BEZPIECZEŃSTWA
w zakresie ochrony danych osobowych
OCULAR CANADA 2 SP. Z O.O. Z SIEDZIBĄ W LUBLINIE 20-601 LUBLIN UL. ZANA 19
NIP 7122367490, REGON 430934184, KRS 0000264014
Zatwierdzona i przyjęta w dniu 24 maja 2018r.
Spis treści
-
Podstawowe pojęcia i skróty
-
Wprowadzenie
-
Zadania Administratora Danych Osobowych
-
Zadania Inspektora Ochrony Danych
-
Prawa i obowiązki osób przetwarzających dane osobowe
-
Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe
-
Rejestr czynności przetwarzania
-
Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych.
-
Powierzenie, udostępnienie danych osobowych
-
Opis zdarzeń naruszających ochronę danych osobowych
-
Instrukcja postępowania w przypadku zdarzeń naruszających ochron danych osobowych
-
Postanowienia końcowe
-
Załączniki
-
Podstawowe pojęcia i skróty
Poniższe pojęcia i skróty używane są w Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym i oznaczają:
Adekwatność danych– przetwarzanie danych osobowych w zakresie niezbędnym ze względu na cel zbierania danych
Administrator Danych Osobowych (ADO)- osoba decydująca o celach i środkach przetwarzania danych osobowych.
Anonimizacja danych osobowych– pozbawienie danych osobowych cech pozwalających na identyfikację osób fizycznych, których anonimizowane dane dotyczą.
Bezpieczeństwo informacji– zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych.
Dane osobowe– wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Dostępność– gwarancja dostępu do danych osobowych tylko przez osoby upoważnione.
Hasło dostępu- ciąg znaków, unikalnych dla każdego użytkownika eksploatującego sprzęt komputerowy oraz korzystającego z zasobów informatycznych przetwarzanych i gromadzonych na serwerze lub w programie sieci informatycznej.
Incydent- każde zdarzenie lub seria zdarzeń, nie będące częścią normalnego działania systemu, mogące zakłócić przetwarzanie danych lub grozić bezpieczeństwu przetwarzania danych.
Inspektor Ochrony Danych (IOD)- osoba formalnie powołana przez ADO, nadzorująca przestrzeganie zasad ochrony danych osobowych i odpowiadająca za bezpieczeństwo danych osobowych przetwarzanych m.in. w systemie informatycznym, sprawująca nadzór i koordynująca prace w zakresie eksploatacji, monitorowania i praw dostępu do zasobów informatycznych gromadzonych i przetwarzanych w sieci informatycznej.
Instrukcja Zarządzania- Instrukcja Zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Integralność danych- właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany (przez osoby nieupoważnione).
Login (identyfikator)- ciąg znaków alfanumerycznych, unikalnych dla każdego użytkownika korzystającego z zasobów informatycznych przetwarzanych i gromadzonych na serwerze lub w programie sieci informatycznej.
Organ nadzorczy- Generalny Inspektor Ochrony Danych Osobowych, a po 25 maja 2018r. Prezes Urzędu Ochrony Danych Osobowych.
Osoba upoważniona- osoba posiadająca upoważnienie wydane przez ADO lub osobę przez niego umocowaną i dopuszczona jako Użytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu.
Osoba nieupoważniona- osoba nie posiadająca upoważnienia do przetwarzania danych osobowych nadanego przez Administratora Danych Osobowych.
Poufność- właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym osobom.
Polityka bezpieczeństwa- Polityka bezpieczeństwa danych osobowych obowiązująca u ADO, ustanowiona w niniejszym dokumencie.
Przetwarzanie danych osobowych- jakiekolwiek operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy usuwanie, zwłaszcza te, które wykonuje się w systemach informatycznych.
Rozliczalność- właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu, konkretnemu podmiotowi.
Rozporządzenie o Ochronie Danych Osobowych (RODO)- Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Sieć informatyczna- struktura składająca się z serwerów, stacji roboczych, osprzętu sieciowego, połączonych ze sobą za pomocą mediów transmisji w celu wymiany danych lub współdzielenia różnych zasobów.
Stacja robocza- stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego, umożliwiający Użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie.
System informatyczny- zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
System tradycyjny- zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji, wyposażenia i środków trwałych w celu przetwarzania danych osobowych w formie papierowej.
Ustawa- ustawa o ochronie danych osobowych.
Uwierzytelnianie- działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
Usuwanie danych osobowych- niszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą.
Użytkownik- osoba obsługująca stanowisko komputerowe w zakresie udzielonych uprawnień.
