POLITYKA BEZPIECZEŃSTWA
ABM POŚREDNICTWO UBEZPIECZENIOWE
Bogusław Włodarczyk
Data i miejsce sporządzenia dokumentu: | Kraków 28/05/2018 |
Spis treści
2.2. OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH. 3.
- Upoważnienie do przetwarzania danych osobowych. 4.
- UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. 5.
- Ogólne zasady obowiązujące przy przetwarzaniu danych osobowych. 5.
- ZASADY postępownia w sytuacji naruszenia ochrony danych osobowych. 8.
- Kontrola przetwarzania i stanu zabezpieczenia danych osobowych. 9.
- REJESTRY DOTYCZĄCE PRZETWARZANYCH DANYCH OSOBOWYCH. 10.
8.1 REJESTR CZYNNOŚCI PRZETWARZANIA. 10.
8.2 REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA. 10.
- ZASADY POSTĘPOWANIA PRZY REALIZACJI ŻĄDAŃ PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ. 11.
- ZASADY DOTYCZĄCE PRZECHOWYWANIA, MONITOROWANIA I PRZESTRZEGANIA OKRESÓW RETENCJI DANYCH. 14.
- ZASADY DOKONYWANIA OCENY SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH. 15.
- Środki BEZPIECZEŃSTWA (ROZWIĄZANIA ORGANIZACYJNE I techniczne) niezbędne dla zapewnienia poufności I integralności przetwarzanych danych osobowych. 15.
- Załączniki 18.
- INFORMACJE OGÓLNE.
- Pojęciom stosowanym na potrzeby niniejszej Polityki Bezpieczeństwa nadaje się następujące znaczenie:
- Administrator Danych Osobowych (ADO) – osoba fizyczna prowadząca jednoosobową działalność gospodarczą , która samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych, którym jest
ABM Pośrednictwo Ubezpieczeniowe Bogusław Włodarczyk – zwanym dalej ABM. - IODO – Inspektor Ochrony Danych Osobowych – oznacza Inspektora ochrony danych, o którym mowa
w Sekcji 4, art. 37-39 RODO. - Procesor – osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora;
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). - Właściciel – Bogusław Włodarczyk, właściciel ABM Pośrednictwo Ubezpieczeniowe Bogusław Włodarczyk W pozostałym zakresie pojęcia, terminy i zwroty mają znaczenie nadane im w przepisach powszechnie obowiązującego prawa, w szczególności w RODO.
- Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania ADO z RODO oraz powszechnie obowiązującymi przepisami prawa polskiego w zakresie ochrony danych osobowych.
- Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.
Za przetwarzanie danych osobowych, zapewnienie im stopnia bezpieczeństwa zgodnie z RODO oraz za stosowanie niniejszej Polityki Bezpieczeństwa odpowiada ADO, który jest odpowiedzialny za organizację i nadzór nad procesami, w których ma miejsce przetwarzanie danych osobowych oraz osoby upoważnione w formie pisemnej przez ADO do przetwarzania danych osobowych.
- INSPEKTOR OCHRONY DANYCH OSOBOWYCH ( IODO)
W związku z brakiem przesłanek zobowiązujących ADO do powołania IODO , a w szczególności
– wykonywania operacji przetwarzania danych osobowych na stosunkowo małą skalę
– dokonywania przetwarzania danych przez małą liczbę kilku osób w jednej lokalizacji
– praktycznie braku przetwarzania danych osobowych szczególnych kategorii
ADO podjął decyzję o nie powoływaniu IODO.
Osobą wyznaczoną do nadzoru nad procesami przetwarzania danych zgodnie z RODO oraz przepisami prawa polskiego jest Właściciel, którego zadaniem będzie również organizacja szkoleń informacyjnych dla osób przetwarzających dane, oraz współpraca z partnerami ubezpieczeniowymi z którymi ABM jest związany umowami powierzenia przetwarzania danych osobowych jako procesor.
W przypadku zagrożeń związanych z bezpieczeństwem danych osobowych będzie niezwłocznie informował swoich partnerów ubezpieczeniowych kub bezpośrednio instytucje nadzorujące powołane na podstawie przepisów RODO.
- Każda osoba, która uzyskała pisemne upoważnienie do przetwarzania danych osobowych zobowiązana jest do ich ochrony w sposób zgodny z przepisami RODO, przepisów prawa polskiego dot. ochrony danych osobowych, Polityki Bezpieczeństwa.
- Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia lub rozwiązaniu umowy cywilnoprawnej.
3. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
- Upoważnienia do przetwarzania danych osobowych nadawane są przez Właściciela.
- Do nadania upoważnienia niezbędne jest uzyskanie pozytywnej opinii Właściciela, na wniosek przekazywany w formie elektronicznej przez osobę mającą uzyskać upoważnienie.
- Upoważnienie do przetwarzania danych osobowych wymaga zachowania formy pisemnej.
- Przed uzyskaniem upoważnienia osoba mająca je uzyskać musi zostać przeszkolona przez Właściciela z przepisów prawa dotyczących ochrony danych osobowych oraz z regulacji wewnętrznych, stosowanych u ADO w zakresie ochrony danych osobowych (w szczególności z niniejszej Polityki Bezpieczeństwa).
- Właściciel jest zobowiązany do prowadzenia w formie elektronicznej Rejestru osób upoważnionych do przetwarzania danych osobowych u ADO.
- Wzory upoważnienia do przetwarzania danych osobowych oraz Rejestru osób upoważnionych do przetwarzania danych osobowych stanowią odpowiednio Załącznik nr 1 oraz Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa.
4. UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH.
- Umowa powierzenia przetwarzania danych osobowych powinna zostać przygotowana w oparciu o oficjalny wzór umowy powierzenia, stosowany przez ADO.
- Umowa powierzenia musi zawierać wszystkie elementy określone w RODO, w szczególności w art. 28.
- Umowa powierzenia przetwarzania danych osobowych może być przez ADO zawarta wyłącznie z takim podmiotem przetwarzającym, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, powszechnie obowiązujących przepisów prawa polskiego, w szczególności dotyczących ochrony danych osobowych, i zapewniało stopień bezpieczeństwa danych osobowych, odpowiedni do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
- Informacja o zawarciu takiej umowy z innym podmiotem niż partner lub osoba fizyczna wykonująca czynności agencyjne, w ramach wykonywania umów agencyjnych z zakładami ubezpieczeń, musi zostać przekazana niezwłocznie do Właściciela.
- Rejestr umów powierzenia, o których mowa w pkt 4 ust. 5, jest prowadzony przez Właściciela.
- Umowa powierzenia jest zawierana przez Właściciela
5. OGÓLNE ZASADY OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH.
- Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi każdy pracownik oraz współpracownik ADO, mający dostęp do danych osobowych.
- Pracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.
- Każdy pracownik oraz współpracownik ADO jest zobowiązany do przestrzegania podstawowych zasad dotyczących przetwarzania danych osobowych, zgodnie z którymi dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej wszyscy pracownicy i współpracownicy ADO zobowiązani są do stosowania polityki „czystego biurka”, zgodnie z którą:
- Na biurku należy przechowywać tylko te dokumenty, które są niezbędne w danym momencie pracy do wykonania bieżących zadań;
- Po zakończonej pracy pracownik zobowiązany jest odłożyć wszystkie dokumenty do:
- w przypadku pomieszczeń, do których szeroki dostęp mają osoby trzecie – zamykanej na klucz wzmocnionej szafy lub dedykowanego pomieszczenia-archiwum,
- w przypadku pomieszczeń, do których dostęp osób trzecich jest kontrolowany (np. zamknięte drzwi lub wejście dla osób posiadających kartę dostępu – do zamykanej szafy lub szafki przy biurku.
- Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek lub po archiwizacji przez wyspecjalizowaną firmę na podstawie odpowiedniej umowy.
- Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia oraz jej bezpośredni przełożony.
- Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych i pod jej bezpośrednim nadzorem, chyba że dane te są w odpowiedni sposób zabezpieczone, w szczególności fizycznie, przed dostępem osób nieuprawnionych (np. wzmocniona szafa zamknięta na klucz).
- Pracownicy zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem.
- Komputery i urządzenia mobilne, wykorzystywane do przetwarzania danych osobowych, muszą być zabezpieczone przed dostępem osób nieuprawnionych do przetwarzania przynajmniej hasłem do indywidualnego konta użytkownika, posiadającego uprawnienia do przetwarzania danych osobowych. Wymogi dotyczące formy hasła oraz cykliczności jego aktualizowania, uzależnione od rodzaju urządzenia i wykorzystywanego oprogramowania, określa polityka haseł, zawarta w Instrukcji bezpieczeństwa systemu informatycznego.
- Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, ADO zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO, przepisów prawa polskiego dotyczących ochrony danych osobowych oraz zapewnić odpowiedni stopień bezpieczeństwa danych osobowych.
