POLITYKA OCHRONY DANYCH OSOBOWYCH
__________________
TEL-MET SP. Z O.O.
Data utworzenia: 25 maja 2018 r.
Zawartość:
Preambuła
- Zakres zastosowania i sposoby przetwarzania.
- Administrator danych osobowych.
III.I. Zadania administratora danych.
- Przetwarzanie danych osobowych w zbiorach danych.
- Ocena skutków dla ochrony danych.
- Rejestr czynności przetwarzania.
- Podmiot przetwarzający i umowa powierzenia przetwarzania danych osobowych.
- Realizacja praw podmiotów danych.
- Retencja danych.
- Bezpieczeństwo.
- Postępowanie w przypadku naruszeń ochrony danych osobowych.
- Współpraca z organem nadzorczym.
- Aktualizacja Polityki ochrony danych osobowych.
Załącznik nr 1 – wzór oceny skutków dla ochrony danych.
Załącznik nr 2 – wzór rejestru przetwarzania – dołączono w formie pliku excel.
Załącznik nr 3 – Środki techniczne i organizacyjne przyjęte w celu zapewnienia bezpieczeństwa danych osobowych, przetwarzanych przez administratora danych.
Załącznik nr 4 – wzór zgłoszenia naruszenia do organu nadzorczego.
Załącznik nr 5 – wzór zawiadomienia podmiotu danych o naruszeniu.
Załącznik nr 6 – wzór rejestru naruszeń.
Preambuła
Celem Polityki ochrony danych osobowych w TEL-MET Sp. z o.o., zwanej dalej „Polityką ochrony danych”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe.
Niniejsza Polityka ochrony danych osobowych powstała w celu sprostania wymaganiom zawartym w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz innych powszechnie obowiązujących przepisów Unii Europejskiej i przepisów krajowych, dotyczących ochrony danych osobowych.
Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w TEL-MET Sp. z o.o. rozumiane jest jako zapewnienie ich przetwarzania zgodnie z zasadami wyrażonymi w ogólnym rozporządzeniu o ochronie danych osobowych: zasadą zgodności z prawem, rzetelności i przejrzystości, zasadą ograniczenia celu, zasadą minimalizacji danych, zasadą prawidłowości, zasadą ograniczenia przechowywania, zasadą integralności i poufności oraz zasadą rozliczalności, przy jednoczesnym uwzględnieniu zasady privacy by design („zasady prywatności w fazie projektowania”) oraz zasady privacy by default („zasady prywatności w ustawieniach domyślnych”). Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
- DEFINICJE
- RODO/ogólne rozporządzenie o ochronie danych – Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
- administrator danych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
- procesor/podmiot przetwarzający dane osobowe – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora danych na podstawie umowy powierzenia przetwarzania danych osobowych.
- odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
- strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.
- dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
- podmiot danych – osoba, której dane podlegają operacjom przetwarzania.
- zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
- przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
- obszar przetwarzania – teren siedziby Spółki TEL-MET Sp. z o.o., mieszczącej się w Katowicach (40.-153), przy Al. W. Korfantego 169
- zgoda – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
- system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych.
- system tradycyjny – rozumie się przez to zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia, i środków trwałych w celu przetwarzania danych osobowych na papierze.
- naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- organ nadzorczy – niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z przepisami ogólnego rozporządzenia o ochronie danych.
- ZAKRES ZASTOSOWANIA I SPOSOBY PRZETWARZANIA
- Niniejszą politykę ochrony danych stosuje się do wszelkich danych osobowych przetwarzanych przez TEL-MET Sp. z o.o., bez względu na to, czy Spółka przetwarza dane osobowe jako administrator danych osobowych czy jako podmiot, któremu dane osobowe zostały powierzone do przetwarzania w ramach umowy powierzenia przetwarzania danych osobowych.
- Dane osobowe są przetwarzane w systemie tradycyjnym oraz w systemach informatycznych.