Zabezpieczenie danych w systemie informatycznym- wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mające na celu w szczególności zabezpieczenie danych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Zbiór danych osobowych- posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Zgoda osoby, której dane dotyczą- oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda taka nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Zniszczenie- trwałe, fizyczne uszkodzenie nośników danych w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod.
-
Wprowadzenie
-
Niniejsza Polityka Bezpieczeństwa Danych Osobowych jest zintegrowanym zbiorem ogólnych zasad, procedur, wewnętrznych praw i praktycznych doświadczeń regulujących sposób zarządzania, ochrony, użytkowania i przechowywania danych osobowych gromadzonych przez ADO w postaci elektronicznej oraz w dokumentach w wersji papierowej.
-
Polityka Bezpieczeństwa dotyczy wszystkich osób, które przetwarzają dane osobowe u ADO, tj. pracowników, współpracowników, stażystów, praktykantów i innych osób mających dostęp do danych osobowych.
-
Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przetwarzanych przez ADO na najwyższym poziomie.
-
ADO realizując Politykę Bezpieczeństwa dokłada najwyższej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:
-
przetwarzane zgodnie z prawem;
-
zbierane dla oznaczonych, zgodnych z prawem celów,
-
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
-
przechowywane nie dłużej, niż jest to niezbędne do realizacji celów, dla których zostały zebrane.
-
Zastosowane zabezpieczenia mają służyć osiągnieciu powyższych celów i zapewnić:
-
poufność danych,
-
integralność danych,
-
rozliczalność danych,
-
integralność systemu,
-
dostępność informacji,
-
odpowiednie zarządzanie ryzykiem.
-
Opracowanie polityki bezpieczeństwa wynika z przepisów Ustawy o ochronie danych osobowych oraz Rozporządzenia Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych- RODO).
-
Cele wyznaczone w Polityce bezpieczeństwa realizowane są poprzez:
-
stałe doskonalenie oraz rozwijanie organizacyjnych i technicznych środków ochrony danych osobowych przetwarzanych zarówno w formie tradycyjnej, jak i elektronicznej,
-
podejmowanie wszelkich działań niezbędnych do ochrony praw jednostki związanych z bezpieczeństwem danych osobowych,
-
staranny dobór, ocenę i kwalifikację pracowników, osób współpracujących i dostawców usług,
-
dostosowanie odpowiednich urządzeń i oprogramowania wykorzystywanych do przetwarzania i zabezpieczenia danych osobowych.
-
Polityka bezpieczeństwa opisuje procedury zapewnienia bezpieczeństwa przetwarzanych danych osobowych oraz postępowanie dla zapobiegania skutkom zagrożeń.
-
Opisane w Polityce bezpieczeństwa reguły obowiązują wszystkich pracowników, osoby współpracujące, oraz inne upoważnione osoby mające kontakt z danymi osobowymi objętymi ochroną.
-
Ze względu na zmieniający się charakter zagrożeń, a także pojawianie się nowych, dotąd niespotykanych, zabezpieczenia danych osobowych traktowane są nie jako stan, a ciągły proces, wymagający monitorowania, bieżącego doskonalenia, modyfikowania i dostosowywania rozwiązań technicznych i organizacyjnych do możliwości pojawiania się nowych kategorii niebezpieczeństw i zagrożeń.
-
Zadania Administratora Danych Osobowych (ADO)
-
Administrator Danych Osobowych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, jak również zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem odbywającym się z naruszeniem przepisów prawa, nieuprawnioną zmianą, utratą lub uszkodzeniem danych.
-
W zakresie realizowanych zadań Administrator Danych Osobowych:
-
prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki organizacyjne i techniczne zabezpieczające dane osobowe,
-
nadaje upoważnienia do przetwarzania danych i dopuszcza do pracy wyłącznie osoby posiadające takie upoważnienie,
-
zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane,
-
prowadzi ewidencję osób upoważnionych do ich przetwarzania,
-
nadaje i odwołuje upoważnienia do przetwarzania danych osobowych oraz prowadzi ewidencję osób uprawnionych do przetwarzania danych osobowych,
-
wyznacza Inspektora Ochrony Danych, o ile uzna to za konieczne lub celowe; w przypadku nie wyznaczenia takiego podmiotu, Administrator Danych Osobowych pełni zarazem obowiązki Inspektora Ochrony Danych.