- ADO wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
6. ZASADY POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH
- Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić do Właściciela.
- Do czasu przybycia otrzymania dalszych instrukcji od Właściciela, osoba powiadamiająca powinna:
- niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
- zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę,
- udokumentować wstępnie zaistniałe naruszenie,
- nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia (o ile zdarzenia nie dotyczy systemu informatycznego bez żadnych widocznych oznak naruszenia w miejscu przetwarzania danych).
- Po przybyciu na miejsce naruszenia ochrony danych osobowych, Właściciel:
- zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metod dalszego postępowania;
- wysłuchuje relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem.
- Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, Właściciel wdraża adekwatne działania naprawcze i mitygujące ryzyko wystąpienia naruszenia w przyszłości (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych.
- Właściciel dokumentuje zaistniały przypadek naruszenia oraz sporządza raport, w którym zawiera co najmniej:
- Opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- Imię i nazwisko oraz dane kontaktowe Właściciela lub oznaczenie innego punktu kontaktowego, od którego można uzyskać informacje w sprawie zdarzenia;
- Opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- Opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
7. KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH
- Weryfikacja bieżąca i kontrola funkcjonalna w zakresie przetwarzania i stanu zabezpieczenia danych osobowych jest prowadzona przez osoby, którym ADO, powierzył przetwarzanie danych osobowych.
- W zakresie przetwarzania danych osobowych w systemach informatycznych, weryfikacja bieżąca i kontrola funkcjonalna w zakresie przetwarzania i stanu zabezpieczenia danych osobowych jest niezależnie od obowiązków wskazanych w pkt 7 ust. 2 prowadzona przez Administratora Systemu Informatycznego (w przypadku jego powołania) albo bezpośrednio przez Właściciela.
- Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych u ADO sprawuje Właściciel.
- Właściciel prowadzi kontrolę przy pomocy następujących mechanizmów kontroli ryzyka naruszenia przepisów dotyczących ochrony danych osobowych:
- analiza nowych produktów i usług wprowadzanych do oferty ADO, analiza modyfikacji tych produktów i usług oraz analiza procesów przetwarzania danych osobowych w ramach procesów dotyczących tych produktów i usług, pod kątem zgodności z przepisami prawa dotyczącymi ochrony danych osobowych;
- wydawanie szczegółowych wytycznych dotyczących określonego postępowania lub przetwarzania danych osobowych;
- uczestnictwo w kluczowych projektach wdrożeniowych, w kontekście zapewniania zgodności z przepisami prawa dotyczącymi ochrony danych osobowych;
- przeprowadzanie lub zlecanie przeprowadzenia szkoleń we wskazywanym zakresie;
- monitorowanie rodzaju i ilości naruszeń ochrony danych osobowych;
- kontroli doraźnych – w przypadku powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia, niezwłocznie po powzięciu takich informacji.
- Właściciel ma prawo do kontroli podmiotów, którym powierzono przetwarzanie danych osobowych w trybie określonym w Polityce Bezpieczeństwa
8. REJESTRY DOTYCZĄCE PRZETWARZANYCH DANYCH OSOBOWYCH.
8.1 REJESTR CZYNNOŚCI PRZETWARZANIA.
ADO prowadzi w formie elektronicznej rejestr czynności przetwarzania danych osobowych, który obejmuje w szczególności następujące informacje:
- nazwę oraz dane kontaktowe administratorów danych osobowych,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych,
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.
8.2 REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA.
ADO prowadzi w formie elektronicznej rejestr kategorii czynności przetwarzania, który obejmuje w szczególności następujące informacje:
- nazwę oraz dane kontaktowe podmiotów przetwarzających,
- nazwę oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych,
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
9. ZASADY POSTĘPOWANIA PRZY REALIZACJI ŻĄDAŃ PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ.
- Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, ADO zapewnia ochronę praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), ADO może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
- Nieprzetwarzanie. ADO informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
- Odmowa. ADO informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
- Dostęp do danych. Na żądanie osoby dotyczące dostępu do jej danych, ADO informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych ADO nie uzna za pierwszą nieodpłatną kopię danych na potrzeby opłat za kolejne kopie danych.
- Kopie danych. Na żądanie ADO wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Za kolejne kopie danych ADO może pobrać opłatę, skalkulowaną w oparciu o oszacowany jednostkowy koszt obsługi żądania wydania kopii danych.
- Sprostowanie danych. ADO dokonuje sprostowania nieprawidłowych danych na żądanie osoby. ADO ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.
