string(2) "on"
Zapisz się
na szkolenie

Szukane słowo...

POLITYKA OCHRONY DANYCH OSOBOWYCH

 

Celem Polityki Ochrony Danych Osobowych jest określenie zasad i trybu postępowania, które należy stosować, aby zrealizować wymagania prawne oraz zapewnić bezpieczeństwo danych osobowych przetwarzanych w AKTREN Michał Taran.

 

I.               Podstawowe pojęcia i definicje

  1. Administrator Danych Osobowych (ADO) – podmiot decydujący o celach i środkach przetwarzania danych osobowych. Administratorem Danych Osobowych jest AKTREN Michał Taran z siedzibą w Warszawie (01-494), przy ul. Obrońców Tobruku 21a/15, wpisany do ewidencji działalności gospodarczej, NIP: 599-249-99-26, REGON: 210427888.
  2. Administrator Systemów Informatycznych (ASI) – jest to administrator jednego lub kliku Systemów Informatycznych, odpowiedzialny za bieżące nimi zarządzanie, za kontrolę stanu bezpieczeństwa informatycznego, wykonywanie zadań związanych z zarządzaniem uprawnieniami użytkowników i przydzielaniem im danych uwierzytelniających, jak również dbanie o bezpieczeństwo tych systemów, wyjaśniający wszystkie zgłoszone nieprawidłowości i incydenty mające lub mogące mieć wpływ na bezpieczeństwo Systemów Informatycznych.
  3. Anonimizacja – pozbawienie informacji cech Danych Osobowych, w tym możliwości identyfikacji na ich podstawie osoby fizycznej.
  4. Dane Osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  5. Osoba wyznaczona przez ADOO/PUODO – Generalny Inspektor Ochrony Danych Osobowych/Prezes Urzędu Ochrony Danych Osobowych – organ nadzorczy w rozumieniu RODO, który sprawuje nadzór nad przestrzeganiem przepisów prawa w zakresie ochrony danych osobowych.
  6. Identyfikator Użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną w systemie informatycznym.
  7. Naruszenie bezpieczeństwa danych osobowych – każda sytuacja naruszenia wewnętrznych lub powszechnie obowiązujących przepisów dotyczących ochrony danych osobowych stwarzająca ryzyko wystąpienia Naruszenia ochrony danych osobowych.
  8. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  9. Nośnik Komputerowy (wymienny) – nośnik służący do zapisu i przechowywania informacji np. taśmy, dyski twarde, płyty CD/DVD, pendrive itp.
  10. Obszar przetwarzania danych osobowych – budynki, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe.
  11. Odbiorca Danych – oznacza osobę fizyczną lub prawną, jednostkę organizacyjną nie posiadającą osobowości prawnej (tzw. ułomną osobę prawną), organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest „stroną trzecią”.
  12. Osoba Upoważniona – Pracownik lub inna osoba posiadająca upoważnienie do przetwarzania danych osobowych w imieniu ADO.
  13. Pracownicy – wszyscy pracownicy AKTREN Michał Taran w rozumieniu Kodeksu Pracy, praktykanci, stażyści, a także współpracownicy zatrudniani na podstawie umów cywilnoprawnych oraz osoby fizyczne prowadzące jednoosobową działalność gospodarczą wykonujące zadania dla ADO, korzystające w sposób zgodny z prawem i w granicach swoich uprawnień z systemu ochrony danych osobowych ADO.
  14. Pracodawca – AKTREN Michał Taran z siedzibą w Warszawie (01-494), przy ul. Obrońców Tobruku 21a/15, wpisany do ewidencji działalności gospodarczej, NIP: 599-249-99-26, REGON: 210427888, w relacjach z Pracownikami.
  15. Podmiot przetwarzający (Procesor) – podmiot przetwarzający dane osobowe na zlecenie i w zakresie określonym przez Administratora Danych Osobowych na podstawie umowy powierzenia przetwarzania.
  16. Podprocesor – dalszy podmiot przetwarzający dane osobowe na zlecenie i w zakresie określonym przez Procesora na podstawie umowy powierzenia przetwarzania.
  17. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych pozwalającej ocenić czynniki osobowe osoby fizycznej, w szczególności analizę lub prognozowanie aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – pod warunkiem, że takie działanie wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa.
  18. Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  19. Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (np. szyfrowanie kluczem tajnym, tokenizacja, skracanie).
  20. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  21. „Strona trzecia” – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby upoważnione.
  22. System Informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
  23. Usuwanie danych – trwałe zniszczenie danych osobowych lub ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
  24. Użytkownik – Pracownik korzystający w ramach obowiązków służbowych z Systemu Informatycznego.
  25. Uwierzytelnianie – proces potwierdzenia zadeklarowanej tożsamości podmiotu.
  26. Zastępca Inspektora Ochrony Danych (Zosoba wyznaczona przez ADO) – osoba wyznaczona przez AOD realizująca zadania osoba wyznaczona przez ADO w razie jego nieobecności.
  27. Zbiór Danych Osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