-
Zadania Inspektora Ochrony Danych
1. Do zadań Inspektora Ochrony Danych, o ile został powołany prze ADO, należy:
a) |
informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie; |
b) |
monitorowanie przestrzegania przepisów o ochronie danych oraz Polityki Bezpieczeństwa, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; |
c) |
udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania; |
d) |
współpraca z organem nadzorczym; |
e) |
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
|
2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
-
Prawa i obowiązki oraz odpowiedzialność osób przetwarzających dane osobowe
-
Każdy użytkownik zobowiązany jest do utrzymania właściwego poziomu bezpieczeństwa w zakresie swoich obowiązków i uprawnień.
-
Każdy użytkownik zobowiązany jest do przestrzegania polityki „czystego biurka”, co oznacza, że:
– po zakończonej pracy wszystkie nośniki danych zawierające dane osobowe oraz dokumenty w formie tradycyjnej muszą być schowane do zamykanej szafy,
– w trakcie pracy, w razie wejścia osoby nieupoważnionej do pomieszczenia, w którym przetwarzane są dane osobowe, dokumenty muszą być ułożone w sposób uniemożliwiający ujawnienie danych osobowych.
-
Każdy użytkownik zobowiązany jest do przestrzegania polityki „czystego ekranu”, co oznacza, że w przypadku przebywania osoby nieupoważnionej w pomieszczeniu, w którym przetwarzane są dane osobowe, monitor musi być odwrócony w sposób uniemożliwiający odczytanie danych lub zabezpieczony wygaszaczem ekranu.
-
Każdy użytkownik zobowiązany jest do prowadzenia rozmów telefonicznych oraz rozmów z Pacjentami lub innymi współpracownikami w taki sposób, aby informacje dotyczące danych osobowych nie zostały przekazane osobom nieupoważnionym.
-
Każdy użytkownik składa oświadczenie zgodnie ze wzorem określonym w załączniku nr 4 do niniejszej Polityki Bezpieczeństwa, w którym:
– potwierdza zapoznanie się z Ustawą, Rozporządzeniem, Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym,
– zobowiązuje się do zapewnienia ochrony przetwarzanych przez niego danych osobowych.
-
Osoby przetwarzające dane osobowe przy użyciu komputerów przenośnych zobowiązane są do przestrzegania dodatkowo następujących zasad:
-
Podczas transportu, przechowywania i użytkowania komputera przenośnego konieczne jest zachowanie szczególnej ostrożności.
-
Pozostawienie komputera przenośnego bez nadzoru w samochodzie, przechowalni bagażu itp. jest niedozwolone.
-
Korzystający z komputera przenośnego zobowiązany jest do takiego użytkowania, aby uniemożliwić wgląd w wyświetlane na monitorze dane przez osoby nieupoważnione.
-
Udostępnianie komputera przenośnego osobom nieupoważnionym jest zabronione.
-
Każdy użytkownik, również po zakończeniu współpracy z ADO, zobowiązany jest do ochrony wszelkich informacji dotyczących przetwarzanych danych osobowych, funkcjonowania systemów czy urządzeń służących do przetwarzania danych osobowych i sposobów zabezpieczania danych.
-
Przetwarzanie danych osobowych w sposób sprzeczny z Polityką Bezpieczeństwa jest niedozwolone.
-
Użytkownicy, którzy nie zastosują się do zasad wynikających z Polityki Bezpieczeństwa, Instrukcji Zarządzania, Ustawy i Rozporządzenia, mogą ponosić w uzasadnionych przypadkach odpowiedzialność wynikającą z przepisów prawa.
-
Przypadki nieuzasadnionego niezastosowania się przez pracownika do wskazanych w punkcie 9 aktów potraktowane mogą zostać jako ciężkie naruszenie podstawowych obowiązków pracowniczych.
-
Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe
-
Obszar przetwarzania danych osobowych określony jest w Wykazie pomieszczeń, w których przetwarzane są dane osobowe i ich zabezpieczenie, stanowiącym załącznik nr 1 do Polityki Bezpieczeństwa. Wykaz zawiera następujące informacje:
a) lokalizację budynku,
b) numer pomieszczenia i jego przeznaczenie,
c) wskazanie piętra budynku,
d) wskazanie liczby osób pracujących w pomieszczeniu,
e) określenie zabezpieczenia pomieszczenia
-
W szczególnych przypadkach możliwe jest przetwarzanie danych osobowych poza wyznaczonym obszarem.
-
Rejestr czynności przetwarzania
-
Administrator Danych Osobowych prowadzi Rejestr Czynności Przetwarzania.
-
W Rejestrze zamieszcza się następujące informacje:
a) |
imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; b) cele przetwarzania; |
c) |
opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; |
d) |
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione; |
e) |
planowane terminy usunięcia poszczególnych kategorii danych; |
f) |
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
|
-
Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych.
