Polityka Ochrony Danych Osobowych

Celem Polityki ochrony danych osobowych w KLAMAR Marcin Gajda dalej nazywaną Polityką ochrony danych osobowych (PODO), jestuzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe, a przede wszystkim zapewnienie ochrony przetwarzanych danych osobowych przed wszelkiego rodzaju zagrożeniami, zarówno zewnętrznymi jak i wewnętrznym.

Spis treści

ROZDZIAŁ I PODSTAWY PRAWNE

1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883) – dalej nazywana u.o.d.o. z 1997 r.

2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej nazywane RODO.

3. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) − dalej nazywana u.o.d.o. z 2018 r.

ROZDZIAŁ II SŁOWNIK POJĘĆ

Administrator (ADO) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony Administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. W literaturze występuje też alternatywne nazewnictwo Administrator Ochrony Danych lub Administrator Ochrony DanychOsobowych.

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Dokumentacja – zbiór dokumentów mający na celu wykazać rozliczalność, zgodnie z art. 5 ust. 2 RODO. Dokumentacja stanowi organizacyjny środek ochrony danych osobowych.

Identyfikator użytkownika – inaczej login, jest to nazwa Użytkownika, którą stosuje on w procesie uwierzytelnienia do Systemu informatycznego służącego do przetwarzania danych.

Inspektor Ochrony Danych (IOD) − osoba powoływana przez Administratora lub Podmiot przetwarzający do pomocy przy przestrzeganiu w firmie lub organizacji przepisów o ochronie danych osobowych. W literaturze występuje też alternatywne nazewnictwo Inspektor Ochrony Danych Osobowych (IODO).

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców. Przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

Osoba upoważniona – osoba, która otrzymała upoważnienie od Administratora do przetwarzania danych osobowych. Upoważnienie określa dopuszczalny zakres przetwarzania danych.

Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.

Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Polityka Ochrony Danych Osobowych (PODO).

Prezes Urzędu Ochrony Danych Osobowych (PUODO)− organ nadzorczy do spraw ochrony danych osobowych, ma uprawnienia kontrolne w zakresie zgodności przetwarzania danych z przepisami. PUODO wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych (UODO).

System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

Uwierzytelnienie – proces polegający na podaniu identyfikatora oraz hasła użytkownika, dzięki któremu Użytkownik otrzymuje dostęp do pracy w systemie informatycznym.

Użytkownik – osoba upoważniona, która otrzymała uprawnienia do przetwarzania danych w systemie informatycznym. Użytkownik posiada indywidualny identyfikator oraz hasło do systemu.

Zabezpieczanie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Zgoda osoby, której dane dotyczą– oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

 

ROZDZIAŁ III CEL I ZAKRES PRZETWARZANIA DANYCH

1. Klamar Marcin Gajda opracowuje, zatwierdza i zapewnia wprowadzenie Polityki Ochrony Danych Osobowych jako wyrazu woli wdrożenia przepisów prawa dotyczących ochrony danych osobowych oraz w celu zapewnienia ochrony danych osobowych, których jest Administratorem przed wszelkiego rodzaju zagrożeniami wewnętrznymi i zewnętrznymi, świadomymi lub nieświadomymi.

2. Celem Polityki Ochrony Danych Osobowych jest stworzenie podstawy dla metod zarządzania, procedur i wymagań niezbędnych dla zapewnienia w firmie Klamar Marcin Gajda prawidłowej ochrony danych osobowych. Polityka Ochrony Danych Osobowych określa w sposób szczegółowy zasady ochrony informacji w organizacji, niezależnie od systemów ich przetwarzania oraz sposobu ich przetwarzania w tych systemach. Obejmuje bezpieczeństwo fizyczne, logiczne oraz komunikacyjne przetwarzanych informacji. Swoim zasięgiem obejmuje zarówno sprzęt i oprogramowanie, za pomocą których informacje są przetwarzane, jak i osoby, które te informacje przetwarzają.

3. Polityka ma zastosowanie w stosunku do wszystkich osób przetwarzających lub mogących przetwarzać dane w firmie Klamar Marcin Gajda, niezależnie od form współpracy, jak również pozostałych osób mających dostęp do informacji w Klamar Marcin Gajda . W dalszej części dokumentu pojęcie „Użytkownik” będzie używane dla wspólnego określenia powyższych kategorii.

4. Polityka Ochrony Danych Osobowych ma zastosowanie do wszelkich danych osobowych we wszystkich postaciach przetwarzanych w systemach informatycznych, papierowych i komunikacyjnych przez Klamar Marcin Gajda.

5. Polityka Ochrony Danych Osobowych jest dokumentem przewidzianym w art. 24 ust. 2 Ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., dalej RODO. Wdrożenie Polityki jest proporcjonalne i niezbędne do czynności przetwarzania realizowanych przez Administratora.

6. Polityka Ochrony Danych Osobowych w sposób szczegółowy opisuje wdrożone przez Administratora techniczne i organizacyjne środki bezpieczeństwa danych osobowych, o których mowa w art. 32 ust. 1 RODO.

