetwarzanych danych osobowych,
nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe,
-
- nadzór nad czynnościami związanymi z ochroną przeciwwirusową, czynnościami serwisowymi dotyczącymi komputerów oraz systemów operacyjnych, przy wykorzystaniu których przetwarzane są dane osobowe,
- podejmowanie i nadzorowanie wszelkich innych działań zmierzających do zapewnienia bezpieczeństwa przetwarzanych w systemie informatycznym danych osobowych.
Administrator samodzielnie realizuje zadania, o których mowa powyżej.
§ 5 Inspektor ochrony danych osobowych (IODO)
-
- Administrator nie wyznaczył inspektora ochrony danych osobowych świadomie, stwierdzając, że nie ciąży na nim taki obowiązek na podstawie art. 37 RODO ze względu na fakt, że:
nie jest organem ani podmiotem publicznym,
-
- jego główna działalność nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
- jego główna działalność nie polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych ani danych osobowych dotyczących wyroków skazujących i czynów zabronionych (administrator w ogóle nie przetwarza tego rodzaju danych osobowych).
§ 6 Obsługa informatyczna
- Administrator nie wyznaczył osoby odpowiedzialnej za obsługę informatyczną z uwagi na skalę prowadzonej działalności gospodarczej oraz fakt, że znaczna część osób przetwarzających dane osobowe w ramach organizacji Administratora wykonują swoje obowiązki z wykorzystaniem prywatnego sprzętu w modelu Bring Your Own Device (BYOD).
- Wszystkie osoby, o których mowa powyżej, zobowiązane są do takiej dbałości o sprzęt wykorzystywany do przetwarzania danych osobowych, by zapewnić integralność, poufność i dostępność przetwarzanych danych osobowych, w szczególności zobowiązane są do:
instalacji oprogramowania antywirusowego,
-
- zabezpieczenia dostępu do systemu operacyjnego silnym hasłem, numerem PIN lub czynnikiem biometrycznym,
- wykonywania bieżących aktualizacji systemu operacyjnego i oprogramowania mających na celu zapewnienie bezpieczeństwa jego bezpieczeństwa,
niedzielenia sprzętu z osobami trzecimi,
-
- korzystania do przetwarzania danych osobowych wyłącznie z zasobów chmurowych zapewnianych przez Administratora, bez przechowywania na dyskach lokalnych plików zawierających dane osobowe, chyba, że w okresie tymczasowym niezbędnym do zrealizowania określonego zadania w ramach wykonywania obowiązków służbowych,
- niewykonywania kopii zapasowych zasobów, w których znajdują się dane osobowe, bez wyraźnego polecenia Administratora,
- nieprzyłączania się do otwartych, niezabezpieczonych lub niewłaściwie zabezpieczonych sieci Wi-Fi,
szyfrowania dysków lokalnych,
-
- korzystania przy przetwarzaniu danych osobowych wyłącznie z narzędzi i zasobów ustalonych wcześniej z Administratorem,
- wylogowywania się lub aktywowania zabezpieczonej blokady ekranu każdorazowo przy pozostawianiu sprzętu bez nadzoru, choćby chwilowo lub tymczasowo,
- unikania wykonywania czynności związanych z przetwarzaniem danych osobowych w obecności innych osób, a jeżeli jest to niemożliwe – ustawienia ekranu tak, aby uniemożliwić osobom postronnym wgląd do danych osobowych,
- ustawienia automatycznego wylogowania lub aktywowanie zabezpieczonej blokady ekranu po określonym czasie nieaktywności użytkownika, nie dłuższym niż 10 minut.
§ 7 Obszar przetwarzania danych
- Siedziba Administratora znajduje się pod następującym adresem: ul. Adm. Józefa Unruga 51 B/4, 81-181 Gdynia
- Siedziba Administratora znajduje się w mieszkaniu, w którym na co dzień mieszka Administrator oraz jego rodzina.
- Administrator pracuje w wydzielonym pokoju zagospodarowanym na gabinet biurowy. W gabinecie znajduje się szafa biurowa, w której przechowywane są dokumenty zawierające dane osobowe oraz komputer, z wykorzystaniem którego pracuje Administrator.
- Administrator może pracować również z każdego innego miejsca niż swoja siedziba z uwagi na wykorzystywanie do pracy sprzętu przenośnego.
- Pozostałe osoby przetwarzające dane osobowe w ramach organizacji Administratora zachowują dowolność co do miejsca pracy. Ponieważ osoby te przetwarzają dane po uprzednim zalogowaniu się do zasobów chmurowych zapewnianych przez Administratora, obszarem przetwarzania danych jest każdorazowa lokalizacja, w której znajduje się osoba przetwarzająca w danej chwili dane osobowe.