- ADMINISTRATOR DANYCH OSOBOWYCH
Administratorem danych osobowych jest TEL-MET Sp. z o.o. z siedzibą w Katowicach (40-153), przy Al. W. Korfantego 169, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0000116658, NIP 634-01-27-553, REGON 270192705
- Zadania administratora danych osobowych.
- Administrator danych osobowych sprawuje nadzór nad przetwarzaniem danych osobowych.
- Administrator danych publikuje dane kontaktowe na swojej stronie www, a także każdorazowo udostępnia te dane podmiotom danych, realizując wobec nich obowiązek informacyjny.
- Administrator danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
- Do zadań administrator danych należy:
- informowanie podmiotu przetwarzającego (procesora) oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia o ochronie danych oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania ogólnego rozporządzenia o ochronie danych, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora danych lub podmiotu przetwarzającego (procesora) w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z niniejszą Polityką ochrony danych;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami z organem nadzorczym, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
- Administrator danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.
- W ramach realizacji swoich zadań, administrator danych odpowiada za wprowadzenie rejestrów, których obligatoryjność prowadzenia wynika z obowiązujących w zakresie ochrony danych osobowych przepisów prawa i niniejszej polityki ochrony danych oraz je prowadzi. W przypadku rejestrów, które zostały przekazane do prowadzenia innym pracownikom wskazanym przez administratora danych, administrator danych nadzoruje ich prowadzenie.
- PRZETWARZANIE DANYCH OSOBOWYCH W ZBIORACH DANYCH
- Dane osobowe przetwarzane w uporządkowanych zbiorach danych (umożliwiających zidentyfikowanie konkretnej osoby przy zastosowaniu wybranych kryteriów) podlegają ochronie.
- W zbiorach danych przetwarza się tylko dane niezbędne do celu, dla realizacji którego powstał zbiór danych. Jeżeli administrator danych znajdzie się w posiadaniu danych nadmiarowych w stosunku do określonego celu przetwarzania, usunie je i nie będzie ich przetwarzał w danym zbiorze.
- W zbiorach danych przetwarza się tylko dane, co do których istnieje podstawa przetwarzania, a wobec podmiotu danych zrealizowano obowiązek informacyjny.
- Jeżeli podstawę przetwarzania danych osobowych w danym zbiorze stanowi zgoda, administrator danych może przetwarzać tylko te dane, w stosunku do których zgoda została wyrażona w sposób dobrowolny, konkretny, świadomy i jednoznaczny.
- Przed utworzeniem nowego zbioru danych osobowych, celem urzeczywistnienia zasady privacy by design, administrator przeprowadzi ocenę skutków przetwarzania danych dla projektowanego zbioru, zgodnie z postanowieniami obowiązujących w zakresie ochrony danych osobowych przepisów prawa oraz zgodnie z postanowieniami niniejszej polityki ochrony danych.
- Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator przed utworzeniem nowego zbiory danych zaprojektuje, a następnie wdroży odpowiednie do poziomu ryzyka środki techniczne i organizacyjne.
- Administrator zaprojektuje, a następnie wdroży odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania, natomiast wszelkie inne dane osobowe nie były udostępniane bez interwencji podmiotu danych nieokreślonej liczbie osób fizycznych.
- Administrator danych ma obowiązek zgłosić każdy nowy zbiór danych podmiotowi odpowiedzialnemu za prowadzenie rejestru czynności przetwarzania, celem wprowadzenia tego zbioru do rejestru.
- OCENA SKUTKÓW PRZETWARZANIA
- Jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych osobowych przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (Załącznik nr 1).
- Ocena skutków przetwarzania zawiera co najmniej:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszej polityki ochrony danych i ogólnego rozporządzenia o ochronie danych, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy. Zaprojektowane środki czynią zadość zapisom ust. 4 pkt 4.6. i 4.7.
- Jeżeli ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym, przedstawiając mu:
- odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw (gdy ma to zastosowanie);
- cele i sposoby zamierzonego przetwarzania;
- środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z ogólnym rozporządzeniem o ochronie danych;
- ocenę skutków dla ochrony danych;
- wszelkie inne informacje, których żąda organ nadzorczy.