7. Zastosowane w Polityce Ochrony Danych Osobowych środki mają na celu zapewnić:

1. legalność przetwarzania danych – przetwarzanie danych zawsze będzie opierać się na przesłankach legalizujących wymienionych w art. 6 oraz art. 9 RODO;

2. ograniczenie celu przetwarzania – cel przetwarzania danych zawsze będzie konkretny i wyraźny, ponadto informacja o przetwarzaniu zawsze zostanie podana podmiotowi danych osobowych najpóźniej w chwili rozpoczęcia gromadzenia informacji;

3. minimalizacje i ograniczenia przechowywania danych – przetwarzanie danych w Klamar Marcin Gajda odbywa się w ramach niezbędnych do realizacji celów przetwarzania;

4. poufność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym osobom;

5. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

6. rozliczalność danych − rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;

7. integralność systemu − rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji zamierzonej, jak i przypadkowej;

8. dostępność informacji − rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;

9. zarządzanie ryzykiem − rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

ROZDZIAŁ IV OGÓLNE ZASADY

1. Klamar Marcin Gajda przetwarza dane osobowe jako „Administrator”.

2. Zakres danych osobowych przetwarzanych przez Użytkownika w Systemie informatycznym nie może być szerszy niż powierzony do przetwarzania przez Administratora.

3. Dane osobowe przetwarzane w Systemie informatycznym wykorzystywane są wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane.

4. Klamar Marcin Gajda wdraża środki techniczne i organizacyjne ujęte w Polityce Ochrony Danych Osobowych celem zapobieżenia naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

5. Dane osobowe są:

1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);

3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);

6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

6. Zakres przetwarzania danych osobowych w Klamar Marcin Gajda jest następujący:

– przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

– przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

– przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

ROZDZIAŁ V PODZIAŁ DANYCH OSOBOWYCH

.

1. Ochronie podlega informacja o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (dane osobowe).

2. Wszystkie dane osobowe w Klamar Marcin Gajda dzielą się na dane zwykłe oraz dane wrażliwe.

3. Dane zwykłe rozumiemy jako dane osobowe opisane w art. 6 RODO. Przetwarzanie danych zwykłych Administrator opiera na wyrażonych w art. 6 ust. 1 RODO przesłankach legalizujących dane przetwarzanie.

4. Dane wrażliwe rozumiemy jako dane osobowe opisane w art. 9 RODO. Przetwarzanie danych wrażliwych Administrator opiera na wyrażonych w art. 9 ust. 2 RODO przesłankach legalizujących dane przetwarzanie.

ROZDZIAŁ VI OBOWIĄZKI UŻYTKOWNIKÓW

1. Obowiązek ochrony danych osobowych przetwarzanych w Klamar Marcin Gajda, a w szczególności zachowanie ich poufności i integralności obowiązuje każdą osobę, która ma dostęp do informacji zbieranych, przetwarzanych oraz przechowywanych w Klamar Marcin Gajda, bez względu na zajmowane stanowisko i miejsce wykonywania czynności jak również podstawę prawną wykonywanych czynności.

2. Każdy Użytkownik, który uzyskał dostęp do danych osobowych przetwarzanych przez Klamar Marcin Gajda jest zobligowany do stosowania niezbędnych środków zapobiegających ujawnieniu tych danych osobom trzecim.

3. Zachowanie tajemnicy obowiązuje zarówno podczas trwania stosunku pracy, jak i po jego ustaniu, jak również podczas trwania stosunku współpracy, jak i po jego ustaniu.

4. Każdy Użytkownik, który uzyskał dostęp do danych osobowych przetwarzanych przez Klamar Marcin Gajda jest osobiście odpowiedzialny za przestrzeganie zasad ochrony danych osobowych zawartych w niniejszym dokumencie.

ROZDZIAŁ VII DOSTĘP DO DANYCH OSOBOWYCH

1. Dostęp do danych osobowych w Klamar Marcin Gajda oraz upoważnienie i polecenie do ich przetwarzania przyznaje się Użytkownikowi w oparciu o zajmowane stanowisko lub funkcję jaką pełni w Klamar Marcin Gajda.

2. Funkcja jaką wypełnia dany Użytkownik związana jest z umową o pracę/współpracę niezależnie od formy prawnej oraz zakresu jego obowiązków.

3. Czas dostępu do poszczególnych danych osobowych określony jest czasem wykonania zadania wynikającego z pełnionej funkcji.

ROZDZIAŁ VIII PRZETWARZANIE DANYCH OSOBOWYCH

1. Dane osobowe mogą być przetwarzane wyłącznie przy pomocy systemów wdrożonych lub zaakceptowanych przez Administratora.

2. Dane osobowe powinny być przechowywane wyłącznie przez czas niezbędny do ich eksploatacji.

3. Każda grupa danych osobowych musi posiadać przynajmniej jeden system do robienia kopii zapasowych (system wewnętrznej archiwizacji).

4. W razie otrzymania przez Klamar Marcin Gajda danych osobowych, wobec których Klamar Marcin Gajda nie ma podstaw prawnych do przetwarzania, po zapoznaniu się z ich charakterem pracownik natychmiast je zwraca nadawcy, a w razie braku takiej możliwości anonimizuje lub je usuwa, po uprzednim poinformowaniu Inspektora Ochrony Danych, pod warunkiem, że IOD został powołany.

ROZDZIAŁ IX OSOBY UPOWAŻNIONE (UŻYTKOWNICY)

1. Użytkownikami są wszystkie upoważnione osoby, które na podstawie pisemnego upoważnienia mogą przeglądać, edytować, tworzyć lub kasować dane osobowe.

2. Użytkownicy są zobowiązani zapoznać się i podpisać dokumenty dotyczące ochrony danych osobowych w Klamar Marcin Gajda.

3. Prawa dostępu Użytkownika do danej grupy danych osobowych ustala i kontroluje Inspektor Ochrony Danych, pod warunkiem, że został powołany lub osoba pisemnie upoważniona.

4. Użytkownik może stracić wszelkie prawa dostępu do tych danych osobowych w szczególności, gdy:

1. dane nie będą mu więcej potrzebne (zmieni się jego funkcja),

2. naruszy on Politykę Ochrony Danych Osobowych.