- Administrator nie dysponuje własnymi serwerami. Dane osobowe przechowywane są na serwerach zapewnianych przez dostawców usług chmurowych, z których korzysta Administrator.
- Ponieważ Administrator powierza przetwarzanie danych osobowych podmiotom trzecim, do przetwarzania danych osobowych dochodzi również w innych lokalizacjach, ale w tym zakresie czynności przetwarzania dokonuje podmiot trzeci lub ewentualnie podmioty do tego przez niego upoważnione. Administrator danych osobowych nie ma szczegółowej wiedzy na temat lokalizacji, w obrębie których dochodzi do przetwarzania danych przez podmioty, którym powierzył przetwarzanie danych osobowych, ale podmioty te zobowiązały się do stosowania odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez przepisy prawa. W zakresie lokalizacji przetwarzania danych przez podmioty przetwarzające, Administrator pozyskuje zawsze informację czy dane przetwarzane są w obrębie Europejskiego Obszaru Gospodarczego czy poza nim, a w sytuacji, gdy poza nim, weryfikuje czy dany podmiot zapewnia odpowiedni poziom ochrony danych osobowych poprzez korzystanie z mechanizmów zgodności takich jak standardowe klauzule umowne.
2. § 8 Sprzęt wykorzystywany do przetwarzania danych osobowych
Dane osobowe przetwarzane są z wykorzystaniem komputerów oraz smartfonów.
- Dane osobowe nie mogą być kopiowane bez wyraźnego polecenia lub zgody Administratora na zewnętrzne nośniki danych.
- Dane osobowe przechowywane są na serwerach. Serwery te nie należą do Administratora, lecz zapewniane są przez podmioty trzecie, z którymi łączą Administratora umowy powierzenia przetwarzania danych osobowych. Do serwerów, na których przechowywane są dane w ramach oprogramowania zapewnionego przez zewnętrzne podmioty Administrator nie ma fizycznego dostępu.
- Urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych przeznaczone do naprawy, pozbawia się przed tymi czynnościami zapisu zgromadzonych na nich danych osobowych.
- Zasady korzystania ze sprzętu opisane są w § 6 ust. 2 Polityki.
§ 9 Oprogramowanie wykorzystywane do przetwarzania danych osobowych
- Dane osobowe przetwarzane są z wykorzystaniem oprogramowania chmurowego w ramach dostępów zapewnianych wszystkim użytkownikom przez Administratora. Jeżeli określone zadanie w ramach wykonywanych obowiązków służbowych wymaga skorzystania z oprogramowania lokalnego, w szczególności biurowego, dane mogą być przetwarzane również w ten sposób, z tym zastrzeżeniem, że wykorzystywanie oprogramowania lokalnego powinno być ograniczone do niezbędnego minimum. Jedyną osobą uprawnioną do tworzenia archiwum na dysku lokalnym jest Administrator. Wykaz oprogramowania wykorzystywanego do przetwarzania danych osobowych stanowi załącznik do Polityki.
- Oprogramowanie wykorzystywane do przetwarzania danych osobowych zostało wskazane również w ramach rejestru czynności przetwarzania z przyporządkowaniem do poszczególnych czynności przetwarzania.
- Dla każdej osoby, która bierze udział w czynnościach przetwarzania danych osobowych w ramach organizacji Administratora, tworzone jest oddzielne konto użytkownika. Użytkownicy zobowiązani są korzystać wyłącznie ze swoich kont i zachowywać dane dostępowe w tajemnicy.
§ 10 Dokumentacja papierowa
- Dane osobowe mogą być przetwarzane w formie papierowej, gdy zachodzi konieczność dokonania bieżących wydruków określonych dokumentów w celach operacyjnych lub gdy określone dokumenty przechowywane są w dłuższych okresach. Ponadto, część dokumentów może być dostarczana Administratorowi przez inne podmioty.
- Dokumenty zawierające dane osobowe to, w szczególności:
- faktury,
formularze zamówień,
-
- umowy,
- oświadczenia,
reklamacje,
-
- oświadczenie o odstąpieniu od umowy,
- potwierdzenia przelewów,
- wyciągi bankowe,
dokumentacja księgowa,
dokumentacja kadrowo-płacowa,
korespondencja papierowa.
- Dokumenty drukowane z uwagi na bieżące cele operacyjne są niezwłocznie niszczone z wykorzystaniem niszczarki po zrealizowaniu zadania wymagającego uprzedniego wydruku.