- REJESTR CZYNNOŚCI PRZETWARZANIA
- Administrator danych przyjmuje rejestr czynności przetwarzania danych osobowych (Załącznik nr 2), którymi administruje. Rejestr czynności przetwarzania jest prowadzony w formie elektronicznej lub pisemnej.
- Za prowadzenie rejestru czynności przetwarzania w imieniu administratora danych odpowiada wyznaczony przez administratora danych pracownik.
- Aktualność informacji zawartych w rejestrze czynności przetwarzania jest na bieżąco monitorowana przez wyznaczonego przez administratora danych pracownika, który w razie potrzeby aktualizuje rejestr.
- PODMIOT PRZETWARZAJĄCY I UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
- Administrator danych może powierzyć przetwarzanie administrowanych przez siebie danych osobowych innemu podmiotowi, który będzie przetwarzał powierzone dane osobowe w imieniu administratora.
- O celu i sposobie przetwarzania powierzonych danych decyduje administrator danych.
- Administrator danych korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie danych i chroniło prawa osób, których dane dotyczą.
- W celu dokonania oceny, czy podmiot przetwarzający stosuje wystarczające środki techniczne i organizacyjne ochrony danych, administrator danych zapoznaje się z dokumentacją wskazującą jakie środki techniczne i organizacyjne zostały przyjęte u podmiotu przetwarzającego w ramach ustanowionej przez ten podmiot polityki ochrony danych.
- W celu umożliwienia podmiotowi przetwarzającemu zapoznania się z środkami technicznymi i administracyjnymi przyjętymi przez administratora danych, udostępnia się mu Załącznik nr 3 – „Środki techniczne i organizacyjne przyjęte w celu zapewnienia bezpieczeństwa danych osobowych, przetwarzanych przez administratora danych”.
- W przypadku stwierdzenia, że środki techniczne i organizacyjne wdrożone przez podmiot przetwarzający nie są wystarczające, administrator danych zobowiąże ten podmiot do podjęcia dodatkowych środków ochrony danych osobowych w ramach umowy powierzenia przetwarzania danych osobowych.
- Jeżeli podmiot przetwarzający nie stosuje wystarczających środków technicznych i organizacyjne ochrony danych, a ponadto sprzeciwia się wprowadzeniu dodatkowych zabezpieczeń, administrator danych rezygnuje z zawarcia umowy powierzenia przetwarzania danych z tym podmiotem.
- Przetwarzanie danych osobowych powierzonych przez administratora danych podmiotowi przetwarzającemu odbywa się na podstawie i zgodnie z postanowieniami zawartej między nimi umowy powierzenia przetwarzania danych osobowych.
- REALIZACJA PRAW PODMIOTU DANYCH
- Administrator danych zapewnia realizację następujących praw podmiotu danych: prawa dostępu do treści swoich danych oraz prawa ich sprostowania i usuwania, usunięcia („prawa do bycia zapomnianym”), ograniczenia przetwarzania, prawa do przenoszenia danych, prawa wniesienia sprzeciwu, prawa do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
- Wniosek podmiotu danych w przedmiocie realizacji praw wymienionych w punkcie powyżej, administrator danych niezwłocznie przekazuje wyznaczonej osobie celem realizacji.
- Osoba wyznaczona przez administratora danych realizuje wnioski podmiotów danych w przedmiocie przysługujących im praw w formie pisemnej, w tym w formie wiadomości e-mail. Realizacja wniosku podmiotu danych może odbywać się ustnie, jeżeli osoba której dane dotyczą tego zażąda i jeżeli nie ma wątpliwości co do tożsamości tej osoby.
- Wnioski podmiotów danych podlegają realizacji bez zbędnej zwłoki, w okresie nie dłuższym niż 1 miesiąc od otrzymania żądania podmiotu danych.