ROZDZIAŁ X ODPOWIEDZIALNOŚĆ UŻYTKOWNIKÓW

1. Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością:

1. porządkową lub dyscyplinarną − przez zastosowanie upomnienia lub nagany. W przypadkach niesubordynacji pracownika może zostać uznana za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować nawet rozwiązaniem umowy w trybie dyscyplinarnym, z winy pracownika (art. 52 § 1 k.p.);

2. materialną (odszkodowawczą) − w sytuacji, w której nieprawidłowe przetwarzanie danych przez pracownika narazi pracodawcę na szkodę. Wówczas pracownik może zostać pociągnięty do odpowiedzialności materialnej (art. 114, 115 i 119 k.p.);

3. karną − w przypadku, gdy naruszenie miałoby charakter umyślnego przestępstwa. Wówczas zastosowanie powinny znaleźć przepisy karne, a konkretniej art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000), penalizujący bezprawne przetwarzanie danych osobowych. Zgodnie z art. 107 ust. 1: „Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”. Natomiast jeśli przetwarzanie dotyczy tzw. danych „wrażliwych” zastosowanie ma art. 107 ust. 2: „Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech”.

ROZDZIAŁ XI SYSTEMY PRZETWARZANIA DANYCH OSOBOWYCH

1. Każdy system przetwarzania danych osobowych musi pozostawać pod stałym nadzorem Administratora.

2. Każdy system przetwarzania danych osobowych powinien być poddawany okresowo audytowi bezpieczeństwa min. raz w roku.

3. Każdy system musi posiadać procedurę:

1. zakładania kont użytkowników w systemie,

2. modyfikacji kont użytkowników w systemie − awaryjnego odnawiania lub zmieniania atrybutów dostępu (np. zapomnianych haseł),

3. usuwania kont użytkowników w systemie.

4. Kontrola dostępu:

1. system musi zapewniać, aby do danych miały dostęp wyłącznie upoważnione osoby;

2. system musi zapewniać, że upoważnione osoby będą mogły wykonywać wyłącznie dopuszczalne operacje;

3. system musi posiadać możliwość czasowego nadawania praw dostępu z automatycznym wygasaniem tych praw;

4. system musi się składać wyłącznie z dopuszczonych do systemu elementów i jego stan musi być pod kontrolą przez cały czas eksploatacji (integralność);

5. system musi w jednoznaczny sposób umożliwiać identyfikację osób, które dokonały zmiany w danych osobowych (jednoznaczność operacji);

6. system musi posiadać mechanizmy pozwalające wykryć próby nieautoryzowanego dostępu do danych lub przekroczenia przyznanych uprawnień w systemie (zarządzanie bezpieczeństwem).

5. Zarządzanie danymi osobowymi:

1. system musi zapewniać integralność danych osobowych przez cały czas przechowywania informacji,

2. system musi posiadać mechanizmy bezpowrotnego niszczenia danych osobowych.

ROZDZIAŁ XII ŚRODKI ORGANIZACYJNE I TECHNICZNE

1. W Klamar Marcin Gajda zastosowano środki zabezpieczające powierzone dane osobowe w postaci zabezpieczeń, technicznych i organizacyjnych wymienionych poniżej:

2. Zabezpieczenia techniczne:

1. zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi),

2. dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów,

3. dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,

4. zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie.

5. Usuwanie dokumentacji przy pomocy niszczarki,

6. procedura tworzenia kopii zapasowych, polityka ciągłości działania,

7. wdrożono politykę haseł,

8. urządzenie mobilne zabezpieczone przy pomocy pinu, hasła.

3. Zabezpieczenia organizacyjne:

1. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych,

2. została opracowana i wdrożona polityka ochrony danych osobowych,

3. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,

4. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego,

5. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.

ROZDZIAŁ XIII SPRAWDZENIE SYSTEMU OCHRONY DANYCH OSOBOWYCH

1. Do sprawdzenia stanu ochrony danych osobowych upoważniony jest Administrator, Inspektor Ochrony Danych (o ile został wyznaczony) oraz wyznaczeni przez Klamar Marcin Gajda albo Inspektora lub jego zastępców kontrolerzy wewnętrzni lub zewnętrzni.

2. Sprawdzenie ma na celu weryfikację zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sprawdzeniu podlega stan faktyczny z zapisami Polityki Ochrony Danych Osobowych, a w szczególności: systemy informatyczne przetwarzające dane osobowe, zabezpieczenia fizyczne, zabezpieczenia organizacyjne, bezpieczeństwo osobowe oraz zgodność stanu faktycznego z wymaganiami rozporządzenia europejskiego, ustawy i aktów wykonawczych.

3. Administrator wykonuje sprawdzenie systemu ochrony danych osobowych minimum raz w roku.

ROZDZIAŁ XIV OBOWIĄZEK INFORMACYJNY

1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, Administrator jest obowiązany poinformować tę osobę o:

1. swojej tożsamości i danych kontaktowych oraz tożsamości i danych kontaktowych wspoładministratora/ów oraz swojego przedstawiciela, jeżeli powołano;

2. danych kontaktowych Inspektora Ochrony Danych, jeśli powołano;

3. celach przetwarzania, do których mają posłużyć dane osobowe;

4. podstawie prawnej przetwarzania;

5. prawnie uzasadnionym interesie realizowanym przez Administratora lub przez stronę trzecią – jeżeli przetwarzanie odbywa się na podstawie prawnie usprawiedliwionego interesu Administratora;

6. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

7. okres, przez który dane osobowe będą przechowywane;

8. prawie do żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą;

9. prawie do sprostowania danych osobowych, ich usunięcia lub ograniczenia przetwarzania;