II.            Określenie podstawowych zasad bezpieczeństwa

  1. Doceniając wagę bezpieczeństwa przetwarzania danych osobowych, Właściciel AKTREN Michał Taran przyjmuje do stosowania Politykę Ochrony Danych Osobowych (dalej zwana w skrócie „PODO”). PODO została opracowana na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej „RODO”.
  2. Właściciel AKTREN Michał Taran, jak również Pracownicy zobowiązani są do stosowania postanowień zawartych w PODO.
  3. Celem PODO jest określenie zasad i trybu postępowania, które należy stosować, aby prawidłowo realizowane były obowiązki AKTREN Michał Taran, jako Administratora Danych Osobowych oraz Procesora, jak i Pracowników i Osób Upoważnionych przez AKTREN Michał Taran do przetwarzania Danych Osobowych w zakresie:
  4. właściwego i zgodnego w prawem sposobu przetwarzania i ochrony Danych Osobowych,
  5. zabezpieczenia Danych Osobowych przed dostępem do nich przez osoby nieupoważnione.
  6. Bezpieczeństwo Danych Osobowych oznacza ich ochronę przed wszelkimi zagrożeniami, w tym niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
  7. Utrzymanie bezpieczeństwa przetwarzanych Danych Osobowych rozumiane jest jako zapewnienie legalnego i poufnego Przetwarzania Danych Osobowych od momentu „wejścia do” do momentu „wyjścia z” AKTREN Michał Taran przy zachowaniu zgodności z prawem, w szczególności z zawartymi w art. 5. ust. 1 RODO zasadami zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności, a ponadto w sposób zapewniający realizację wymienionej w art. 5. ust. 2 RODO zasady rozliczalności, tzn. umożliwiający wykazanie stosowania i przestrzegania ww. przepisów.
  8. Bezpieczeństwo Danych Osobowych zapewnia się poprzez identyfikację oraz stałe monitorowanie procesów Przetwarzania Danych Osobowych w AKTREN Michał Taran. W ramach procesów identyfikuje się zasoby w postaci: właścicieli oraz uczestników procesów, Systemu Informatycznego, w tym przepływu Danych Osobowych, oraz dokumentacji wykorzystywanej w procesie.
  9. Osiągnięcie, utrzymywanie i doskonalenie bezpieczeństwa Danych Osobowych jest niezbędne do realizacji zadań statutowych, zachowania płynności finansowej oraz zgodności z wymogami prawnymi. Dlatego AKTREN Michał Taran jest zobowiązane do podejmowania działań mających na celu utrzymywanie i doskonalenie bezpieczeństwa przetwarzanych Danych Osobowych, jako Administrator Danych Osobowych lub Procesor.
  10. Reguły i zasady przetwarzania Zbiorów Danych Osobowych prowadzonych zarówno w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, jak i w Systemach Informatycznych oraz na wszelkich Nośnikach Komputerowych obowiązują i winny być przestrzegane, także w przypadku przetwarzania Danych Osobowych poza Zbiorem.
  11. Podstawowe zasady ochrony Danych Osobowych w AKTREN Michał Taran:
    • Zakazane jest udostępnianie komukolwiek i w jakikolwiek sposób swoich Identyfikatorów Użytkownika oraz haseł do Systemów Informatycznych (w tym poczty elektronicznej), w których przetwarzane są Dane Osobowe, w tym zapisywania tych informacji na tzw. „karteczkach” lub plikach tekstowych komputera.
    • Zakazane jest otwieranie linków lub załączników w podejrzanie wyglądającej poczcie elektronicznej lub smsach/mms’ach na służbowych telefonach i odpowiadanie na takie wiadomości.
    • Zakazane jest wynoszenie materiałów zawierających Dane Osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych (np. na pendrive-ach, CD/DVD, innych nośnikach, w tym utrwalonych na papierze lub przesyłanie ich e-mailem). Za bezpieczeństwo i zwrot materiałów zawierających Dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia.
    • Pracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza nie pozostawianie materiałów zawierających Dane Osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieupoważnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z Pracowników.
    • Pracownicy zobowiązani są do zabezpieczania przesyłu danych, w tym celu należy co najmniej nadawać hasła dokumentom, (nie przesyłać Danych Osobowych w treści e-maila w formie nie zaszyfrowanej), a hasła przekazywać innym kanałem – np. via sms. Zaleca się szyfrowanie danych odpowiednimi, dodatkowymi programami (wymaga to instalacji analogicznego oprogramowania do szyfrowania/deszyfrowania po stronie odbiorcy);
    • Pracownicy zobowiązani są do chronienia swoich stanowisk pracy i stacji roboczych przed nieuprawnionym dostępem osób trzecich np. poprzez blokowanie dostępu do nich hasłem;
    • Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są Dane Osobowe jest dopuszczalne tylko w obecności Osoby Upoważnionej do przetwarzania Danych osobowych, chyba, że dane te są w odpowiedni sposób zabezpieczone przed dostępem;
    • Zakazane jest pozostawianie bez nadzoru jakichkolwiek Nośników Komputerowych niezabezpieczonych przed dostępem osób nieupoważnionych;
    • Pracownicy zobowiązani są usytuować monitory tak, aby ekran był niewidoczny dla osób nieupoważnionych;
    • Pracownik zobowiązany jest nie przestawiać urządzeń peryferyjnych (np. drukarek) w inne miejsca, a po zakończeniu korzystania z urządzenia (np. drukowania), zobowiązany jest niezwłocznie się wylogować z urządzenia;
    • Pracownicy zobowiązani są do zamykania na klucz swoich pokoi jeśli po ich opuszczeniu nie pozostaje tam nikt inny. Klucze nie mogą być pozostawione w drzwiach. Pracownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem;
    • Za bezpieczeństwo przetwarzania Danych Osobowych w ramach realizowanych czynności na określonym Zbiorze Danych Osobowych, indywidualną odpowiedzialność ponosi przede wszystkim każdy Pracownik;
    • Pracownicy mający dostęp do Danych Osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych (np. także nieprzeszkolonej i nieupoważnionej „osobie zastępującej” w pracy);
    • Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających Dane Osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek lub usług wyspecjalizowanych podmiotów przetwarzających poprzez trwałe niszczenie.
    • Profilowanie Danych Osobowych jest możliwe wyłącznie w zakresie oraz po otrzymaniu pisemnego upoważnienia od ADO.

Szczegółowe zasady ochrony Danych Osobowych w AKTREN Michał Taran zamieszczono w załącznikach odnoszących się do poszczególnych obszarów ochrony.