- Dokumenty zawierające dane osobowe nie mogą być pozostawiane w miejscach ogólnodostępnych bez opieki. Dokumenty znajdują się na biurkach i innych tego typu powierzchniach podczas wykonywania określonych zadań wymagających dostępu do dokumentów. Po zakończeniu pracy dokument powinien zostać zniszczony z wykorzystaniem niszczarki lub schowany w miejscu zapewniającym poufność danych.
- Postępowanie z dokumentacją papierową ma prowadzić do tego, by nikt nieupoważniony nie uzyskał wglądu do danych osobowych zawartych w treści dokumentów.
Archiwum papierowe przechowywane jest w szafie biurowej w siedzibie Administratora.
- Jeżeli zachodzi konieczność przesłania dokumentów zawierających dane osobowe, należy korzystać wyłącznie z pocztowych przesyłek rejestrowanych oraz usług kurierskich, tak by w razie ewentualnych problemów z doręczeniem możliwe było sprawne przeprowadzenie postępowania reklamacyjnego. Dokumenty powinny zostać w odpowiedni sposób zapakowane, by ograniczyć ryzyko ich zniszczenia.
§ 11 Monitoring i technologie śledzące
- Administrator prowadzi monitoring poczty elektronicznej. Monitoring dotyczy skrzynek e-mail funkcjonujących w organizacji Administratora.
Monitoring poczty elektronicznej nie odbywa się w sposób zautomatyzowany.
- Monitoring poczty elektronicznej polega na tym, że osoba lub osoby posiadające dostęp do konta administracyjnego, mogą przeglądać korespondencję wymienianą w ramach skrzynek e-mail, o których mowa powyżej.
- Monitoring poczty elektronicznej ma na celu zapewnić organizację pracy umożliwiającą pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych zasobów.
- Monitoring poczty elektronicznej prowadzony jest z poszanowaniem prawa do prywatności i intymności użytkowników poczty elektronicznej.
- Administrator korzysta na swoich stronach internetowych z plików cookies i innych, podobnych technologii śledzących w celach analitycznych, statystycznych i marketingowych. Informacje, do których Administrator uzyskuje w ten sposób dostęp, nie pozwalają mu na ustalenie tożsamości użytkownika. Informacje te nie są również przez Administratora zestawiane z danymi osobowymi. Administrator realizuje szczegółowy obowiązek informacyjny w tym zakresie w ramach swojej polityki prywatności, która opublikowana jest na stronie internetowej oraz wchodzi w skład dokumentacji ochrony danych osobowych.
§ 12 Kopie bezpieczeństwa
- W stosunku do dokumentów zawierających dane osobowe nie są wykonywane ich kopie. Postępowanie z dokumentami opisane w § 10 Polityki jest zdaniem Administratora wystarczające, by zapewnić bezpieczeństwo dokumentów i nie ma konieczności wykonywania ich dodatkowych kopii.
- Dostawcy usług chmurowych, w ramach których przetwarzane są dane osobowe, wykonują kopie zapasowe zgodnie z ich zobowiązaniami umownymi w tym zakresie, zapewniając Administratorowi możliwość odtworzenia kopii zapasowych w razie potrzeby.
- Kopie zapasowe wykonywane przez zewnętrzne podmioty są dokonywane według procedur przez nich stosowanych, które to procedury, zgodnie ze zobowiązaniami wynikającymi z powierzenia przetwarzania danych, odpowiadają wymogom przepisów prawa.
- Administrator polega na kopiach zapasowych wykonywanych przez dostawców usług chmurowych, wychodząc z założenia, że dostawcy ci posiadają bogatsze zasoby finansowe, organizacyjne i technologiczne zapewniające prawidłowość procesu wykonywania kopii zapasowych, co sprawia, że poleganie na ich rozwiązaniach w tym zakresie jest bardziej bezpieczne niż posiłkowanie się własnymi metodami.
§ 13 Ochrona antywirusowa
- Ochrona antywirusowa jest realizowana poprzez zainstalowanie odpowiedniego oprogramowania antywirusowego. Każda z osób biorących udział w przetwarzaniu danych osobowych zobowiązana jest zainstalować na swoim sprzęcie program antywirusowy.
- Systemy operacyjne oraz dyski lokalne muszą podlegać regularnej kontroli pod kątem obecności wirusów komputerowych. Program antywirusowy musi zapewniać ochronę w czasie rzeczywistym. Pełne skanowanie dysku i systemu powinno być wykonane nie rzadziej niż raz w miesiącu.