10. prawie do wniesienia sprzeciwu wobec przetwarzania;

11. prawie do przenoszenia danych;

12. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

13. prawie do wniesienia skargi do organu nadzorczego;

14. prawie do informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

2. W przypadku pozyskania danych osobowych z innego źródła niż osoba, której dane dotyczą, Administrator jest zobowiązany przekazać tej osobie:

1. wszystkie informacje wymienione w pkt 1;

2. informacje o kategoriach odnośnych danych osobowych;

3. informację o źródle pochodzenia danych osobowych, a jeżeli ma to zastosowanie, o pochodzeniu ich ze źródeł powszechnie dostępnych. Obowiązek poinformowania wymieniony w pkt 1 niniejszego rozdziału powinien być wykonany w momencie zbierania danych z wyjątkiem sytuacji, gdy przepis innej ustawy zezwala na przetwarzanie danych osobowych bez ujawniania faktycznego celu ich zbierania.

3. Obowiązek poinformowania wymieniony w pkt 2 niniejszego rozdziału powinien zostać spełniony bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie z wyjątkiem sytuacji, gdy:

1. przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą;

2. dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania;

3. dane są przetwarzane przez Administratora, o którym mowa w art. 3 ust. 1 u.o.d.o. z 1997 r., zakres podmiotowy ustawy, na podstawie przepisów prawa;

4. osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1 niniejszego rozdziału.

4. W przypadku pierwszorazowego kontaktu z osobą fizyczną Użytkownik zobowiązany jest umieścić w wiadomości e-mail link do polityki prywatności lub strony internetowej na której znajduje się polityka prywatności.

ROZDZIAŁ XV WARUNKI KORZYSTANIA Z SYSTEMU INFORMATYCZNEGO

1. Zgodnie z postanowieniami niniejszej Polityki Ochrony Danych Osobowych zabrania się Użytkownikowi systemu podejmowania jakichkolwiek czynności mających na celu naruszenie ochrony danych osobowych.

2. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu loginu i właściwego hasła.

3. W celu zapobieżenia nieautoryzowanemu dostępowi do systemu informatycznego Użytkownik nie może zakończyć pracy bez pełnej i poprawnej procedury zamknięcia i zabezpieczenia dostępu do danych.

4. Zabronione jest korzystanie z systemu informatycznego z użyciem danych dostępowych innego Użytkownika.

5. Użytkownicy są zobowiązani do zachowania zasady bezpiecznego ustawienia monitora tj. takiego, które uniemożliwi osobom postronnym zapoznanie się z treścią na nim prezentowaną.

6. Do prawidłowego korzystania z systemu informatycznego niezbędne są:

1. login,

2. hasło.

7. Hasło użytkownika powinno zawierać co najmniej 8 znaków, w tym:

1. co najmniej jedną dużą literę,

2. co najmniej jedną małą literę,

3. co najmniej jeden znak specjalny.

8. Czas trwania nieaktywnej sesji (czas bezczynności) po jakim następuje automatyczne wylogowanie Użytkownika wynosi 10 minut.

9. W przypadku nieumyślnego ujawnienia hasła osobie nieuprawnionej lub podejrzenia ujawnienia należy bezzwłocznie dokonać zmiany hasła na nowe.

10. Hasło Użytkownika powinno być zmieniane nie rzadziej jak raz na 3 miesiące.

11. W przypadku braku możliwości samodzielnego dokonania przez Użytkownika zmiany hasła należy powiadomić Inspektora Ochrony Danych, pod warunkiem, że IOD został powołany.

12. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie te osoby, które mają upoważnienie nadane przez Administratora danych. Upoważnienie ma formę pisemną podpisaną przez Administratora oraz Użytkownika. Po nadaniu upoważnienia Administrator powinien to odnotować w ewidencji osób upoważnionych.

ROZDZIAŁ XVI ROZPOCZYNANIE, ZAWIESZANIE I KOŃCZENIE PRACY

1. W celu uruchomienia podsystemu informatycznego użytkownik powinien:

1. uruchomić komputer,

2. wybrać odpowiednią opcję umożliwiającą logowanie do podsystemu,

3. zalogować się do podsystemu poprzez wskazanie loginu oraz poufnego i aktualnego hasła.

2. Użytkownik podczas logowania do podsystemu nie może ujawniać hasła osobom trzecim, w tym innym Użytkownikom oraz pozostawiać zapisanego hasła w pobliżu stanowiska pracy i innych pracowników.

3. Użytkownik zobligowany jest do skutecznego wylogowania się z podsystemu za każdym razem, gdy zamierza opuścić stanowisko pracy, niezależnie od tego na jak długo ma zamiar odejść od komputera.

4. Wylogowanie następuje poprzez wybranie w systemie opcji „wyloguj” lub zablokowanie ekranu w sposób, który uniemożliwia jego odblokowanie bez znajomości hasła, dzięki zastosowaniu funkcji wygaszacza ekranu.

5. Ekrany komputerów, na których przetwarzane są dane osobowe, należy chronić wygaszaczami zabezpieczonymi hasłem. Monitory należy ustawić tak, aby ograniczyć dostęp do danych osobom nieupoważnionym do przetwarzania danych.

6. Osoba opuszczająca pomieszczenie, w którym przetwarzane są dane osobowe zobowiązana jest do zamknięcia pomieszczenia na klucz, jeżeli w pomieszczeniu tym nie przebywa inna osoba upoważniona do przebywania w tym pomieszczeniu.

7. Zabronione jest pozostawianie bez nadzoru w pomieszczeniach, w których przetwarzane są dane osobowe, osób nieupoważnionych przez Administratora do przetwarzania danych lub do przebywania w tych pomieszczeniach.