1.Administrator Danych Osobowych stosuje odpowiednie środki informatyczne, techniczne, zapewniające ochronę przetwarzanych danych osobowych, które są odpowiednie do stopnia zagrożeń oraz kategorii danych objętych ochroną.
2. Administrator Danych Osobowych stosuje następujące środki techniczne:
a) Przetwarzanie danych osobowych następuje w pomieszczeniach odpowiednio zabezpieczonych i przystosowanych do przetwarzania.
b) Wejście do pomieszczeń, gdzie przetwarzane są dane osobowe, zabezpieczone jest drzwiami wewnętrznymi zamykanymi na klucz oraz drzwiami do salonu optycznego z zamkami patentowymi.
c) Budynek – centrum handlowe (Lublin, Rzeszów, Gdańsk) – objęte jest całodobowym dozorem.
d) Pomieszczenia biurowe wyposażone są w szafki, dające możliwość schowania dokumentacji i nośników danych
e) Dokumentacja bieżąca i archiwalna przechowywana jest w obszarach przetwarzania danych osobowych w szafach lub pomieszczeniach zamykanych na zamki.
3.Administrator Danych Osobowych stosuje następujące środki organizacyjne:
-
Opracowuje i wdraża Politykę Bezpieczeństwa.
-
Opracowuje i wdraża Instrukcję Zarządzania Systemem Informatycznym.
-
Zapoznaje każdą osobę, przed przystąpieniem do pracy przy przetwarzaniu danych osobowych, z przepisami dotyczącymi ochrony danych osobowych.
-
Regularnie szkoli osoby przetwarzające dane osobowe w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochroną danych osobowych.
-
Zobowiązuje osoby przetwarzające dane osobowe do przestrzegania zasad ochrony danych osobowych.
-
Kontroluje, aby w czasie pracy pomieszczenia nie pozostawały bez nadzoru, a w szczególności aby w miejscu przetwarzania danych osobowych nie przebywały osoby nieupoważnione.
-
Przyjmuje pisemne oświadczenie osoby upoważnionej do przetwarzania danych osobowych, że została zapoznana z przepisami dotyczącymi ochrony danych osobowych, Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym oraz że zobowiązuje się do ich przestrzegania.
-
Nadzoruje przestrzeganie wszelkich wewnętrznych regulaminów i instrukcji dotyczących bezpieczeństwa ludzi i zasobów informacyjnych oraz indywidualnych zakresów zadań osób zatrudnionych przy przetwarzaniu danych osobowych, w tym dokumentów zawartych w Polityce Bezpieczeństwa.
-
Powierzenie, udostępnienie przetwarzania danych osobowych
1.Administrator Danych Osobowych na podstawie umowy zawartej w formie pisemnej powierza podmiotom zewnętrznym przetwarzanie danych osobowych w zakresie objętym umową.
2. Umowy o powierzenie przetwarzania danych osobowych zgodne są z wymogami RODO.
3. Wykaz podmiotów przetwarzających dane osobowe znajduje się w załączniku nr 5 Polityki Bezpieczeństwa.
4. Dane osobowe przetwarzane przez ADO mogą być udostępnione podmiotowi, którego dane dotyczą, lub innym podmiotom przez niego upoważnionym.
5. Ponadto dane osobowe mogą być udostępnione innym podmiotom jedynie w celu realizacji umowy zawartej pomiędzy ADO a osobą, której dane dotyczą lub podmiotom upoważnionym ustawowo.
-
Opis zdarzeń naruszających ochronę danych osobowych
Potencjalne, najbardziej prawdopodobne zagrożenie dla bezpieczeństwa przetwarzanych danych osobowych mogące wystąpić u Administratora Danych Osobowych:
-
Zagrożenia losowe zewnętrzne:
– pożar,
– włamanie,
– zalanie,
– powódź,
– katastrofa budowlana.
-
Zagrożenia losowe wewnętrzne:
– awarie sprzętowe,
– błędy oprogramowania.
-
zagrożenia zamierzone, mające na celu nieautoryzowane przetwarzanie danych osobowych, takie jak:
– atak hakerski,
– ujawnienie hasła i loginu,
– podszycie się pod użytkownika,
– użycie złośliwego oprogramowania,
– włamania do systemu,
– kradzież danych,
– uszkodzenie zabezpieczeń fizycznych, np. włamanie.