Wykryte zagrożenia powinny być niezwłocznie usuwane z systemu operacyjnego.
- Przed przystąpieniem do unieszkodliwienia wirusa, dane osobowe zawarte w systemie muszą zostać zabezpieczone przed utratą.
- Osoba napotykająca problem z wirusem, zobowiązana jest niezwłocznie poinformować o tym fakcie Administratora.
- Administrator może udzielić każdej osobie, która przetwarza dane osobowe w ramach organizacji Administratora, wsparcia w zakresie ochrony antywirusowej. Jeżeli dana osoba nie jest w stanie samodzielnie zapewnić sobie ochrony antywirusowej, zobowiązana jest o tym fakcie powiadomić Administratora.
1)§ 14 Zasady dotyczące przetwarzania danych osobowych
- Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:
- w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
- uczciwie i w sposób przejrzysty (rzetelność i transparentność),
- w konkretnych celach i nie „na zapas” (minimalizacja),
- nie więcej niż potrzeba (adekwatność),
z dbałością o prawidłowość danych (prawidłowość),
-
- nie dłużej niż potrzeba (czasowość),
zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
-
- W celu przestrzegania zasady legalności, Administrator dokonał analizy wszystkich czynności przetwarzania danych osobowych i określił właściwe podstawy prawne, w oparciu, o które dane czynności przetwarzania mogą się odbywać. Informacje w tym zakresie zawarte są w rejestrze czynności przetwarzania.
- W celu przestrzegania zasady rzetelności i transparentności, Administrator zadbał o to, by w każdej sytuacji pozyskiwania danych osobowych, w stosunku do osoby, której dane są pozyskiwane, realizowany był obowiązek informacyjny zgodnie z art. 13 RODO. Sposób realizacji obowiązku informacyjnego wskazany jest w rejestrze czynności przetwarzania w stosunku do każdej czynności przetwarzania.
- W celu przestrzegania zasady minimalizacji, Administrator przemyślał, jakie dane potrzebne są mu do określonych celów, co znalazło odzwierciedlenie w rejestrze czynności przetwarzania. Administrator pouczył wszystkie osoby biorące udział w procesie przetwarzania danych osobowych, by nie pozyskiwały danych osobowych w zakresie przekraczającym uzasadnione potrzeby opisane w rejestrze czynności przetwarzania.
- W celu przestrzegania zasady adekwatności, Administrator przemyślał, jakie dane są mu potrzebne do realizacji określonych celów i określił w stosunku do każdej czynności przetwarzania zakres niezbędnych danych. W związku z tym, zakazane jest pozyskiwanie danych osobowych ponad określony przez Administratora katalog danych niezbędnych do realizacji poszczególnych celów.
- Nie wszystkie czynności przetwarzania pozwalają na z góry określenie sztywnego katalogu przetwarzanych danych. Szczególnie, gdy chodzi o obsługę klientów, zakres przetwarzanych danych nie jest możliwy do precyzyjnego określenia z uwagi na fakt, że zakres usługi będzie również determinował zakres przetwarzanych danych. Podobnie w przypadku wymiany korespondencji, nie jest możliwe jednoznaczne określenie, jakie dane druga strona przekaże administratorowi w ramach korespondencji.
- W celu przestrzegania zasady prawidłowości, Administrator przyjął zasadę, zgodnie z którą w razie wątpliwości dotyczących prawidłowości danych osobowych mu przekazanych, podejmowane są działania mające na celu wyjaśnienie powstałych wątpliwości.
- W celu przestrzegania zasady czasowości, Administrator przemyślał terminy, w jakich dane stają się mu zbędne i będą podlegać usunięciu, co znalazło odzwierciedlenie w rejestrze czynności przetwarzania danych osobowych. Ponadto, Administrator przynajmniej raz w roku dokonuje przeglądu czy posiadane przez niego dane nie są już mu zbędne i w razie stwierdzenia zbędności, dokonuje ich trwałego usunięcia.
- W celu przestrzegania zasady bezpieczeństwa, Administrator wdrożył odpowiednie środki techniczne i organizacyjne mające zapewnić należytą ochronę przetwarzanych danych osobowych. Decyzja o wyborze środków została poprzedzona przeprowadzeniem analizy ryzyka.
§ 15 Środki bezpieczeństwa, analiza ryzyka, ocena skutków
- W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wprowadzono odpowiednie zabezpieczenia organizacyjne i techniczne.
- Decyzja o wyborze zabezpieczeń organizacyjnych i technicznych została poprzedzona analizą ryzyka, która to analiza wchodzi w skład dokumentacji ochrony danych osobowych.