III.          Oświadczenie o intencjach oraz wyjaśnienie zasad, standardów i wymagań zgodności określonych w PODO

3.1. Oświadczenie Właściciela o intencjach potwierdzające cele i zasady bezpieczeństwa informacji

  1. Administratorem Danych Osobowych jest AKTREN Michał Taran.
  2. Administrator Danych Osobowych może wyznaczyć osobę do ochrony Danych Osobowych w AKTREN Michał Taran.
  3. Zapewnienie poufności, integralności i dostępności danych wymaga opracowania odpowiednich procedur i zasad kontroli ich realizacji, dlatego też ustanowiono PODO określającą przejrzyste zasady ochrony Danych Osobowych.
  4. Za bezpieczeństwo Danych Osobowych w AKTREN Michał Taran, odpowiedzialny jest Właściciel AKTREN Michał Taran. Nadzór nad przestrzeganiem zasad ochrony danych wykonuje osoba wyznaczona przez ADO.
  5. Osoba wyznaczona przez ADO ds. ochrony Danych Osobowych działa zgodnie z zasadami przewidzianymi w RODO i w przepisach krajowych, realizując ponadto postanowienia PODO, ma również prawo wydawać instrukcje oraz inne dokumenty regulujące kwestie związane z ochroną Danych Osobowych w AKTREN Michał Taran.

3.2. Zgodność z prawem i wymaganiami wynikającymi z umów

  1. Przetwarzanie Danych Osobowych w AKTREN Michał Taran opiera się na postanowieniach RODO, obowiązujących przepisach krajowych w zakresie ochrony Danych Osobowych oraz PODO.
  2. Ustanawiając zasady przetwarzania danych osobowych AKTREN Michał Taran kieruje się wymogami wynikającymi z umów zawartych przez AKTREN Michał Taran, w szczególności umów dotyczących Przetwarzania Danych Osobowych przez Procesora.
  3. AKTREN Michał Taran dokłada należytej staranności dla ochrony prywatności osób fizycznych, których Dane Osobowe są przetwarzane w Zbiorach Danych Osobowych. Przetwarzanie danych osobowych odbywa się wyłącznie w zakresie niezbędnym do realizacji zadań ADO.

3.3. Wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa

  1. Właściciel AKTREN Michał Taran sprawuje należyty nadzór nad Pracownikami tak, aby zapewnić bezpieczeństwo przetwarzanych danych.
  2. Osoby dopuszczane do przetwarzania Danych Osobowych w tym Pracownicy przed rozpoczęciem przetwarzania danych są zapoznawane przez wyznaczoną osobę
    z zasadami przetwarzania i ochrony danych.

3.4. Ogólne zasady przetwarzania danych osobowych

  1. AKTREN Michał Taran przetwarza następujące Dane Osobowe: Pracowników (byłych Pracowników) i współpracowników, a także ich rodzin, kontrahentów oraz klientów, w tym także potencjalnych oraz byłych klientów, uczestników szkoleń, byłych uczestników szkoleń. AKTREN Michał Taran może przetwarzać również inne Dane Osobowe udostępnione lub powierzone przez innych administratorów lub osoby, których dane dotyczą.
  2. Zbieranie danych osobowych.
  3. AKTREN Michał Taran wymaga podania wyłącznie tych Danych Osobowych, które są niezbędne ze względu na cel ich zbierania (zasada minimalizacji danych). Zabronione jest przetwarzanie jakichkolwiek Danych Osobowych ponad konieczny do realizacji celu zakres.
  4. Dane Osobowe mogą być przechowywane w postaci umożliwiającej identyfikację osoby, której dotyczą, nie dłużej niż jest to niezbędne do celów w którym dane te są przetwarzane.
  5. AKTREN Michał Taran nie zbiera danych dotyczących pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, kodu genetycznego, życia seksualnego.
  6. Obowiązek informacyjny względem osób, których Dane Osobowe podlegają Przetwarzaniu realizowany jest poprzez udzielenie im wymaganych przez prawo informacji.
  7. Obowiązek informacyjny realizowany jest wobec wszystkich osób, których dane dotyczą, poprzez zamieszczanie w/w informacji w klauzulach umieszczonych w formularzach na stronie internetowej AKTREN Michał Taran jak również przez stosowne klauzule w umowach oraz innych dokumentach, w tym w korespondencji elektronicznej i papierowej. ADO informuje też odpowiednio osoby, których dane pozyskał od podmiotów trzecich.
  8. W sytuacji gdy AKTREN Michał Taran postanawia przetwarzać dane osobowe na innej podstawie lub w innym celu niż dotychczas należy poinformować tym osoby, których dane dotyczą.
  9. W sytuacji gdy AKTREN Michał Taran chce przetwarzać dane na podstawie zgody osoby, której dane dotyczą określonej w art. 6 ust. 1 lit a) oraz art. 9 ust. 2 lit. a), to pozyskuje wyraźne zgody osób przed rozpoczęciem przetwarzania.
  10. Dane Osobowe powinny być przetwarzane w Obszarze przetwarzania danych osobowych.

IV.          Obowiązki osób zaangażowanych w proces przetwarzania danych osobowych

  1. Właściciel AKTREN Michał Taran wyznacza osobę ds. ochrony danych osobowych oraz Administratora Systemów Informatycznych (ASI).
  2. Do stosowania zasad określonych przez dokumenty PODO zobowiązani są wszyscy Pracownicy oraz inne osoby zobowiązane do przestrzegania PODO.
  3. Pracownicy, którym zlecono przetwarzanie Danych Osobowych, posiadają odpowiednie upoważnienia, wykazują się rzetelnością i wysokim poziomem etycznym, a ponadto zobowiązani są do zachowania w tajemnicy Danych Osobowych oraz informacji o sposobach ich zabezpieczania. Obowiązek ten istnieje również po ustaniu zatrudnienia lub zakończeniu współpracy.
  4. Wszystkie Osoby Upoważnione zobowiązane są do bezwzględnego przestrzegania podanych w niniejszym dokumencie reguł i zasad tworzących PODO.
  5. Czynności przetwarzania Danych Osobowych może dokonywać jedynie Osoba Upoważniona do tego w zakresie określonym w wydanym jej upoważnieniu i poleceniu przetwarzania danych.