ROZDZIAŁ XVII PRZEGLĄD I KONSERWACJA SYSTEMU PRZETWARZAJĄCEGO DANE I SPRZĘTU KOMPUTEROWEGO

1. Sprzęt komputerowy powinien być użytkowany w sposób odpowiedni, tzn. zabezpieczony przed:

1. strąceniem ze stołu,

2. zalaniem napojem,

3. wyrwaniem i/lub uszkodzeniem kabli.

2. Zakazane jest zakrywanie otworów wentylacyjnych komputera.

3. Raz w miesiącu osoba wyznaczona przez Administratora dokonuje konserwacji systemu wraz ze sprawdzeniem zabezpieczenia systemu od strony Internetu i sieci lokalnej oraz uaktualniania komponentów.

4. Bieżących przeglądów i konserwacji sprzętu dokonują Użytkownicy.

5. Osoba wyznaczona przez Administratora na bieżąco kontroluje podstawowe parametry systemu informatycznego, a w szczególności:

1. stan dysków twardych,

2. stan lokalnej sieci komputerowej

3. dostęp do Internetu,

4. logi i komunikaty serwerów,

5. ilość wolnego miejsca na nośnikach przeznaczonych do tworzenia kopii awaryjnych,

6. aktualność stosowanych wersji oprogramowania.

5. Czynności wykonywane przez firmy zewnętrzne, są wykonywane przez uprawnionych przedstawicieli tych firm pod nadzorem wyznaczonej do tego osoby, bez dostępu do rzeczywistych danych osobowych.

6. W wyjątkowych sytuacjach, tj. w przypadku konieczności dostępu do informacji zastrzeżonych przez serwisantów, podpisują oni dokument o zachowaniu poufności.

7. Urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych, przeznaczone do naprawy nie mogą zawierać danych osobowych, których udostępnienie mogłoby spowodować naruszenie ochrony danych. Urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych w miarę możliwości powinny być naprawiane pod nadzorem Administratora lub osoby przez niego upoważnionej.

8. Nieupoważnionym do tego pracownikom zabrania się:

1. używanie prywatnych nośników danych,

2. zmiany konfiguracji sprzętowej i programowej komputera,

3. instalowania dodatkowego oprogramowania,

4. instalowania lub wyjmowania części komputerowych.

ROZDZIAŁ XVIII PROCEDURA KORZYSTANIA Z INTERNETU

1. Użytkownicy systemu informatycznego mają prawo korzystać z Internetu co do zasady w celu wykonywania obowiązków służbowych.

2. Przy korzystaniu z Internetu, użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i praw autorskich.

3. Użytkownik ma prawo korzystać z Internetu dla celów prywatnych wyłącznie okazjonalnie i nie może to wpływać na jakość i ilość świadczonej przez Użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez niego obowiązków służbowych, a także na wydajność systemu informatycznego Klamar Marcin Gajda .

4. Zabrania się zgrywania na dysk twardy komputera oraz uruchamiania jakichkolwiek programów nielegalnych oraz plików pobranych z niepewnego źródła.

5. Osoba korzystająca ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie ściągnięte z Internetu i przez niego zainstalowane.

6. Należy korzystać wyłącznie z przeglądarek posiadających odpowiednie opcje zabezpieczeń.

7. W przypadku korzystania z szyfrowanego połączenia przez przeglądarkę, należy zwracać uwagę na pojawienie się odpowiedniej ikonki (kłódka, protokół https).

8. W zakresie dozwolonym przepisami prawa, Administrator zastrzega sobie prawo do kontrolowania sposobu korzystania przez Użytkownika z Internetu pod kątem wyżej opisanych zasad. Administrator może również blokować dostęp do niektórych treści dostępnych przez Internet.

ROZDZIAŁ XIX PROCEDURA KORZYSTANIA Z POCZTY ELEKTRONICZNEJ

1. Przesyłanie danych osobowych poza Klamar Marcin Gajda może odbywać się tylko przez osoby do tego upoważnione.

2. W przypadku przesyłania danych osobowych, których ujawnienie mogłoby spowodować ryzyko naruszenia praw i wolności osób fizycznych należy wykorzystywać mechanizmy kryptograficzne (pakowanie i zabezpieczanie hasłem wysyłanych plików lub podpis elektroniczny).

3. Należy zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu.

4. Przy rozsyłaniu korespondencji wielu adresatom w komunikacji przesyłanej na maile prywatne osób fizycznych należy czynić to w taki sposób, że odbiorcy nie widzą wzajemnie swoich adresów (UDW).

5. Nie należy otwierać załączników (plików) w korespondencji elektronicznej nadesłanej przez nieznanego nadawcę.

6. Należy okresowo kasować niepotrzebne wiadomości pocztowe.

ROZDZIAŁ XX PROCEDURA KORZYSTANIA Z SMARTPHONÓW

1. Osoba użytkująca smartfon zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania.

2. Użytkownicy smartfonów mogą pobierać samodzielnie aplikacje jedynie z centralnych stale monitorowanych źródeł tj. Google Play Store lub Apple AppStore.

3. Osoba użytkująca smartfon zawierający dane osobowe nie powinna logować się do hotspotów i innych niezabezpieczonych punktów dostępu do sieci Internet.

4. W przypadku zaginięcia/kradzieży smartfona, na którym były zgromadzone dane osobowe, użytkownik smartfona niezwłocznie powiadamia Administratora lub upoważnioną przez niego osobę.