Wykaz zastosowanych środków bezpieczeństwa stanowi załącznik do Polityki.
- Wymienione środki techniczne i organizacyjne zabezpieczenia danych dotyczą wyłącznie środków wdrożonych bezpośrednio przez Administratora. W zakresie, w jakim administrator danych osobowych powierzył przetwarzanie danych osobowych innym podmiotom, podmioty te zobowiązały się utrzymywać odpowiednie środki ochrony danych osobowych wymagane przez przepisy prawa.
- Administrator nie przeprowadził oceny skutków operacji przetwarzania dla ochrony danych osobowych, stwierdzając, że nie ciąży na nim taki obowiązek na podstawie art. 35 RODO. Rodzaje przetwarzania danych osobowych dokonywane przez Administratora nie powodują, zdaniem Administratora, wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Taki wniosek Administratora wynika z tego, że Administrator:
- przetwarza głównie podstawowe dane identyfikacyjne i kontaktowe,
- przetwarza wyłącznie dane osobowe zwykłe,
- nie stosuje narzędzi śledzących i profilujących wykorzystujących dane osobowe,
nie przetwarza danych na dużą skalę.
- Ponadto, Administrator zapoznał się z wykazem rodzajów operacji wymagających oceny skutków ogłoszonym przez Prezesa Urzędu Ochrony Danych Osobowych i pośród dokonywanych przez siebie operacji przetwarzania danych nie zidentyfikował żadnej, która znajdowałaby się w wykazie.
§ 16 Obsługa praw jednostki
- Administrator spełnia obowiązki informacyjne wobec osób, których dane przetwarza oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania.
- Sposób realizacji obowiązków informacyjnych został wskazany w rejestrze czynności przetwarzania w odniesieniu do każdej czynności.
- Obsługa żądań kierowanych do Administratora przez osoby, których dane są przetwarzane, odbywa się za pośrednictwem poczty elektronicznej.
Osobą odpowiedzialną za obsługę żądań dotyczących danych osobowych jest sam Administrator.
- Obsługa żądań archiwizowana jest w ramach archiwum poczty elektronicznej. Ponadto, prowadzony jest rejestr obsługi żądań osób, których dane są przetwarzane, w którym odnotowywane są wszystkie żądania oraz sposób ich obsługi.
- Realizując prawa osób, których dane dotyczą, Administrator wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób, Administrator może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
- Jeżeli żądanie zgłaszane jest przez osobę, której danych Administrator nie przetwarza, osoba obsługująca żądanie informuje tę osobę o tym, że Administrator nie przetwarza jej danych osobowych.
- W sytuacji odmowy realizacji żądania kierowanego do Administratora, osoba obsługująca żądanie informuje osobę kierując żądanie o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
- Na żądanie osoby dotyczące dostępu do jej danych, Administrator informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych Administrator nie uzna za pierwszą nieodpłatną kopię danych dla potrzeb opłat za kopie danych.
- Na żądanie, Administrator wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych.
- Administrator dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Administrator ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowość danych, których sprostowania się domaga. W przypadku sprostowania danych, Administrator informuje osobę o odbiorcach danych, na żądanie tej osoby.
- Administrator uzupełnia i aktualizuje dane na żądanie osoby. Administrator ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. Administrator może polegać na oświadczeniu osoby co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Administratora procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
Na żądanie osoby, Administrator usuwa dane, gdy:
-
- dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w innych zgodnych z prawem celach,
- zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
- osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
- dane były przetwarzane niezgodnie z prawem,
- konieczność usunięcia danych wynika z obowiązku prawnego.
- Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
-
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
- Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
- osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administratora zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
- Na żądanie osoby, Administrator wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Administratorowi, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej.
- Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Administratora w oparciu o uzasadniony interes Administratora, Administrator uwzględni sprzeciw, o ile nie zachodzą po stronie Administratora ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
- Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Administratora na potrzeby marketingu bezpośredniego, Administrator uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
§ 17 Retencja danych
- W rejestrze czynności przetwarzania wskazane zostały okresy przez jakie dane są przechowywane w związku z poszczególnymi czynnościami przetwarzania.
- W sytuacji, gdy zachodzi konieczność usunięcia lub zniszczenia danych osobowych, czy to z uwagi na upływ okresu przechowywania czy też ze względu na stosowne żądanie złożone w tym zakresie przez osobę, której dane dotyczą, dane zostaną usunięte lub zniszczone w taki sposób, by ich odtworzenie nie było możliwe.
