Polityka Ochrony Danych Osobowych w TSK PLASTIK sp.j. w Czarnej Białostockiej.

WSTĘP

Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem.

DEFINICJE:

1. OCENA SKUTKÓW DLA OCHRONY DANYCH, ANALIZA RYZYKA

1.1. OCENA SKUTKÓW

W przypadku przetwarzania danych osobowych, które ze względu na swój charakter, zakres, kontekst i cel mogą powodować z dużym prawdopodobieństwem wysokie ryzyko naruszenie praw i wolności osób fizycznych, należy przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Poprzez ryzyko naruszenia praw i wolności osób fizycznych należy rozumieć każde zagrożenia mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, np.:

– strata finansowa,– kradzież tożsamości,– naruszenie dobrego imienia,– naruszenie poufności danych osobowych chroniących tajemnicę zawodową.

Oceny skutków dokonuje się ze współudziałem Inspektorem Danych Osobowych – w przypadku powołania IDO

Ocena zawiera:

– systematyczny opis planowanych operacji przetwarzania,– ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne do celów,– ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,– środki planowane w celu zaradzeniu ryzyku.

5. Prawdopodobieństwo ryzyka naruszenia praw i wolności osoby, której dane dotyczą określa się w odniesieniu do charakteru, zakresu, kontekstu i celu przetwarzania danych.

W celu dokonania analizy ryzyka należy zidentyfikować zbiory danych, które należy zabezpieczyć.

1.2 inwentaryzacja danych

Dane osobowe wymagające ochrony zostały wykazane w załączniku 01a Wykaz zbiorów danych osobowych

Każdy ze zbiorów jest opisany w sposób umożliwiający przeprowadzenie analizy ryzyka

Opis zbiorów obejmuje takie informacje, jak:

nazwę zbioru danych,

aktywa służące do przetwarzania danych osobowych (Informacje, Programy, systemy operacyjne, Infrastruktura IT, Infrastruktura, Pracownicy i współpracownicy, Outsourcing),

podstawę przetwarzania danych,

informacja o konieczności wpisu do rejestru czynności przetwarzania,

informacja o konieczności przeprowadzenia oceny skutków dla zbioru,

charakter, zakres, kontekst danych osobowych osobowe i cel przetwarzania,

odbiorcy,

opis operacji przetwarzania,

czas przechowywania danych osobowych,

funkcjonalny opis przetwarzania.

1.3. Zgodność z prawem

1.3.1. Administrator zapewnia, że:

dane są legalnie przetwarzane (na podstawie art. 6, 9)

dane są zbierane w konkretnych i prawnie uzasadnionych celach (na podstawie art. 5)

dane osobowe są adekwatne w stosunku do celów przetwarzania (na postawie art. 5)

dane osobowe są prawidłowe i w razie potrzeby uaktualniane (na podstawie art. 5)

dane osobowe są przetwarzane przez określony konkretny czas (retencja danych)

dane osobowe są przetwarzane w sposób zapewniających odpowiednie bezpieczeństwo danych osobowych

dane osobowe szczególnych kategorii są przetwarzane zgodnie z art.9 ust.2 pkt. b i h

wobec osób, które przetwarza administrator wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14) wraz ze wskazaniem im praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu)

zapewniono ochronę danych w przypadku powierzenia przetwarzania danych w postaci umów powierzenia z podmiotami przetwarzającymi (art. 28)

1.3.2. Potwierdzenie podstawy przetwarzanych danych osobowych w zbiorach, znajduje się w załączniku 01a Wykaz zbiorów danych osobowych

1.3.3.Klauzule informacyjne znajdują się w załączniku 01b Klauzule informacyjne

1.4.Upoważnienia

Administrator odpowiada za nadawanie oraz anulowanie upoważnień do przetwarzania danych w zbiorach papierowych oraz w systemach informatycznych

Każda osoba upoważniona przetwarza dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa

Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia nadawane są w formie udokumentowanego zakresu obowiązków

Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia

Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych.

W przypadku korzystania z usług podmiotów przetwarzających dane zawarto umowy powierzenia (wzór zgodnie z załącznikiem 01f)

Dla podmiotów przetwarzających prowadzi się rejestr podmiotów przetwarzających dane osobowe zgodnie z załącznikiem 01e Rejestr umów powierzenia

ANALIZY RYZYKA

1. Analiza ryzyka obejmuje:– identyfikację aktywów, zagrożeń i słabych punktów,– prawdopodobieństwo zagrożenia,– określenie poziomu ryzyka,– określenie zalecanych zabezpieczeń,– ocenę ryzyka i postępowanie z ryzykiem

2. Szczegółowy opis szacowania ryzyka ujęty jest w załączniku 02a Procedura analizy ryzyka

3 INSTRUKCJA POSTĘPOWANIA Z INCYDENTAMI Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.

Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu Administratora.

Do typowych podatności bezpieczeństwa danych osobowych należą:

niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów

niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych

nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf)

Do typowych incydentów bezpieczeństwa danych osobowych należą:

zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)

zdarzenia losowe wewnętrzne (komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych)

umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania)

W przypadku stwierdzenia wystąpienia incydentu, Administrator prowadzi postępowanie wyjaśniające w toku, którego:

ustala zakres i przyczyny incydentu oraz jego ewentualne skutki

inicjuje ewentualne działania dyscyplinarne

działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu

rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia

Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze –załącznik 03 Formularz rejestracji incydentu

Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych

W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

REGULAMIN OCHRONY DANYCH OSOBOWYCH

Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania – załącznik – 04 Regulamin Ochrony Danych Osobowych. Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.

5 SZKOLENIA

Każda osoba przed dopuszczeniem do pracy z danymi osobowymi zostaje poddana przeszkoleniu i zapoznana z przepisami RODO.

Za przeprowadzenie szkolenia odpowiada Administrator.

W przypadku przeprowadzenia szkolenia wewnętrznego tworzy się listę szkolenia zgodnie, z którą szkolenie jest przeprowadzane – 05a Załącznika Plan szkolenia RODO.

Po przeprowadzeniu szkolenia każdy z uczestników podpisuje listę obecności.

6 REJESTR CZYNNOŚCI PRZETWARZANIA

W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Administratora, wypełnia załącznik 06a Rejestr czynności prowadzony przez Administratora

7. AUDYTY

Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.W tym celu Administrator stosuje procedurę audytów – patrz załącznik 07 Procedura audytu8 PROCEDURA PRZYWRÓCENIA DOSTĘPNOŚCI DANYCH OSOBOWYCH I DOSTĘPU DO NICH W RAZIE INCYDENTU FIZYCZNEGO LUB TECHNICZNEGO Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania, opisane w załączniku 08 Plan ciągłości działania

9. WYKAZ ZABEZPIECZEŃ

Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych – załącznik 2d Lista potencjalnych zabezpieczeń

W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne

Wykaz jest aktualizowany po każdej analizie ryzyka

TSK PLASTIK sp. j.

  • ul. Fabryczna 7C
  • 16-020 Czarna Białostocka

  • Dział obsługi klienta:
  • +48 85 71 02 107
  • tsk@tskplastik.com.pl
  • Dział handlowy i eksport:
  • Michał Półbeczko
  • +48 604 081 070
  • michal@tskplastik.com.pl

Napisz do nas

Vertriebsbüro Deutschland:

  • Guntersriether Strasse 5
  • D - 91224 Pommelsbrunn
  • 09152 / 928 1429
  • info@ditec-folien.de
  • Telefax: 09152 / 928 1430
  • Michael Dolatschek
  • +49 171 2079011