4.1. Obowiązki osoby wyznaczonej przez Właściciela ds. ochrony danych osobowych:

  1. nadzór nad przestrzeganiem zasad ochrony Danych Osobowych,
  2. przeprowadzanie przeglądów organizacji w celu oceny zgodności Przetwarzania Danych Osobowych z bezwzględnie obowiązującymi przepisami,
  3. prowadzenie dokumentacji opisującej sposób Przetwarzania Danych Osobowych,
  4. prowadzenie Rejestru czynności przetwarzania danych osobowych i Rejestru kategorii przetwarzania dokonywanych w imieniu administratora
  5. wdrażanie nowych wymogów prawnych dotyczących ochrony Danych Osobowych,
  6. kontrola procesu udostępniania Danych Osobowych innym podmiotom oraz prowadzenia Ewidencji udostępniania danych osobowych
  7. kontrola zapisów dotyczących Danych Osobowych w umowach powierzenia przetwarzania danych osobowych,
  8. wydawanie zaleceń w zakresie podwyższenia standardów zabezpieczeń dotyczących ochrony Danych Osobowych,
  9. organizowanie szkoleń dla Pracowników mających na celu pogłębienie wiedzy z zakresu ochrony Danych Osobowych,
  10. kontrola procesu niszczenia Nośników Komputerowych oraz dokumentów zawierających Dane Osobowe,
  11. nadzór nad przekazywaniem Nośników Komputerowych oraz dokumentów zawierających Dane Osobowe poza Obszar przetwarzania Danych Osobowych,
  12. nadzór nad stosowaniem klauzul informacyjnych i zgód w sytuacji pozyskiwania Danych Osobowych przez ADO, jak również przez inne podmioty pozyskujące dane na zlecenie ADO.
  13. kontrola nad tworzeniem i likwidacją Zbiorów Danych Osobowych, w tym prowadzenie rejestru zlikwidowanych zbiorów,
  14. podejmowanie działań zgodnie z obowiązującymi przepisami prawa oraz wewnętrznymi procedurami określonymi w PODO w sytuacji Naruszenia ochrony danych osobowych.

4.2. Obowiązki Administratora Systemów Informatycznych:

  1. podejmowanie działań zgodnych z obowiązującymi przepisami prawa oraz wewnętrznymi procedurami określonymi w PODO AKTREN Michał Taran w sytuacji stwierdzenia naruszenia zabezpieczeń Systemu Informatycznego i/lub Naruszenia bezpieczeństwa danych osobowych przetwarzanych w takim systemie,
  2. realizacja zadań obejmujących procesy przetwarzania i archiwizowania danych oraz wspomaganie Użytkowników w sytuacjach problematycznych,
  3. zapewnienie funkcjonowania mechanizmów uwierzytelniania Użytkowników oraz kontroli dostępu do Danych Osobowych,
  4. nadzór nad realizacją napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisywane są Dane Osobowe,
  5. nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz sprawdzaniem pod kątem dalszej przydatności do odtwarzania danych w przypadku awarii systemu.
  6. nadawanie i blokowanie fizycznego dostępu do Systemów Informatycznych, w których przetwarzane są Dane Osobowe Osobom Upoważnionym
  7. ustalanie i kontrola Identyfikatorów dostępu do Systemów Informatycznych, w których przetwarzane są Dane Osobowe, przekazywanie informacji o Identyfikatorach,
  8. przeciwdziałanie dostępowi osób niepowołanych do Systemów Informatycznych, w których przetwarzane są Dane Osobowe,
  9. podejmowanie odpowiednich działań określonych w PODO w przypadku wykrycia naruszeń w systemie zabezpieczeń lub kradzieży i nielegalnego udostępnienia Danych Osobowych,
  10. wykonywanie kopii zapasowych, ich przechowywanie oraz okresowe ich sprawdzanie pod kątem dalszej przydatności do odtwarzania danych w przypadku awarii systemu.

4.3. Obowiązki Pracowników:

  1. przestrzeganie zasad ochrony Danych Osobowych określonych w PODO, lub innych wewnętrznie wdrożonych dokumentach (procedurach, instrukcjach, wytycznych itp.)
  2. zapoznanie się z dokumentami wymienionymi wyżej przed rozpoczęciem pracy, w tym uczestniczenie w szkoleniach,
  3. potwierdzenie powyższego przez złożenie oświadczenia o zapoznaniu się z treścią wyżej wymienionych dokumentów i zobowiązaniu się do przestrzegania zawartych w dokumentach wymogów.
  4. zachowanie w tajemnicy Danych Osobowych, do których otrzymują dostęp;
  5. stosowanie określonych przez AKTREN Michał Taran procedur i środków, mających na celu zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym;
  6. przetwarzanie Danych Osobowych zgodnie z celami przetwarzania, dla których zostały zebrane.
  7. zachowanie szczególnej staranności w trakcie wykonywania operacji przetwarzania Danych Osobowych w celu ochrony interesów osób, których dane dotyczą;
  8. Osoby wyznaczonej przez ADO ds. ochrony Danych Osobowych o wszelkich nieprawidłowościach, które mogą skutkować obniżeniem poziomu ochrony Danych Osobowych,
  9. podporządkowanie się poleceniom osobie wyznaczonej przez ADO ds. ochrony Danych Osobowych oraz przestrzeganie ustalonych przez nie szczegółowych zasad i procedur.

V.            Sposób i znaczenie zarządzania ciągłością działania

  1. Pracownicy mają zapewnione zasilanie umożliwiające co najmniej bezpieczne wyłączenie komputera.
  2. Serwisowanie Nośników Komputerowych lub Systemów Informatycznych, w których dochodzi do przetwarzania Danych Osobowych następuje w możliwie krótkim czasie od wykrycia ich awarii.
  3. W czasie, gdy wadliwy lub uszkodzony sprzęt przekazany zostanie do serwisu w celu jego naprawy AKTREN Michał Taran dołoży starań aby zapewnić sprzęt o podobnych właściwościach.
  4. Przetwarzane Zbiory Danych Osobowych podlegają procedurze cyklicznego wykonywania kopii zapasowych na wypadek utraty lub nieuprawnionej modyfikacji Danych Osobowych.