5. Zaleca się szczególną ostrożność podczas uruchamiania odsyłaczy do stron www znajdujących się w wiadomościach tekstowych i innych odbieranych za pośrednictwem smartfona oraz powstrzymywanie się od korzystania z odsyłaczy pochodzących z nieznanego lub niezaufanego źródła.

6. Zaleca się blokowanie reklam. W tym celu zalecane jest zainstalowanie oprogramowania blokującego wyświetlanie reklam − na przykład AdBlocka.

7. Użytkownik smartfona zawierającego dane osobowe zobowiązany jest do wylogowywania się z serwisów www po skorzystaniu z ich zawartości.

8. Użytkownik smartfona zobowiązany jest do przeprowadzania aktualizacji systemu operacyjnego, regularnie, każdorazowo, gdy zostanie o niej poinformowany przez producenta systemu.

9. Zaleca się blokowanie ekranu, choćby poprzez najbardziej podstawową blokadę ekranu w ustawieniach systemowych.

ROZDZIAŁ XXI PROCEDURA KORZYSTANIA Z KOMPUTERÓW PRZENOŚNYCH

1. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarza się dane osobowe.

2. Osoba użytkująca komputer przenośny nie powinna logować się do hotspotów i innych niezabezpieczonych punktów dostępu do sieci Internet.

3. W przypadku zaginięcia komputera przenośnego lub nośników danych, na których były zgromadzone dane osobowe, użytkownik posługujący się komputerem niezwłocznie powiadamia Administratora lub upoważnioną przez niego osobę.

ROZDZIAŁ XXII POLITYKA CZYSTEGO BIURKA

1. Polityka czystego biurka ma na celu zabezpieczenie dokumentów podczas pracy z dokumentami w wersji papierowej.

2. Dane osobowe w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf.

3. Na biurku nie powinny znajdować się dokumenty zawierające dane osobowe innej osoby niż w danej chwili obsługiwanej.

4. Odchodząc od biurka nie wolno pozostawiać dokumentów bez nadzoru.

5. Po zakończeniu pracy dokumenty należy zabezpieczyć.

6. Nie należy magazynować zbędnych wydruków.

7. Zbędne wydruki i inne dokumenty konwencjonalne (na nośnikach papierowych), zawierające dane osobowe, powinny być zniszczone w niszczarce dokumentów lub podarte na drobne fragmenty w sposób uniemożliwiający ich odczytanie.

8. Za prawidłowe zniszczenie zbędnych dokumentów papierowych, zawierających dane osobowe, odpowiada osoba, która przetwarzała dane.

9. Nadzór nad prawidłowym niszczeniem dokumentów zawierających dane osobowe sprawuje Administrator lub upoważniona przez niego osoba.

ROZDZIAŁ XXIII POLITYKA CZYSTEGO EKRANU

1. Ustawienia monitorów muszą zapewniać ograniczenie możliwości podglądania wyświetlanych danych osobom trzecim.

2. W przypadku konieczności czasowego opuszczenia stanowiska pracy, przyłączonego do sieci informatycznej lub służącego przetwarzaniu danych, wiążącego się z utratą z pola widzenia swojego stanowiska, Użytkownik powinien:

1. 1. wylogować się z programu lub sieci informatycznej lub zablokować stację roboczą odpowiednią kombinacją klawiszy, przy czym odblokowanie może nastąpić dopiero po podaniu hasła lub

   2. aktywować wygaszacz ekranu w ten sposób, aby powrót do normalnej pracy był możliwy dopiero po podaniu hasła.

ROZDZIAŁ XXIV POSTĘPOWANIE NA WYPADEK NARUSZENIA OCHRONY DANYCH OSOBOWYCH

1. Każda osoba, która zauważyła zdarzenie mogące być przyczyną lub mogące spowodować naruszenie bezpieczeństwa danych, a w szczególności ich poufności i integralności, zobowiązana jest do natychmiastowego poinformowania Inspektora Ochrony Danych (o ile został wyznaczony) oraz swojego bezpośredniego przełożonego.

2. Naruszenie ochrony danych osobowych może być skutkiem:

1. szkodliwego wpływu środowiska na system przetwarzania danych,

2. zewnętrznych zdarzeń losowych,

3. zamierzonych lub niezamierzonych czynności użytkowników systemów przetwarzania danych,

4. nieuprawnionych działań osób nieupoważnionych do dostępu do danych.

3. O naruszeniu bezpieczeństwa danych osobowych mogą świadczyć w szczególności takie sytuacje jak:

1. brak możliwości uruchomienia przez Użytkownika aplikacji pozwalającej na dostęp do danych;

2. niewłaściwe parametry środowiska takie jak temperatura, wilgotność pomieszczeń, w których przetwarzane są dane;

3. sytuacja klęski żywiołowej (pożar, powódź, huragan);

4. wykorzystywanie nielegalnych aplikacji lub elementów nielegalnego oprogramowania;

5. otrzymanie informacji o naruszeniu ochrony danych (np. sygnał o nieautoryzowanym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu, stan przeglądanych danych wskazujący na ingerencję w strukturę zbioru);

6. niedopełnienie obowiązku ochrony danych przez umożliwienie dostępu do danych (np. pozostawienie kopii danych, niezablokowanie dostępu do systemu, brak nadzoru nad serwisantami i innymi osobami nieuprawnionymi przebywającymi w pomieszczeniach, gdzie przetwarza się dane);

7. ujawnienie indywidualnych haseł dostępu do danych;

8. wykonanie nieuprawnionych kopii danych;

9. zmiana lub usunięcie danych zapisanych na kopiach bezpieczeństwa lub archiwalnych;

10. brak nośnika zawierającego dane (np. zaginięcie wydruku, kopii bezpieczeństwa, pendriva czy dysku);