- Ze względu na skomplikowany charakter żądania lub liczbę żądań, termin wskazany w zdaniu pierwszym można wydłużyć o kolejne 2 miesiące. O przedłużeniu terminu osoba wyznaczona przez administratora danych informuje podmiot danych podając przyczyny opóźnienia.
- Jeżeli w bazach administratora danych nie jest możliwa identyfikacja podmiotu danych, który wystąpił z żądaniem, wówczas odmawia się podjęcia działań.
- O niepodjęciu działań, a także o przyczynach niepodjęcia działań, osoba wyznaczona przez administratora danych do realizacji wniosku informuje osobę, której dane dotyczą, pouczając ją jednocześnie o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
- Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, odmawia się podjęcia działań albo pobiera rozsądną opłatę za podjęcie działań. W przypadku pobrania opłaty, osoba odpowiedzialna za realizację wniosku wysyła do podmiotu danych, który wystąpił z żądaniem informację wskazującą wysokość opłaty, a ponadto informuje, że niewniesienie przedmiotowej opłaty będzie skutkowało pozostawieniem wniosku bez rozpoznania.
- RETENCJA DANYCH
- Administrator danych w odniesieniu do każdego uporządkowanego zbioru danych, którym administruje, wskazuje okres, przez który będzie uprawniony do przetwarzania danych osobowych w nim zawartych.
- O okresie przetwarzania danych administrator danych informuje podmiot danych w ramach realizacji obowiązku informacyjnego.
- Administrator danych usuwa dane osobowe ze zbioru, jeżeli były one przetwarzane przez okres przewidziany dla danego zbioru.
- Celem prowadzenia prawidłowej polityki retencji danych, administrator danych wprowadza informacje o okresach przez które będą przechowywane dane w poszczególnych zbiorach do rejestru czynności przetwarzania.
- Aktualność okresów przechowywania danych w poszczególnych zbiorach jest na bieżąco monitorowana przez pracownika wyznaczonego przez administratora danych do prowadzenia rejestru czynności przetwarzania, który w razie potrzeby aktualizuje zapisy w prowadzonym rejestrze.
- BEZPIECZEŃSTWO
- Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator danych wdraża odpowiednie środki techniczne i organizacyjne.
- Środki techniczne i organizacyjne dobierane są na podstawie ustaleń poczynionych w ramach oceny skutków przetwarzania danych przeprowadzonej przed utworzeniem każdego nowego zbioru danych osobowych, lub w sytuacji, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
- W celu zminimalizowania prawdopodobieństwa wystąpienia naruszeń w zakresie przetwarzania danych osobowych oraz zapewnienia ciągłości działania poszczególnych systemów, a także adekwatności dobranych środków technicznych i organizacyjnych ochrony danych, cyklicznie przeprowadzana jest analiza ryzyka.
- Administrator danych przeprowadza analizę ryzyka raz w roku, chyba, że zmiana stanu faktycznego jest na tyle szeroka, że wymaga przeprowadzenia doraźnej analizy ryzyka.
- Ponadto, każda osoba upoważniona do przetwarzania danych, na bieżąco monitoruje adekwatność dobranych środków technicznych i organizacyjnych ochrony danych przetwarzanych w zbiorach, do których posiada upoważnienie i informuje administratora danych jeżeli uzna, że konieczna jest aktualizacja lub rozszerzenie stosowanych zabezpieczeń.
- Jeżeli administrator danych na etapie bieżącego nadzoru lub w skutek przeprowadzonej analizy ryzyka uzna, że stosowane dotychczas środki techniczne i organizacyjne ochrony danych są niewystarczające do zapewnienia bezpieczeństwa danych osobowych na właściwym poziomie, sporządza raport zawierający informację dotyczącą poczynionych ustaleń oraz plan działań naprawczych.
- Administrator danych realizuje działania naprawcze sformułowane w ww. planie działań naprawczych.
- Środki techniczne i organizacyjne stosowane do ochrony danych, przyjęte przez administratora danych, zostały wskazane w dokumencie „Środki techniczne i organizacyjne przyjęte w celu zapewnienia bezpieczeństwa danych osobowych, przetwarzanych przez administratora danych” (Załącznik nr 3).