VI.          Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych

  1. AKTREN Michał Taran stale monitoruje użytkowane Systemy Informatyczne identyfikując zagrożenia i wykrywając incydenty w zakresie przetwarzania Danych Osobowych.
  2. AKTREN Michał Taran stosuje komputerowe techniki przetwarzania i przechowywania Danych Osobowych, wykorzystując specjalistyczny sprzęt oraz odpowiednie procedury do przesyłania i przechowywania Danych Osobowych.
  3. AKTREN Michał Taran może przetwarzać Dane Osobowe w formie papierowej.
  4. Wszystkie Osoby Upoważnione posługują się własnymi Identyfikatorami Użytkownika przeznaczonymi do ich osobistego i wyłącznego użytku. Do Uwierzytelniania Użytkowników służą hasła, które znane są tylko Użytkownikowi.
  5. W AKTREN Michał Taran wprowadzono politykę „czystego biurka”.
  6. Dostęp do Obszaru przetwarzania danych osobowych jest zabezpieczony przed dostępem osób niepowołanych.

VII.        Prawa osób, których dane dotyczą

  1. Każda osoba, której dane dotyczą, powinna zostać poinformowana, że ADO będzie przetwarzał jej Dane Osobowe, w tym ADO jest zobowiązany podać swoją tożsamość; cele przetwarzania oraz podstawę prawną przetwarzania; prawnie określony interes realizowany przez ADO; informacje o odbiorcach lub kategoriach odbiorców danych osobowych; informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej. Ponadto ADO podaje osobie, której dane dotyczą okres przez który dane będą przechowywane, informacje o prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; w sytuacji jeśli Dane Osobowe są przetwarzane na podstawie zgody ADO powinien również poinformować o prawie do cofnięcia zgody w dowolnym momencie, co pozostanie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. ADO powinien również poinformować o prawie wniesienia skargi do organu nadzorczego, a dodatkowo czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; ADO powinien również przekazać informacje o ewentualnym zautomatyzowanym przetwarzaniu, w tym Profilowaniu.
  2. Każda osoba ma prawo do żądania od ADO dostępu do swoich Danych Osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia swoich danych pod warunkiem że takie uprawnienia takiej osobie przysługują.
  3. W przypadku przetwarzania przez AKTREN Michał Taran niekompletnych lub niepoprawnych danych, AKTREN Michał Taran zobowiązuje się do nieodpłatnego uzupełnienia lub poprawienia tych danych na wniosek osoby, której dane dotyczą.
  4. Osoby, których Dane Osobowe są przetwarzane przez AKTREN Michał Taran mają prawo do wglądu w swoje dane. Zapytanie dotyczące wglądu do swoich danych osobowych należy przesłać do AKTREN Michał Taran za pomocą listu poleconego lub korespondencji elektronicznej, skierowanej na adres e-mail Inspektora Ochrony Danych. W sytuacji niedostatecznej pewności ADO co do tożsamości osoby żądającej, AKTREN Michał Taran może, żądać przedstawienia dodatkowych informacji weryfikujących.

7.1. Realizacja uprawnień przez osoby których dotyczą dane

  1. Na wniosek osoby, której dane dotyczą, AKTREN Michał Taran w terminie 30 dni od daty wpłynięcia wniosku informuje taką osobę o przysługujących jej prawach oraz udziela informacji w formie pisemnej, w tym elektroniczne, odnośnie jej danych osobowych.
  2. Przesłany przez osobę prawidłowy wniosek o udzielenie informacji na temat przetwarzania jej Danych Osobowych jest niezwłocznie upoważnionej przez ADO osobie.
  3. Osoba upoważniona z ramienia Administratora Danych Osobowych, niezwłocznie zwraca się do osoby odpowiedzialnej wskazanej w rejestrze przetwarzania z prośbą
    o zebranie niezbędnych informacji na temat przetwarzanych Danych Osobowych wnioskodawcy.
  4. Osoba odpowiedzialna w porozumieniu osobą upoważnioną przez ADO przygotowuje odpowiedź na wniosek osoby, której dane dotyczą. Tryb udzielania odpowiedzi został szczegółowo opisany w Instrukcji realizacji praw osób, których dane dotyczą. Odpowiedź na wniosek podpisuje osoba umocowana do reprezentowania AKTREN Michał Taran w tym zakresie.

VIII.     Zasady przetwarzania danych osobowych w AKTREN Michał Taran

8.1. Rejestr czynności przetwarzania

  1. AKTREN Michał Taran nie jest zobligowany prawnie do prowadzenia Rejestru czynności przetwarzania danych. Niemniej jednak, gdyby w przyszłości z różnych względów tenże Rejestr byłby potrzebny, ADO posiada stosowne wzory i instrukcje pozwalające na rozpoczęcie jego prowadzenia.
  2. AKTREN Michał Taran jako Procesor prowadzi Rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora.
  3. Czynności przetwarzania rejestrowane są według poszczególnych celów przetwarzania ustalonych przez ADO. AKTREN Michał Taran jako ADO może prowadzić Rejestr czynności przetwarzania danych osobowych.
  4. Przyjmuje się do stosowania Wzór rejestru czynności przetwarzania danych osobowych, stanowiący załącznik do PODO.
  5. Przyjmuje się do stosowania Wzór rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora, stanowiący załącznik do PODO.
  6. Zmiany ww. rejestrów są zatwierdzane poprzez podpisanie nowego rejestru na każdej stronie zgodnie z reprezentacją ADO, przy czym mogą być one prowadzone
    i podpisywane w formie elektronicznej, z użyciem podpisu kwalifikowanego.
  7. Aktualne rejestry przechowuje osoba wyznaczona przez ADO.
  8. Osoba wyznaczona przez ADO udostępnia aktualne rejestry na prośbę każdego uprawnionego Pracownika, odnotowując fakt i czas udostępnienia.
  9. Osoba wyznaczona przez ADO jest odpowiedzialna za zapewnienie aktualności rejestrów, przy czym przegląd powinien następować nie rzadziej niż raz na rok.
  10. Rejestry czynności przetwarzania danych osobowych oraz kategorii czynności przetwarzania dokonywanych w imieniu administratora stanowią tajemnicę AKTREN Michał Taran, są dokumentami wewnętrznymi ADO i nie mogą być ujawnione podmiotom zewnętrznym bez zgody ADO, poza umocowanymi przedstawicielami organu nadzorczego w ramach czynności kontrolnych.