W przypadku konieczności usunięcia danych osobowych, podejmowane są następujące kroki:
-
- identyfikacja dokumentów zawierających dane osobowe podlegające usunięciu, a następnie zniszczenie tych dokumentów z wykorzystaniem niszczarki; jeżeli zniszczenie dokumentów nie jest uzasadnione, można ograniczyć się do zamazania lub innego trwałego uczynienia nieczytelnymi danych osobowych zawartych w dokumencie,
- weryfikacja w ramach poszczególnego oprogramowania, czy przetwarzane są w nim dane podlegające usunięciu, a jeżeli tak, usunięcie tych danych,
- weryfikacja czy na dyskach komputerów są przechowywane pliki zawierające dane podlegające usunięciu, a jeżeli tak, usunięcie tych plików w sposób trwały.
- Z uwagi na skalę przetwarzania danych osobowych, niewielkie ryzyko związane z przetwarzaniem danych osobowych oraz możliwości finansowe i organizacyjne, Administrator nie ma możliwości usunięcia danych z kopii zapasowych. Przy czym, biorąc pod uwagę, że kopie zapasowe są nadpisywane przy ich wykonywaniu, w ramach kopii zapasowych znajduje się zawsze aktualny stan bazy danych. Oznacza to, że jeżeli po usunięciu danych dojdzie do wykonania kopii zapasowych, w tej kopii zapasowej usunięte dane nie będą się już znajdować.
- W celu przestrzegania terminów usuwania danych przewidzianych w rejestrze czynności przetwarzania, Administrator do końca stycznia każdego roku kalendarzowego dokonuje przeglądu zasobów, w których znajdują się dane osobowe celem ustalenia zakresu danych, które podlegają usunięciu z uwagi na upływ założonego czasu ich przechowywania. Z przeglądu sporządzany jest protokół, który zostaje włączony do dokumentacji ochrony danych osobowych.
2. § 18 Podmioty przetwarzające
W procesie przetwarzania danych osobowych biorą udział podmioty zewnętrzne.
- Podmioty zewnętrzne biorą udział w procesie przetwarzania danych osobowych na podstawie zawartych z tymi podmiotami umów powierzenia danych osobowych.
- Wszystkie podmioty biorące udział w procesie przetwarzania danych osobowych zostały wskazane w rejestrze czynności przetwarzania oraz w rejestrze podmiotów przetwarzających stanowiącym osoby dokument, wchodzący w skład przygotowanej dokumentacji.
-
- Dokonując wyboru podmiotów przetwarzających, Administrator weryfikuje, czy określone podmioty spełniają wymogi dotyczące bezpieczeństwa ochrony danych osobowych na poziomie wymaganym przez RODO. W szczególności, administrator podejmuje następujące czynności w ramach procesu wyboru podmiotów przetwarzających:
weryfikacja renomy podmiotu w środowisku branżowym,
-
-
- weryfikacja dokumentów dotyczących danych osobowych udostępnianych przez podmiot (regulaminy, polityki prywatności itp.),
weryfikacja treści proponowanej umowy powierzenia przetwarzania danych osobowych,
- weryfikacja lokalizacji, w której będą przechowywane dane osobowe, w szczególności lokalizacji serwerów, a w sytuacji, gdy dane miałyby być przekazywane poza obszar EOG – weryfikacja czy odbywa się to na podstawie odpowiednich mechanizmów zgodności.
- Ponadto, jeżeli jest to możliwe, administrator odbiera od podmiotu przetwarzającego stosowne oświadczenia w ramach ankiety dla podmiotu przetwarzającego. Oświadczenie te służą weryfikacji czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi prawa i chroniło prawa osób, których dane dotyczą.
- W stosunku do każdego podmiotu przetwarzającego Administrator zebrał stosowne dokumenty związane z prywatnością, ochroną danych osobowych i przechowuje ja razem z dokumentacją ochrony danych osobowych.
- Jeżeli dla podmiotu przetwarzającego tworzone jest konto użytkownika w ramach zasobów Administratora, podmiot przetwarzający uwzględniany jest również w rejestrze użytkowników wchodzącego w skład dokumentacji ochrony danych osobowych.
2.§ 19 Osoby upoważnione
Upoważnienia do przetwarzania danych osobowych nadawane są przez Administratora.
- Upoważnienia nadawane są z wykorzystaniem wzoru upoważnienia wchodzącego w skład dokumentacji ochrony danych osobowych.
- Dla każdej osoby upoważnionej tworzony jest oddzielny folder w ramach dokumentacji ochrony danych osobowych, w ramach którego gromadzone są wszelkie dokumenty związane z upoważnieniem.