11. niewłaściwe niszczenie nośników z danymi pozwalające na ich odczyt;

12. brak możliwości zalogowania się przez Użytkownika pomimo użycia właściwego loginu i hasła;

13. wykrycie na stanowisku komputerowym Użytkownika narzędzi programowych np. wirusów komputerowych, robaków, rootkit-ów, trojan-ów;

14. stwierdzenie fizycznej ingerencji w stanowisko komputerowe Użytkownika;

15. zamontowanie lub znajdowanie się na stanowisku komputerowym nowego, nieznanego urządzenia (narzędzi sprzętowych) np. przejściówki, w szczególności keyloggera sprzętowego, kamery, urządzeń podsłuchowych;

16. próby naruszenia ochrony danych:

• z zewnątrz − włamania do systemu, podsłuch, kradzież danych;

• z wewnątrz − nieumyślna lub celowa modyfikacja danych, kradzież danych;

17. awarie sprzętu lub uszkodzenie oprogramowania;

18. inne sytuacje skutkujące utratą danych osobowych, bądź wejściem w ich posiadanie osób nieuprawnionych;

19. usiłowanie zakłócenia działania systemu informatycznego;

20. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;

21. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;

22. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek);

23. inne sytuacje wskazujące lub potwierdzające naruszenie bezpieczeństwa danych.

4. Do typowych źródeł informacji o incydentach, zagrożeniach lub słabościach systemu zalicza się:

1. zgłoszenia od Użytkowników,

2. alarmy z systemów informatycznych,

3. analizy incydentów,

4. wyniki audytów/kontroli.

5. W przypadku stwierdzenia wystąpienia zagrożenia, Administrator lub jego przedstawiciel (o ile został powołany) lub IOD (o ile został powołany) prowadzi postępowanie wyjaśniające, w toku którego:

1. ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,

2. inicjuje ewentualne działania dyscyplinarne,

3. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości,

4. dokumentuje prowadzone postępowania.

6. W przypadku stwierdzenia incydentu (naruszenia) Administrator lub jego przedstawiciel (o ile został powołany) lub IOD (o ile został powołany) prowadzi postępowanie wyjaśniające, w toku którego:

1. ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały;

2. zabezpiecza ewentualne dowody;

3. ustala osoby odpowiedzialne za naruszenie;

4. podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody);

5. inicjuje działania dyscyplinarne;

6. wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości;

7. dokumentuje prowadzone postępowania.

7. Administrator lub jego przedstawiciel (o ile został powołany) lub IOD (o ile został powołany) jest odpowiedzialny za analizę incydentów bezpieczeństwa, zagrożeń lub słabości systemu ochrony danych osobowych. Gdy stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa:

1. zakres i przyczyny zagrożenia oraz jego ewentualne skutki,

2. inicjuje ewentualne działania dyscyplinarne,

3. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości,

4. dokumentuje prowadzone postępowania.

ROZDZIAŁ XXV PROCES POSTĘPOWANIA W PRZYPADKU USZKODZENIA ZBIORU DANYCH

1. Odtworzeniem danych zajmuje się Inspektor Ochrony Danych (o ile powołano) we współpracy z Administratorem.

2. Odtworzenie następuję według kroków:

1. zawieszenie uprawnień Użytkowników i zakomunikowanie o czasowym zablokowaniu dostępu do zbioru danych;

2. ustalenie źródła awarii i obszar uszkodzeń;

3. podjęcie działań w celu usunięcia awarii i próby naprawy zbioru danych;

4. sprawdzenie poprawności i spójności zbioru danych;

5. poddanie systemu procedurze testowania i dopiero po stwierdzeniu poprawności jego działania następuje przywrócenie uprawnień dla Użytkowników i poinformowanie ich o możliwości bezpiecznego przetwarzania danych.

3. W przypadku stwierdzenia niespójności bądź utraty danych następuje ich odzysk z kopii bezpieczeństwa (zapasowych). Szczegóły postępowania w przypadku utraty lub uszkodzenia bazy danych lub poszczególnych zbiorów definiuje Instrukcja Postępowania w Sytuacji Naruszenia Danych.

4. Administrator sporządza raport z przebiegu i wyniku odtworzenia danych, który przekazuje Inspektorowi Ochrony Danych (o ile powołano).

ROZDZIAŁ XXVI KOPIE ZAPASOWE

1. Dla zabezpieczenia integralności danych dokonuje się archiwizacji danych w systemach Klamar Marcin Gajda.

2. Zbiory danych są przechowywane na serwerze do tego przeznaczonym, a ponadto są składowane na kopiach zapasowych (awaryjnych).

3. Tworzenie kopii zapasowych dotyczy:

1. baz danych,

2. danych finansowych,

3. aplikacji użytkowych i katalogów działowych,

4. folderów domowych użytkowników.

4. Do przechowywania backupów używany jest serwer będący w siedzibie głównej Klamar Marcin Gajda.

5. Kopie zapasowe tworzone są zgodnie z następującym harmonogramem:

Raz na miesiąc jest wykonywany backup bazy danych oraz innych elementów aktualizowanych codziennie (udziały sieciowe, foldery użytkowników itp.).

6. Dostęp do urządzeń kopii zapasowych, o których mowa w ust. 3 mają osoby upoważnione przez Administratora.

7. Administrator:

1. określa czas przechowywania poszczególnych kopii zapasowych, w zależności od celu przetwarzania danych zapisanych na kopiach zapasowych;

2. odpowiedzialny jest za realizację działań odtworzeniowych w przypadku konieczności podjęcia takich działań w związku z awarią systemu informatycznego;

3. odpowiedzialny jest za przeprowadzenie testów poprawności działania systemu przed jego oddaniem do użytkowania;

4. przeprowadza weryfikację możliwości odtworzenia danych zapisanych na kopiach zapasowych. Weryfikacja taka powinna być przeprowadzana nie rzadziej niż raz na rok.