- Administrator danych w celu szczegółowego uregulowania wprowadzonych środków technicznych i organizacyjnych, przyjmuje Księgę procedur, instrukcji i zasad, stanowiącą integralną część niniejszej polityki ochrony danych.
- POSTĘPOWANIE W PRZYPADKU NARUSZEŃ OCHRONY DANYCH OSOBOWYCH
- Osoba, która podejrzewa lub stwierdzi naruszenie zasad ochrony danych osobowych ma obowiązek niezwłocznie powiadomić o tym administratora danych, a jeżeli podejrzewane/stwierdzone naruszenie dotyczy systemu informatycznego – także administratora tego systemu.
- Osoba która powzięła podejrzenie/stwierdziła naruszenie jest obowiązana:
- określić (opisać) symptomy, świadczące o możliwości naruszenia lub naruszeniu zasad ochrony danych,
- określić sytuację i czas, w jakim je zauważono,
- podać wszelkie istotne informacje, mogące pomóc w ustaleniu przyczyny naruszenia zasad ochrony danych osobowych
- W przypadku gdy podejrzewane/stwierdzone naruszenie dotyczy systemu informatycznego, nie można podejmować dalszej pracy w systemie informatycznym bez decyzji administratora systemu.
- Administator danych bez zbędnej zwłoki weryfikuje zgłoszenie (w szczególności: dokonuje rozpoznania zdarzenia, ocenia wagę problemu i lokalizuje źródło problemu). Weryfikacji zgłoszenia administrator danych musi dokonać w czasie nie dłuższym niż 24 godziny od otrzymania zgłoszenia.
- Jeżeli administrator danych uzna, że naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu (Załącznik nr 4).
- Jeżeli administrator danych dokona zgłoszenia naruszenia po upływie wskazanego w powyższym punkcie terminu, na formularzu zgłoszenia zamieszcza uzasadnienie opóźnienia.
- Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (Załącznik nr 5).
- Administrator danych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym także takie, które nie skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych i nie wymagały zgłoszenia do organu nadzorczego lub zawiadomienia podmiotu danych.
- Za prowadzenie rejestru naruszeń (Załącznik nr 6) odpowiada wyznaczony przez administratora danych pracownik.
- WSPÓŁPRACA Z ORGANEM NADZORCZEGO
- Administrator danych przy pomocy podmiotu, któremu powierzono dane na podstawie umowy o powierzeniu przetwarzania danych osobowych współpracuje na żądanie z organem nadzorczym w ramach wykonywania przez niego swoich zadań.
- Administrator danych udostępnia rejestr czynności przetwarzania na żądanie organu nadzorczego.
- Administrator danych jest zobowiązany do konsultacji z organem nadzorczym przed przystąpieniem do operacji przetwarzania danych osobowych, jeżeli ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka.
- Administrator danych zgłasza naruszenie ochrony danych osobowych do organu nadzorczego, jeżeli dane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
- AKTUALIZACJA POLITYKI OCHRONY DANYCH OSOBOWYCH
- Polityka ochrony danych osobowych i związana z nią strategia ochrony będą na bieżąco aktualizowane tak, aby uwzględnić zmiany prawne oraz szybko postępujący rozwój technologii i usług informatycznych.
- Odpowiedzialność za aktualizację treści polityki ochrony danych i realizację jej wymogów spoczywa na administratorze danych osobowych.
Załącznik nr 1 – wzór oceny skutków przetwarzania
………………………., dnia ………………….
Administrator danych:
……………………………………….
……………………………………….