8.2. Ocena skutków przetwarzania i analiza ryzyka

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, ADO ocenia ryzyko dla każdej, ze wskazanych w rejestrach czynności przetwarzania.
  2. Właściciel określa czynniki i wagi do analizy ryzyka uwzględniając m.in.:
    • Ocenę skutków Przetwarzania z punktu widzenia ryzyka naruszenia praw lub wolności osób fizycznych;
    • Prawdopodobieństwo materializacji ryzyka, biorąc pod uwagę m.in.:
  3. Ilość Użytkowników przetwarzających dane w imieniu ADO,
  4. Ilość rekordów w Zbiorach Danych Osobowych,
  5. Wystąpienie w przeszłości incydentów bezpieczeństwa lub Naruszeń bezpieczeństwa danych osobowych przy danej czynności Przetwarzania.
  6. Przyjęta metodyka powinna, w miarę możliwości, umożliwiać obiektywną, niezależną od indywidualnej oceny, wycenę ryzyka (kwantyfikowalną, mierzalną). Zespół może opracować i przyjąć instrukcje uszczegóławiające co do oceny – np. wyznaczające skalę naruszenia praw lub wolności osób fizycznych w poszczególnych wymiarach.

8.3. Dopuszczalność przetwarzania Danych Osobowych (podstawa prawna)

  1. ADO wymaga, żeby wszelkie przetwarzanie Danych Osobowych dokonywane było wyłącznie zgodnie z posiadaną podstawą prawną, w zakresie minimalnym – niezbędnym do realizacji celu odnotowanego w Rejestrze czynności przetwarzania danych osobowych, zarówno pod względem osobowym, czasowym jak i zakresu kategorii danych przetwarzanych, z poszanowaniem wszystkich zasad i przepisów ustanowionych w RODO oraz w przepisach krajowych.
  2. Przetwarzanie jest dopuszczalne wyłącznie w przypadku jeśli jest niezbędne w co najmniej jednym z poniższych celów/warunków ogólnych i wyłącznie w zakresie,
    w jakim jest konieczne do realizacji ustalonego celu szczegółowego, odnotowanego
    w Rejestrze czynności przetwarzania danych osobowych:

    • do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    • do wypełnienia obowiązku prawnego ciążącego na administratorze;
    • do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
    • do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
    • do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem;
    • gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
  3. ADO powinien określić standardowe zasady Pseudonimizacji Danych Osobowych.

8.4. Udostępnianie danych zgodnie z prawem

  1. AKTREN Michał Taran nie sprzedaje ani nie wydaje osobom trzecim Danych Osobowych.
  2. AKTREN Michał Taran udostępnia Dane Osobowe w sytuacjach określonych przez obowiązujące przepisy prawa lub za wiedzą i zgodą osoby, której dane dotyczą.
  3. Udostępnianie Danych Osobowych może odbywać się wyłącznie za zgodą osoby wyznaczonej przez ADO. Pracownik zajmujący się udostępnieniem jest zobowiązany uzyskać w/w zgodę na piśmie lub za pośrednictwem poczty elektronicznej.
  4. W przypadku udostępniania danych za pośrednictwem Systemów Informatycznych, systemy te odnotowują następujące informacje o udostępnieniu danych:
    1. nazwa jednostki organizacyjnej oraz imię i nazwisko osoby, której udostępniono dane,
    2. imię i nazwisko, ewentualnie identyfikator osoby, której dane są udostępnianie (dotyczy odnotowywania poza Systemem Informatycznym).
    3. zakres udostępnianych danych,
    4. data udostępnienia.
  5. W przypadku udostępnienia danych poza Systemem Informatycznym, osoba wyznaczona przez ADO prowadzi Ewidencję udostępniania danych osobowych zawierającą informacje jak powyżej z zachowaniem poniższych zasad powierzania Danych Osobowych podmiotom zewnętrznym. Odnotowanie informacji powinno nastąpić niezwłocznie po udostępnieniu danych.

8.5. Zasady powierzania danych osobowych podmiotom zewnętrznym

  1. Na podstawie umowy zawartej w formie pisemnej AKTREN Michał Taran, jako administrator danych może powierzyć podmiotom zewnętrznym Przetwarzanie Danych Osobowych.
  2. W pisemnej umowie zawartej pomiędzy AKTREN Michał Taran, a podmiotem zewnętrznym określony zostaje w szczególności cel i zakres powierzenia Przetwarzania Danych Osobowych oraz zobowiązanie do przetwarzania
    i zabezpieczania powierzonych danych zgodnie z przepisami prawa.
  3. Podmiot zewnętrzny, któremu AKTREN Michał Taran zamierza na podstawie umowy powierzyć do przetwarzania Dane Osobowe, musi spełniać następujące wymagania:
    1. Przestrzegać przepisów RODO oraz postanowienia umowy o powierzeniu przetwarzania Danych Osobowych,
    2. Przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie ADO,
    3. Zapewnić by osoby upoważnione zobowiązały się do zachowania tajemnicy,
    4. Spełniać wymagania określone w art. 32 RODO dotycząc zabezpieczenia danych,
    5. Wspierać ADO w realizacji praw osób których Dane dotyczą,
    6. Usunąć lub zwrócić ADO wszystkie dane po zakończeniu Przetwarzania,
    7. Udostępnić ADO wszelkie informacji niezbędne do spełnienia obowiązków ADO,
    8. Zapewnić, że nie będzie korzystał z usług Podprocesora bez zgody ADO,
    9. Niezwłocznie powiadamiać AKTREN Michał Taran o przypadkach Naruszenia ochrony powierzonych danych osobowych, oraz dokumentować wszelkie zdarzenia, które mogą pomóc w ustaleniu okoliczności tego naruszenia.
    10. Umożliwiać osoba wyznaczona przez ADO AKTREN Michał Taran, na każde jego żądanie, kontrolowanie procesu Przetwarzania i zabezpieczania powierzonych danych.
  4. Przed podpisaniem umowy o powierzeniu przetwarzania Danych Osobowych osoba chcąca zawrzeć umowę wysyła do kontrahenta ankietę z prośba o jej uzupełnienie.
  5. Po dokonaniu oceny odpowiedzi osoba chcąca zawrzeć umowę proponuje zawarcie umowy powierzenia Właściciel AKTREN Michał Taran jeśli ocenia, że sposób zabezpieczenia Przetwarzania Danych Osobowych przez Procesora gwarantuje zachowanie bezpieczeństwa dla Danych Osobowych.