- Uzupełnienie danych. ADO uzupełnia i aktualizuje dane na żądanie osoby. ADO ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. ADO może polegać na udokumentowanym oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle RODO, powszechnie obowiązujących przepisów prawa polskiego lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
- Usunięcie danych. Na żądanie osoby, ADO usuwa dane, gdy:
- Dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach;
- Zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania;
- Osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;
- Dane były przetwarzane niezgodnie z prawem;
- Konieczność usunięcia wynika z obowiązku prawnego;
- Żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).
ADO obsługuje prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
Jeżeli dane podlegające usunięciu zostały upublicznione przez ADO, to ADO podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
W przypadku usunięcia danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.
- Ograniczenie przetwarzania. ADO dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
- Osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość;
- Przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
- ADO nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- Osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie ADO zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania ADO przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
ADO informuje osobę przed uchyleniem ograniczenia przetwarzania.
W przypadku ograniczenia przetwarzania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.
- Przenoszenie danych. Na żądanie osoby ADO wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona ADO, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych ADO.
- Sprzeciw w szczególnej sytuacji. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez ADO w oparciu o uzasadniony interes ADO lub o powierzone ADO zadanie w interesie publicznym, ADO uwzględni sprzeciw, o ile nie zachodzą po stronie ADO ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
- Sprzeciw przy badaniach naukowych, historycznych lub celach statystycznych. W zakresie prowadzonego przez ADO przetwarzania danych w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. ADO uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
- Sprzeciw względem marketingu bezpośredniego. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez ADO na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), ADO uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
- Prawo do ludzkiej interwencji przy automatycznym przetwarzaniu. Jeżeli ADO przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, ADO zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie ADO, chyba że taka automatyczna decyzja:
1) jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a ADO;
2) jest wprost dozwolona przepisami prawa;
3) opiera się o wyraźną zgodę odwołującej osoby.
- Wszystkie żądania realizacji praw osób, których dane dotyczą, powinny być przekazane niezwłocznie do Departamentu Prawnego i Compliance albo do Inspektora Ochrony Danych Osobowych (jeżeli zostanie powołany).
10. ZASADY DOTYCZĄCE PRZECHOWYWANIA, MONITOROWANIA I PRZESTRZEGANIA OKRESÓW RETENCJI DANYCH.
- Dane osobowe mogą być przetwarzane i przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których dane te zostały pozyskane.
- Po realizacji ostatniego z celów, dla którego dane osobowe zostały pozyskane, dane osobowe powinny zostać niezwłocznie usunięte lub zanonimizowane (tj. zmodyfikowane w sposób uniemożliwiający identyfikację osoby, której dane dotyczą).
- Za weryfikację bieżącą i kontrolę funkcjonalną danych przetwarzanych w postaci papierowej odpowiada osoba upoważniona przez zarząd podmiotu wchodzącego w skład ADO do zarządzania procesem, w którym odbywa się przetwarzanie danych osobowych.
- Za weryfikację bieżącą i kontrolę funkcjonalną danych przetwarzanych odpowiada Właściciel.
- Za określenie okresów retencji dla poszczególnych celów i podstaw do przetwarzania danych osobowych odpowiada Właściciel.
- ZASADY DOKONYWANIA OCENY SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH.
- Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, osoba wyznaczona do prowadzenia projektu lub wprowadzenia czynności związanych z tym rodzajem przetwarzania u ADO, przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz dokumentuje jej wynik. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
- Wynik oceny wraz z rozwiązaniem biznesowym uwzględniającym problematyczny rodzaj przetwarzania musi zostać zatwierdzony przez ADO.
- Ocena musi zawierać w szczególności:
- opis planowanych operacji przetwarzania i celów przetwarzania, w tym prawnie uzasadnionych interesów realizowanych przez administratora;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy
12. ŚRODKI BEZPIECZEŃSTWA (ROZWIĄZANIA ORGANIZACYJNE I TECHNICZNE) NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI I INTERGRALNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH.
Wykaz środków bezpieczeństwa (rozwiązań organizacyjnych i technicznych) niezbędnych dla zapewnienia poufności i integralności przetwarzanych danych osobowych.