-
Zagrożenia związane z działaniami użytkownika, które w sposób przypadkowy lub umyślny mogą doprowadzić do nieautoryzowanego przetwarzania danych osobowych, m. in.:
– udostępnianie stanowisk pracy osobom nieupoważnionym,
– niewłaściwa konstrukcja haseł,
– nieautoryzowane kopiowanie danych osobowych,
– utrata nośnika zawierającego dane osobowe,
– nieodpowiednie niszczenie nośników danych (kartka papieru, dysk),
– pozostawienie nośników zewnętrznych w komputerze (np. pendrive),
– używanie nośników danych udostępnionych przez osoby postronne,
– samowolne instalowanie przez użytkowników oprogramowania nieznanego pochodzenia,
– niewłaściwe ustawienie monitora komputerowego, umożliwiające osobom nieupoważnionym wgląd w przetwarzane dane osobowe,
– pozostawienie dokumentów w ogólnodostępnych miejscach (np. w drukarce, kserokopiarce).
– pozostawienie kluczy w drzwiach do pomieszczeń, stanowiących obszar przetwarzania danych osobowych lub w szafkach, gdzie znajdują się dane osobowe,
– naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowanie się z systemu, pozostawienie dokumentów na biurku),
– nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych.
-
Instrukcja postępowania w przypadku zdarzeń naruszających ochronę danych osobowych
-
Każda osoba przetwarzająca dane osobowe, w przypadku podejrzenia naruszenia zabezpieczenia danych osobowych, powinna niezwłocznie powiadomić o tym ADO.
-
ADO po otrzymaniu powiadomienia:
– sprawdza stan urządzeń wykorzystywanych do przetwarzania danych osobowych,
– sprawdza sposób działania programów, w tym obecność wirusów komputerowych,
– sprawdza jakość komunikacji w sieci telekomunikacyjnej,
– sprawdza zawartość zbioru danych osobowych,
– analizuje metody pracy osób upoważnionych do przetwarzania danych osobowych.
-
W przypadku stwierdzenia naruszenia zabezpieczenia danych ADO:
– podejmuje niezbędne działania mające na celu uniemożliwienie dalszego ich naruszenia (odłączenie wadliwych urządzeń, zablokowanie dostępu do sieci telekomunikacyjnej, programów oraz zbiorów danych)
– powstrzymuje lub ogranicza dostęp osoby nieupoważnionej do danych osobowych poprzez fizyczne odłączenie urządzeń i segmentów sieci, które mogłyby umożliwić dostęp do bazy danych osoby nieupoważnionej, wylogowanie użytkownika podejrzewanego o naruszenie zabezpieczenia ochrony danych, zmianę hasła itp. ,
– zabezpiecza i utrwala informacje, które mogą stanowić pomoc przy ustaleniu przyczyn naruszenia,
– bez zbędnej zwłoki przywraca prawidłowy stan działania systemu,
– dokonuje analizy zabezpieczeń wraz z oszacowaniem rozmiaru szkód powstałych na skutek naruszenia,
– dokonuje szczegółowej analizy i podejmuje niezbędne działania w celu wyeliminowania naruszeń zabezpieczeń danych w przyszłości.
-
W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki, w miarę możliwości nie później jednak niż w terminie 72 godzin po stwierdzeniu naruszenia- zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
-
ADO prowadzi rejestr zgłoszeń naruszeń .
-
Zgłoszenie naruszenia zawiera następujące informacje:
a) charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) możliwe konsekwencje naruszenia ochrony danych osobowych;
d) środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
7. ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
-
Postanowienia końcowe
-
Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych, w szczególności przez osobę, która po stwierdzeniu naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie poinformowała o tym fakcie ADO.
-
Wdrożenie Polityki Bezpieczeństwa odbywa się poprzez:
– zapoznanie pracowników i współpracowników oraz inne osoby upoważnione do przetwarzania danych osobowych z treścią Polityki Bezpieczeństwa,
– okresowe szkolenia z zakresu ochrony danych osobowych.
-
Wykaz załączników
Załącznik nr 1- Wykaz pomieszczeń, w których przetwarzane są dane osobowe i ich zabezpieczenie,
Załącznik nr 2- Rejestr czynności przetwarzania
Załącznik nr 3- Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych
Załącznik nr 4- oświadczenie pracownika (pkt 5 Polityki Bezpieczeństwa)
Załącznik nr 5- wykaz podmiotów, którym powierzono przetwarzanie danych osobowych
Załącznik nr 6 – upoważnienie do przetwarzania danych osobowych
Załącznik nr 7- ewidencja osób upoważnionych do przetwarzania danych osobowych
Załącznik nr 8- rejestr zgłoszeń naruszeń ochrony danych osobowych