8.6. Usuwanie danych osobowych

  1. W przypadku konieczności usunięcia Zbioru Danych Osobowych, osoba odpowiedzialna za Zbiór Danych Osobowych zobowiązana jest poinformować osobę wyznaczona przez ADO o takiej konieczności i ustalić plan likwidacji zbioru. Podstawą likwidacji zbioru jest zrealizowanie celu przetwarzania danych w zbiorze lub decyzja o zaprzestaniu przetwarzania danych w zbiorze.
  2. Usuwanie Zbiorów Danych Osobowych z dysku lub Nośników Komputerowych następuje w sposób trwały, tj.:
    1. Usuniecie plików z przestrzeni dyskowej, po wyrzuceniu ich do kosza systemu operacyjnego komputera, wspierane jest przez dodatkowe oprogramowanie dedykowane do trwałego usuwania danych z nośników elektronicznych.
    2. Wydruki papierowe zawierające Dane Osobowe oraz Zbiory Danych Osobowych przetwarzane w wersji papierowej ulegają zniszczeniu w niszczarce dokumentów lub są przekazywane do zniszczenia podmiotowi zewnętrznemu specjalizującemu się w niszczeniu danych.
  3. Każdorazowe zniszczenie Zbiorów Danych Osobowych potwierdzane jest protokołem zniszczenia. Protokoły zniszczenia archiwizuje osoba wyznaczona przez ADO.
  4. Zamiast usuwania Danych Osobowych lub Zbiorów Danych Osobowych, ADO jest uprawniony do ich Anonimizacji.

8.7. Procedura privacy by design, czyli zasady tworzenia nowych projektów/programów albo wykorzystania Systemu Informatycznego

  1. W przypadku planu stworzenia nowej usługi lub produktu albo skorzystania
    z Systemu Informatycznego w ramach analizy biznesowej nowego przedsięwzięcia powinno się uwzględnić i ocenić konsekwencje wdrożenia nowej usług lub produktu albo zastosowania narzędzia Systemu Informatycznego pod kątem bezpieczeństwa Danych Osobowych.
  2. W zakresie opisywanym powyżej powinno się przede wszystkim ocenić zakres
    i kategorie zbieranych Danych Osobowych, sposób ich przetwarzania od momentu „wejścia do” do momentu „wyjścia z”, realizację zasad wynikających z RODO, osoby które będą uczestniczyły w procesie przetwarzania Danych Osobowych, a także Systemy Informatyczne, które zostaną wykorzystane do przetwarzania Danych Osobowych.
  3. Częścią analizy powinna też być ocena skutków dla ochrony danych, przeprowadzona zgodnie z polityką analizy ryzyka.

IX.           Procedura upoważniania do przetwarzania danych osobowych

  1. Do Przetwarzania Danych Osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Właściciela AKTREN Michał Taran lub osobę przez niego wyznaczoną.
  2. Każda osoba upoważniona do Przetwarzania Danych Osobowych ma obowiązek:
    1. zapoznać się z wdrożonymi w AKTREN Michał Taran Polityką Ochrony Danych Osobowych oraz Instrukcją Zarządzania Systemami Informatycznymi służącymi do przetwarzania Danych Osobowych;
    2. zachować poufność Danych Osobowych i sposobów ich zabezpieczania oraz przetwarzać dane zgodnie z przepisami prawa i procedurami AKTREN Michał Taran.
  3. W przypadku przyjęcia do pracy nowego Pracownika, którego zakres obowiązków obejmować będzie przetwarzanie Danych Osobowych Właściciel AKTREN Michał Taran lub osoba przez niego wyznaczona wydaje Pracownikowi upoważnienie do Przetwarzania Danych Osobowych w odpowiednim zakresie.
  4. Przetwarzanie Danych Osobowych odbywa się jedynie na polecenie ADO. Przez takie polecenie jest rozumiane przydzielenie Pracownikowi zadania wymagającego Przetwarzania Danych Osobowych.
  5. Oryginał upoważnienia do Przetwarzania Danych Osobowych przechowywany jest przez osobę wyznaczoną przez ADO w sposób zabezpieczający przed dostępem osób nieuprawnionych.
  6. W przypadku zmiany stanowiska przez Pracownika przetwarzającego Dane Osobowe bądź zakresu obowiązków Pracownika, Właściciel AKTREN Michał Taran lub osoba przez niego wyznaczona zobowiązana jest bezzwłocznie wydać mu upoważnienie i polecenie do Przetwarzania Danych Osobowych określające nowe uprawnienia, postępując zgodnie z Instrukcją nadawania upoważnień do przetwarzania danych osobowych.
  7. Upoważnienie wygasa wraz z ustaniem stosunku pracy lub wykonywania prac określonych umową cywilnoprawną, chyba że zostało wcześniej odwołane.
  8. Administrator Danych Osobowych może odwołać udzielone upoważnienie i polecenie do przetwarzania Danych Osobowych, w szczególności w związku ze zmianą charakteru i zakresu pracy, dokonując adnotacji o odwołaniu uprawnień na dokumencie upoważnienia do przetwarzania danych osobowych oraz informując o tym ASI.
  9. osoba wyznaczona przez ADO prowadzi Ewidencję upoważnień do przetwarzania danych osobowych.