ROZDZIAŁXXVII UDOSTĘPNIENIE DANYCH

1. Udostępnienie danych osobowych możliwe jest tylko w wypadku spełnienia jednej z nw. przesłanek przetwarzania danych osobowych.

2. Udostępnienie danych osobowych może nastąpi

3. tylko po przedłożeniu wniosku o przekazanie lub udostępnienie informacji.

4. Udostępniając dane osobowe należy zaznaczy

5. , że można je wykorzysta

6. wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

7. W przypadku żądania udzielenia informacji na temat przetwarzanych danych osobowych − na pisemny wniosek pochodzący od osoby, której dane dotyczą − odpowiedź na wniosek następuje w terminie 30 dni od daty jego otrzymania.

8. Odmowa udostępnienia danych osobowych następuje wówczas, gdy spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób oraz jeżeli dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania wnioskodawcy.

ROZDZIAŁ XXVIII POWIERZENIE PRZETWARZANIA DANYCH

1. Administrator może powierzy

2. przetwarzanie danych osobowych innemu podmiotowi zewnętrznemu w drodze umowy zawartej na piśmie, w tym w formie elektronicznej.

3. Przekazanie zbiorów podmiotowi zewnętrznemu w celu ich przetwarzania nie powoduje zmiany właściwego Administratora.

4. Jeżeli przetwarzanie ma by

5. dokonywane w imieniu Administratora, korzysta on wyłącznie z usług takich Podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

6. Podmiot przetwarzający nie może skorzysta

7. z usług innego Podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W przypadku ogólnej pisemnej zgody Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych Podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

8. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych osobowych obowiązany jest wykorzystywać

9. powierzone mu dane wyłącznie w celach i w zakresie, które zostały wskazane w zawartej z nim umowie, jak również zachowa

10. poufność danych osobowych powierzonych mu do przetwarzania.

11. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych obowiązany jest między innymi do:

    1. stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczy

    2. dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

    3. opracowania i wdrożenia dokumentacji dotyczącej przetwarzania i ochrony danych osobowych;

    4. zapewnienia, aby do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora;

    5. prowadzenia ewidencji osób upoważnionych do przetwarzania danych;

    6. zobowiązania osób, które zostały upoważnione do przetwarzania danych osobowych do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczania;

    7. zapewnienia kontroli nad tym jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;

    8. poinformowania Administratora o sytuacji podpowierzenia oraz wskazania w umowie nazwy podmiotu wraz z danymi teleadresowymi, któremu zostały podpowierzone dane osobowe.

12. W przypadku gdy to Klamar Marcin Gajda realizuje usługi jako Podmiot przetwarzający – procesor, to rejestruje ona niezbędne informacje w tym zakresie w ramach Rejestru kategorii czynności przetwarzania dokonywanych w imieniu Administratorów.

13. Do przetwarzania powierzonych danych osobowych mogą być dopuszczeni jedynie pracownicy oraz pracownicy podmiotów współpracujących lub świadczących usługi na rzecz Klamar Marcin Gajda w zakresie adekwatnym do celu powierzenia.

ROZDZIAŁ XXIX SZKOLENIA UŻYTKOWNIKÓW – DOSKONALENIE

1. Każdy Użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych zgodnie z nadawanym upoważnieniem.

2. Za przygotowanie i przeprowadzenie szkolenia odpowiada Inspektor Ochrony Danych o ile został wyznaczony lub osoby do tego wyznaczone przez Administratora.

3. Zakres i forma szkolenia powinny obejmować zaznajomienie Użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz polityką obowiązującą w Klamar Marcin Gajda w zakresie ochrony danych osobowych, a Użytkownik powinien zobowiązać się do ich przestrzegania.

4. Szkolenie zostaje zakończone podpisaniem przez uczestnika oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.

ROZDZIAŁ XXX POSTANOWIENIA KOŃCOWE

1. Polityka Ochrony Danych Osobowych jest dokumentem wewnętrznym i nie może być udostępniana osobom trzecim bez zgody Administratora.

2. Wszystkie regulacje dotyczące systemów informatycznych określone w Polityce Ochrony Danych Osobowych dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.

3. Przy przetwarzaniu danych osobowych Użytkownicy zobowiązani są do stosowania postanowień zawartych w Polityce Ochrony Danych Osobowych.

4. W sprawach nieuregulowanych niniejszym dokumentem znajdują zastosowanie przepisy:

1. Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883) – „u.o.d.o. z 1997 r.”,

2. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) –„RODO”,

3. Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) – „u.o.d.o. z 2018 r.”.

Właściciel firmy

Marcin Gajda

WYKAZ ZAŁĄCZNIKÓW DO POLITYKI OCHRONY DANYCH OSOBOWYCH

 

1. Rejestr czynności przetwarzania.

2. Analiza ryzyka.

3. Polityka prywatności.

4. Klauzula informacyjna (dla klientów).

5. Zgoda na wykorzystanie wizerunku.

6. Umowa powierzenia przetwarzania danych.

7. Protokół naruszenia ochrony danych.

8. Rejestr naruszeń ochrony danych.

9. Zgoda na przetwarzanie danych osobowych.

10. Rejestr żądań podmiotów danych.

11. Wniosek o rozporządzanie danymi osobowymi.

12. Wykaz procesorów (podmiotów przetwarzających dane).

13. Pozostałe klauzule informacyjne.