OCENA SKUTKÓW PRZETWARZANIA
- Opis przewidywanego przetwarzania:
……………………………………………………………………………………………………
- Ocena niezbędności i proporcjonalności przetwarzania w stosunku do celów:
……………………………………………………………………………………………………
- Środki przewidziane w celu zapewnienia zgodności przetwarzania z obowiązującymi przepisami prawa:
……………………………………………………………………………………………………
- Ocena ryzyka naruszenia praw i wolności:
……………………………………………………………………………………………………
- Środki przewidziane w celu zaradzenia ryzyku:
……………………………………………………………………………………………………
- Ocena konieczności podjęcia konsultacji z organem nadzorczym:
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
………………………………..
podpis osoby upoważnionej
Załącznik nr 2 – wzór rejestru przetwarzania – dołączono w formie pliku excel
Załącznik nr 3 – Środki techniczne i organizacyjne przyjęte w celu zapewnienia bezpieczeństwa danych osobowych, przetwarzanych przez administratora danych
środki techniczne i organizacyjne przyjęte w celu zapewnienia bezpieczeństwa danych osobowych, przetwarzanych przez administratora danych
Kontrola dostępu
Administrator podjął proporcjonalne do ryzyka środki w celu uniemożliwienia nieautoryzowanego fizycznego dostępu do pomieszczeń i urządzeń, w których przechowywane są Dane osobowe. Środki te obejmują:
- Proceduralne i fizyczne systemy kontroli dostępu
- Instrukcja zarządzania kluczami
- Blokowanie drzwi i inne elektroniczne środki kontroli dostępu
- System alarmowy
- Monitoring wizyjny
- Kontrola osób wchodzących na teren spółki przez pracowników recepcji
Kontrola dostępu do systemów
Administrator podjął odpowiednie środki, aby zapobiec nieuprawnionemu dostępowi do systemów przechowujących Dane osobowe. Środki te obejmują:
- Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazania osoby odpowiedzialnej za te czynności
- Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
- Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników system
- Określenie sposobu, miejsca i czasu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
- Zapewnienie odnotowywania w systemie informatycznym danych dotyczących działań podjętych przez użytkowników w tym systemie
- Brak dostępu do systemów dla użytkowników-gości lub anonimowych kont
- Centralne zarządzanie dostępem do systemu
- Procedury blokowania stacji roboczych w momencie, gdy pozostają one bez nadzoru.
Kontrola dostępu do danych
Administrator podjął proporcjonalne do ryzyka środki, aby uniemożliwić uprawnionym użytkownikom dostęp do danych poza ich uprawnieniami dostępu oraz zapobiec nieuprawnionemu dostępowi do danych, ich usuwaniu, modyfikowaniu lub ujawnianiu. Środki te obejmują:
- Procedurę uzyskiwania upoważnień do przetwarzania danych i rejestrowanie osób, które posiadają takie upoważnienie w przeznaczonym do tego rejestrze
- Zróżnicowane prawa dostępu, zdefiniowane zgodnie z obowiązkami
Kontrola wprowadzania danych
Administrator podjął proporcjonalne do ryzyka środki umożliwiające sprawdzenie i ustalenie, czy i przez kogo Dane osobowe zostały wprowadzone do systemów, zmodyfikowane lub usunięte. Środki te obejmują:
- Zróżnicowane prawa dostępu oparte na zakresie obowiązków
- Zautomatyzowany dziennik dostępu użytkowników
- Zapewnienie, że możliwe jest zweryfikowanie i ustalenie, które dane osobowe zostały wprowadzone do systemów przetwarzania danych, zmienione lub usunięte oraz kiedy i przez kogo dane zostały wprowadzone, zmienione lub usunięte
Kontrola dostępności
Administrator podjął proporcjonalne środki w celu zapewnienia ochrony danych przed przypadkowym zniszczeniem lub utratą. Środki te obejmują:
- Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
- Wykorzystanie ochrony antywirusowej i zapory systemowej w celu zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu
- Zabezpieczenie przed utratą danych spowodowaną awarią zasilania
- Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
Kontrola rozdzielenia danych
Administrator podjął proporcjonalne do ryzyka środki w celu zapewnienia, że dane zbierane do różnych celów są przetwarzane osobno. Środki te obejmują:
- Ograniczenia dostępu do danych przechowywanych w różnych celach w oparciu o obowiązki
Kontrola nad przetwarzaniem powierzonych danych przez procesora
Administrator wdrożył środki w celu zapewnienia, że w przypadku przetwarzania danych osobowych na zlecenie dane są przetwarzane ściśle zgodnie z instrukcjami Administratora. Środki te obejmują:
- Procedurę wyboru podmiotu przetwarzającego
- Uregulowanie zasad współpracy z procesorem umową o powierzeniu przetwarzania danych osobowych
Szkolenie pracowników
Administrator zapewnił, że wszyscy pracownicy zapoznali się z procedurami dotyczące bezpieczeństwa i poufności, w szczególności poprzez:
- Odebranie od pracowników oświadczeń o poufności
- Wewnętrzne procedury i kursy dotyczące wymagań przetwarzania danych osobowych w celu budowania świadomości pracowników w tym zakresie
- Ustalenie zasad pracy z dokumentami i nośnikami zawierającymi dane osobowe oraz procedura ich przechowywania
Załącznik nr 4 – wzór zgłoszenia naruszenia do organu nadzorczego
………………………………. , dnia ………………
Zgłaszający (administrator danych):
…………………………………………….