X.             Postępowanie w przypadku naruszenia bezpieczeństwa danych osobowych

  1. Każda osoba, która poweźmie wiadomość w zakresie Naruszenia bezpieczeństwa danych osobowych przez osobę przetwarzającą Dane Osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo Danych Osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić osobie wyznaczonej przez ADO oraz ASI (w odniesieniu do danych przetwarzanych w Systemach Informatycznych).
  2. Za Naruszenia bezpieczeństwa danych osobowych uważa się w szczególności wymienione poniżej sytuacje, tj. gdy:
    1. stwierdzono przebywanie osoby nieuprawnionej w Obszarze przetwarzania danych osobowych bez nadzoru Osoby Upoważnionej do przetwarzania Danych Osobowych,
    2. stan urządzenia, zawartość Zbioru Danych Osobowych, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych,
    3. brak możliwości fizycznego dostępu do Zbioru Danych Osobowych np. zagubiony klucz do pomieszczenia, lub mebli biurowych, w których przechowywane są dokumenty, zniszczona szafa z dokumentami, brak nośników informacji, zalane lub w inny sposób uszkodzone pomieszczenie lub jego część, brak lub uszkodzenie sprzętu komputerowego itp.,
    4. brak dostępu do zawartości Zbioru Danych Osobowych – zbiór istnieje lecz nie można go otworzyć,
    5. zmieniona zawartość Zbioru Danych Osobowych, niepoprawna treść, postać, data, różnica w danych itp.,
    6. próba lub fakt nieuprawnionego dostępu do Zbioru Danych Osobowych lub pomieszczenia, w którym jest przetwarzany np. zmiana ułożenia kolejności dokumentów, otwarte drzwi lub meble biurowe, nietypowe ustawienie sprzętu lub pojawienie się nowych dokumentów,
    7. wystąpi różnica funkcjonowania Systemu Informatycznego, w którym przetwarzane są Dane Osobowe, a w szczególności wyświetlania komunikatów i informacji o błędach oraz nieprawidłowościach w wykonywaniu operacji,
    8. stwierdzono zniszczenie lub próby zniszczenia, w sposób nieautoryzowany danych ze Zbioru Danych Osobowych lub danych systemowych,
    9. stwierdzono zmianę lub utratę danych zapisanych na kopiach awaryjnych lub zapisach archiwalnych,
    10. dojdzie do nieskutecznego niszczenia nośników informacji zawierających Dane Osobowe (dyski przenośne, nośniki optyczne, wydruki papierowe), umożliwiające ponowny ich odczyt przez osoby nieuprawnione,
    11. dojdzie do próby nielegalnego logowania się do lub włamania do Systemu Informatycznego, w którym przetwarzane są Dane Osobowe,
    12. zostanie zmienione oprogramowanie systemu, w którym przetwarzane są Dane Osobowe, stwierdzone przez Użytkownika po przerwie w Przetwarzaniu danych.
  3. Osoba Upoważniona do Przetwarzania w Systemie Informatycznym lub Zbiorze Danych Osobowych, która stwierdzi lub podejrzewa Naruszenie bezpieczeństwa danych osobowych zobowiązana jest do:
    1. niezwłocznego poinformowania o tym fakcie swojego przełożonego oraz osoby wyznaczonej przez ADO,
    2. zaprzestania pracy w Systemie Informatycznym lub Zbiorze Danych Osobowych do momentu otrzymania od właściwej osoby wyznaczonej przez ADO decyzji o możliwości wznowienia pracy,
    3. powstrzymania się od samodzielnej identyfikacji i usuwania zagrożeń,
    4. udokumentowania wszelkich komunikatów i objawów świadczących o Naruszeniu.
  4. Właściwa osoba wyznaczona przez ADO po uzyskaniu informacji o Naruszeniu bezpieczeństwa danych osobowych podejmuje działania mające na celu stwierdzenie czy nastąpiło Naruszenie ochrony danych osobowych, w jakim zakresie, oraz w miarę możliwości przez kogo.
  5. Po zakończeniu procedury Właściwa osoba wyznaczona przez ADO wraz z Właścicielem AKTREN Michał Taran podejmują decyzję o skali Naruszenia i konieczności zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego – PUODO, oraz, w stosownych przypadkach, osoby, której dane dotyczą.
  6. Każde Naruszenie bezpieczeństwa danych osobowych jest odnotowywane w Ewidencji naruszeń bezpieczeństwa danych osobowych.
  7. Właściwa osoba wyznaczona przez ADO po zakończenia procedury oceny Naruszenia bezpieczeństwa danych osobowych sporządza Raport końcowy ws. oceny naruszenia bezpieczeństwa danych osobowych i przekazuje go Właścicielowi AKTREN Michał Taran.
  8. Tworzenie raportów nie jest wymagane w AKTREN Michał Taran, niemniej jednak mogą być one pomocne w ramach procesu doskonalenia systemu ochrony Danych Osobowych.
  9. Przykłady Naruszeń bezpieczeństwa danych osobowych będą udostępniane Pracownikom w celu informowania ich o nieprawidłowych działaniach.

XI.           Odpowiedzialność za realizację PODO

  1. Naruszenie ochrony danych osobowych, w efekcie którego nastąpiło udostępnienie danych osobie nieupoważnionej, jest ciężkim naruszeniem obowiązków, w tym obowiązków pracowniczych.
  2. Wobec osoby, która w przypadku Naruszenia bezpieczeństwa danych osobowych, lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.

XII.        Postanowienia końcowe

  1. Na wniosek innych administratorów powierzających AKTREN Michał Taran Przetwarzanie Danych Osobowych może być im okazywana PODO bez załączników.
  2. Załączniki do PODO są dokumentami wewnętrznymi AKTREN Michał Taran objętymi tajemnicą przedsiębiorstwa.
  3. Załączniki do PODO są zmieniane poprzez wydanie decyzji Właściciel AKTREN Michał Taran.

W sprawach nieuregulowanych w niniejszej PODO mają zastosowanie przepisy RODO oraz polskie przepisy ustawowe.