- Upoważnienia nadawane są po uprzednim przemyśleniu zakresu dostępu do danych osobowych, który potrzebny jest określonej osobie.
Upoważnienie może zostać w każdej chwili cofnięte.
-
-
-
- Informacje o nadanych i cofniętych upoważnieniach odnotowywane są w rejestrze użytkowników wchodzącym w skład dokumentacji ochrony danych osobowych.
§ 20 Odbiorcy danych
-
-
-
- Odbiorcy danych osobowych zostali wskazani w rejestrze czynności przetwarzania w odniesieniu do poszczególnych czynności przetwarzania.
- Administrator udostępnia dane wyłącznie w związku z realizacją obowiązków nakładanych na niego przez przepisy prawa lub gdy jest to niezbędne do realizacji umowy łączącej go z osobą, której dane są udostępniane, o czym osoba ta została uprzednio poinformowana w ramach obowiązku informacyjnego.
- Administrator nie udostępnia danych innym podmiotom w celu realizacji przez te podmioty własnych działań marketingowych, sprzedażowych itp.
2. § 21 Naruszenia ochrony danych osobowych
- Każde naruszenie ochrony danych osobowych musi zostać poddane analizie.
Typowe sytuacje, które należy postrzegać w kontekście naruszenia ochrony danych osobowych:
- naruszenie lub próby naruszenia integralności systemów informatycznych przeznaczonych do przetwarzania danych osobowych – przez osoby nieuprawnione do dostępu do sieci lub aplikacji ze zbiorem danych osobowych,
- naruszenie lub próba naruszenia integralności danych osobowych w systemie przetwarzania (wszelkie dokonane lub usiłowane modyfikacje, zniszczenia, usunięcia danych osobowych przez nieuprawnioną do tego osobę),
- celowe lub nieświadome przekazanie zbioru danych osobowych osobie nieuprawnionej do ich otrzymania,
nieautoryzowane logowanie do systemu,
- nieuprawnione prace na koncie użytkownika dopuszczonego do przetwarzania danych osobowych przez osobę do tego nieuprawnioną,
- istnienie nieautoryzowanych kont dostępu do danych osobowych,
- włamanie lub jego usiłowanie z zewnątrz sieci,
nieautoryzowane zmiany danych w systemach informatycznych,
- niezablokowanie dostępu do systemu informatycznego przez osobę uprawnioną do przetwarzania danych osobowych w czasie jej nieobecności,
ujawnienie indywidualnych haseł dostępu użytkowników do systemów informatycznych,
- brak nadzoru nad serwisantami lub innymi pracownikami przebywającymi w pomieszczeniach, w których odbywa się przetwarzanie danych osobowych,
- nieuprawniony dostęp lub próba dostępu do pomieszczeń, w których odbywa się przetwarzanie danych osobowych,
zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki,
- fizyczna obecność w budynku lub pomieszczeniach, w których dochodzi do przetwarzania danych osobowych, osób zachowujących się podejrzanie,
- otwarte drzwi do szaf, w których przechowywane są dane osobowe,
ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
- wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia administratora danych osobowych,
- udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej,
- telefoniczne próby wyłudzenia danych osobowych,
- kradzież komputerów lub CD, twardych dysków, pendrive’a z danymi osobowymi,
- e-maile zachęcające do ujawnienia identyfikatora i/lub hasła,
- pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów,
przechowywanie haseł do systemów w pobliżu komputera.
- W przypadkach, o których mowa powyżej, należy podjąć czynności zmierzające do zabezpieczenia miejsca zdarzenia, zabezpieczenia ewentualnych dowodów i minimalizacji zaistniałych szkód, w tym w szczególności:
zapisać wszelkie informacje związane z danym zdarzeniem, a w szczególności:
-
- dokładny czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas samodzielnego wykrycia tego faktu,
dane osoby zgłaszającej,
opis miejsca zdarzenia,
-
- opis przedstawiający stan techniczny sprzętu służącego do przetwarzania lub przechowywania danych osobowych,
wszelkie ustalone okoliczności zdarzenia.
- wygenerować wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia z opatrzeniem ich datą,
- dokonać identyfikacji zaistniałego zdarzenia, poprzez ustalenie w szczególności:
rozmiaru zniszczeń,
- sposobu, w jaki osoba niepowołana uzyskała dostęp do danych osobowych,
- rodzaju danych, których dotyczyło naruszenie,
- wyeliminować czynniki bezpośredniego zagrożenia utraty danych osobowych,
- sporządzić protokół z wyżej wymienionych czynności,
poinformować właściwe organy ścigania w przypadku podejrzenia popełnienia przestępstwa.