Organ Nadzorczy:
…………………………………………….
ZGŁOSZENIE NARUSZENIA
Na podstawie art. 33 ust. 1 ogólnego rozporządzenia o ochronie osobowych, niniejszym pismem zgłaszam, iż podczas przetwarzania danych osobowych w TEL-MET Sp. z o.o. doszło do następującego naruszenia:
- Charakter naruszenia ochrony danych osobowych:
…………………………………………………………………………………………………………
- Możliwe konsekwencje naruszenia ochrony danych osobowych:
…………………………………………………………………………………………………………
- Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu (w tym środki mające na celu zminimalizowanie ewentualnych negatywnych skutków naruszenia).
…………………………………………………………………………………………………………
- Uzasadnienie przekroczenia terminu na zgłoszenie (* jeżeli zgłoszenia dokonano po 72 godzinach od stwierdzenia naruszenia):
…………………………………………………………………………………………………………
…………………………….
podpis osoby upoważnionej
Załącznik nr 5 – wzór zawiadomienia podmiotu danych o naruszeniu
………………………………. , dnia ………………
Zgłaszający (administrator danych):
…………………………………………….
Podmiot danych:
…………………………………………….
ZAWIADOMIENIE PODMIOTU DANYCH O NARUSZENIU
Na podstawie art. 34 ust. 1 ogólnego rozporządzenia o ochronie osobowych, niniejszym pismem zawiadamiam, iż podczas przetwarzania Pani/Pana danych osobowych w TEL-MET Sp. z o.o. doszło do naruszenia ochrony danych osobowych polegającego na:
………………………………………………………………………………………………………… (charakter naruszenia ochrony danych osobowych)
Wskazane naruszenie może skutkować …………………………………………………………………………………… ……………………………………………………………………………………………………………………….
W celu niedopuszczenia do powstania wskazanych skutków lub w celu zminimalizowania ewentualnych skutków zastosowano ………………………………………………………………………………………. …………………………………………………………………………………………………………………
(opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środki mające na celu zminimalizowanie ewentualnych negatywnych skutków naruszenia).
W przypadku pytań dotyczących wyżej opisanego naruszenia, może Pan/Pani skontaktować się z administratorem danych:
…………………………………………………………………………………………………………
(dane kontaktowe)
…………………………….
Podpis osoby upoważnionej
Załącznik nr 6 – wzór rejestru naruszeń
REJESTR NARUSZEŃ
Lp. | Opis naruszenia | Data i godz. stwierdzenia | Przewidywane skutki | Podjęte działania zaradcze | Obowiązek zgłoszenia naruszenia do organu nadzorczego (TAK/NIE) | Zgłoszenie naruszenia do organu nadzorczego (data pisma) | Obowiązek poinformowania o naruszeniu podmiotu danych (TAK/NIE) | Poinformowanie podmiotu danych o naruszeniu (data pisma) |
1. | ||||||||
2. | ||||||||
3. |