Część I – rozwiązania organizacyjne. |
1. Do przetwarzania danych osobowych dopuszczano są wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania danych osobowych (zgodne ze wzorem stosowanym przez ADO). |
2. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych (odrębna dla każdego procesu przetwarzania). |
3. Wdrożono Politykę Bezpieczeństwa dot. ochrony danych osobowych. |
4. Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych (obowiązek udokumentowania). |
5. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy (obowiązek udokumentowania). |
6. Wprowadzono politykę haseł (konieczność cyklicznej aktualizacji, wymogi dot. formatu i złożoności hasła). |
7. Wprowadzono politykę tzw. „czystego biurka” (zakaz przechowywania dokumentów zawierających dane osobowe w miejscach powszechnie dostępnych, w szczególności na meblach takich jak biurka, czy szafki). |
8. Wprowadzono obowiązek dokonywania i dokumentowania regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. |
Część II – Rozwiązania techniczne. |
1. Monitory komputerów, na których przetwarzane są dane osobowe w pomieszczeniach, do których mają dostęp osoby trzecie, ustawione są w sposób uniemożliwiający wgląd osobom postronnym. Obowiązek blokowania klawiatury przy odejściu od komputera. Zakaz korzystania z niezabezpieczonych sieci publicznych (w szczególności wi-fi). |
2. Dane osobowe zapisywane na dyskach fizycznych (komputery stacjonarne, przenośne, serwery) są szyfrowane. |
3. Przy połączeniach do aplikacji webowych stosowany jest protokół HTTP OVER SSL (HTTPS). |
4. Szyfrowanie wiadomości mail zawierających dane osobowe (zarówno wewnętrznych i zewnętrznych). |
5. Zabezpieczenie urządzeń mobilnych (telefony, tablety), na których są incydentalnie przetwarzane dane osobowe – przynajmniej hasłem. |
6. Zabezpieczenie urządzeń mobilnych, na których są przetwarzane dane osobowe w szerokim zakresie (np. odbieranie mail) co najmniej dodatkowym hasłem do aplikacji (w której dane są przetwarzane). W przypadku przetwarzania danych osobowych w urządzeniu mobilnym na szeroką skalę, gdzie dane zapisywane są na tym urządzeniu, należy urządzenie szyfrować. |
7. Wprowadzono obowiązek usuwania danych osobowych na urządzeniach, na których nie można wprowadzić zabezpieczeń przed dostępem przez osoby nieupoważnione (np. aparat fotograficzny). |
8. Ograniczono uprawnienia do instalacji oprogramowania na komputerach służbowych dla użytkowników nieposiadających uprawnień administratora.
|
9. Zapewniono możliwość ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów służących do przetwarzania danych osobowych oraz usług przetwarzania, w szczególności poprzez brak przechowywania danych w sposób niezabezpieczony; wyłączenie możliwości dostępu do zbiorów danych przez osoby nieupoważnione – zarówno poprzez zabezpieczenia fizyczne – drzwi antywłamaniowe, odpowiednie zamki, zamykane szafy, wyodrębnione pomieszczenia archiwum dla większych zbiorów danych; jak i informatyczne – konta użytkowników zabezpieczone hasłem; program internet security (antywirus+firewall); odpowiednie zabezpieczenie serwerów i dysków, na których przechowywane są dane. Wprowadzono procedury regularnego aktualizowania oprogramowania serwerowego pod kątem poprawek dot. Bezpieczeństwa. |
10.Wprowadzono okresy retencji i usuwania danych, wynikające z realizacji celu przetwarzania, okresu przedawnienia roszczeń lub ze szczególnych przepisów prawa oraz zapewniono monitorowania tych okresów. Dane osobowe w formie papierowej są systematycznie weryfikowane pod kątem niezbędności ich przechowywania do realizacji celów dla których zostały pozyskane i po realizacji celów usuwane, poprzez zniszczenie przez koncesjonowaną firmę, działającą w oparciu o przepisy RODO. |
13. Załączniki
Załącznik nr 1 – Wzór upoważnienia do przetwarzania danych osobowych wraz ze zobowiązaniem do zachowania poufności.
Załącznik nr 2 – Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych.
Załącznik nr 2 – Wzór rejestru osób upoważnionych do przetwarzania danych osobowych.
Nr | Imię i nazwisko osoby upoważnionej | Data nadania upoważnienia | Data ustania upoważnienia | Indywidualny identyfikator w systemie informatycznym (jeśli dotyczy) | Zakres upoważnienia (stanowisko/funkcja – zakres czynności przetwarzania danych osobowych) |
1. | |||||
2. | |||||
3. | |||||
4. | |||||
5. | |||||
6. | |||||
7. | |||||
8. | |||||
9. | |||||
10. | |||||
11. | |||||
12. | |||||
13. | |||||
14. |