- Administrator niezwłocznie podejmuje działania mające na celu powstrzymanie lub ograniczenie osobom niepowołanym dostępu do danych osobowych w szczególności przez:
zmianę hasła użytkownika,
blokadę dostępów do zasobów, w których znajdują się dane osobowe,
- fizyczne odłączenie urządzeń i tych segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej.
- Po przeanalizowaniu przyczyn i skutków zdarzenia powodującego naruszenie bezpieczeństwa przetwarzanych danych osobowych, Administrator podejmuje wszelkie inne działania mające na celu wyeliminowanie podobnych naruszeń w przyszłości oraz zmniejszenie ryzyka występowania ich negatywnych skutków. W szczególności, jeżeli przyczyną naruszenia są:
- uaktywnienie wirusa komputerowego – ustalane jest źródło jego pochodzenia oraz wykonywany test zabezpieczenia antywirusowego,
włamanie – dokonywana jest szczegółowa analizy wdrożonych środków zabezpieczających,
- zły stan urządzenia lub sposób działania programu lub inne niedoskonałości informatycznego systemu przetwarzania danych osobowych – przeprowadzone zostają kontrolne czynności serwisowo – programowe.
- Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte środki zaradcze. Dokumentacja odbywa się z wykorzystaniem zestawienia incydentów naruszenia ochrony danych osobowych.
- W przypadku naruszenia ochrony danych osobowych, na Administratorze ciąży obowiązek przeprowadzenia oceny czy zachodzi konieczność zgłoszenia tego faktu do organu nadzorczego zgodnie z postanowieniami art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z postanowieniami art. 34 RODO.
2. § 22 Administrator jako podmiot przetwarzający
Administrator występuje również jako podmiot przetwarzający.
- Czynności przetwarzania realizowane jako podmiot przetwarzający zostały ujęte w rejestrze kategorii czynności przetwarzania wchodzącym w skład dokumentacji ochrony danych osobowych.
- Obowiązki Administratora jako podmiotu przetwarzającego wynikają z zawartej z administratorem danych osobowych umowy powierzenia przetwarzania danych osobowych oraz powszechnie obowiązujących przepisów prawa.
- Wszelkie środki ostrożności, bezpieczeństwa, instrukcje, zalecenia i rekomendacje zawarte w Polityce znajdują odpowiednie zastosowanie do czynności przetwarzania danych podejmowanych w charakterze podmiotu przetwarzającego.
§ 23 Postanowienia końcowe
- Niniejsza Polityka oraz pozostałe dokumenty związane z ochroną danych osobowych, podlegają przeglądom w celu weryfikacji aktualności informacji w nim zawartych w cyklu przynajmniej corocznym.
- Każdy przegląd podlega raportowaniu z wykorzystaniem wzoru raportu wchodzącego w skład dokumentacji ochrony danych osobowych.
- W przypadku aktualizacji któregoś z dokumentów, zmiany uwidaczniane są w rejestrze zmian stanowiącym część dokumentu podlegającego aktualizacji.
Załączniki
Załącznik nr 1 – wykaz środków ochrony danych osobowych
- Przechowywanie dokumentacji papierowej w dedykowanej szafie biurowej zamykanej na klucz, który jest w wyłącznym posiadaniu Administratora,
niszczarka dokumentów,
polityka czystego biurka i czystego pulpitu,
- kontrola dostępu do sprzętu oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych (logowanie z wykorzystaniem identyfikatora użytkownika oraz hasła lub autoryzacja czynnikiem biometrycznym),
- dwuskładnikowe logowanie aktywowane tam, gdzie jest to możliwe,
- kopie zapasowe realizowane przez podmioty przetwarzające,
- szyfrowanie dysków twardych i innych nośników danych,
- szyfrowana transmisja przy przesyłaniu danych,
- wygaszacze ekranów zabezpieczone hasłem,
- blokada systemów po dłuższej nieaktywności,
ochrona antywirusowa,
- bieżący monitoring operacji wykonywanych na danych osobowych,
procedura weryfikacji podmiotów przetwarzających oraz powierzenia danych,
- nadawanie upoważnień do przetwarzania danych i szkolenie osób upoważnionych z zakresu ochrony danych osobowych,
różnicowanie zakresu dostępu poszczególnych osób do danych osobowych,
dokumentacja ochrony danych osobowych.
Załącznik nr 2 – wykaz oprogramowania wykorzystywanego do przetwarzania danych osobowych