Polityka Ochrony Danych Osobowych w TSK PLASTIK sp.j. w Czarnej Białostockiej.
WSTĘP
Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem.
DEFINICJE:
1. OCENA SKUTKÓW DLA OCHRONY DANYCH, ANALIZA RYZYKA
1.1. OCENA SKUTKÓW
W przypadku przetwarzania danych osobowych, które ze względu na swój charakter, zakres, kontekst i cel mogą powodować z dużym prawdopodobieństwem wysokie ryzyko naruszenie praw i wolności osób fizycznych, należy przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Poprzez ryzyko naruszenia praw i wolności osób fizycznych należy rozumieć każde zagrożenia mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, np.:
– strata finansowa,– kradzież tożsamości,– naruszenie dobrego imienia,– naruszenie poufności danych osobowych chroniących tajemnicę zawodową.
Oceny skutków dokonuje się ze współudziałem Inspektorem Danych Osobowych – w przypadku powołania IDO
Ocena zawiera:
– systematyczny opis planowanych operacji przetwarzania,– ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne do celów,– ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,– środki planowane w celu zaradzeniu ryzyku.
5. Prawdopodobieństwo ryzyka naruszenia praw i wolności osoby, której dane dotyczą określa się w odniesieniu do charakteru, zakresu, kontekstu i celu przetwarzania danych.
W celu dokonania analizy ryzyka należy zidentyfikować zbiory danych, które należy zabezpieczyć.
1.2 inwentaryzacja danych
Dane osobowe wymagające ochrony zostały wykazane w załączniku 01a Wykaz zbiorów danych osobowych
Każdy ze zbiorów jest opisany w sposób umożliwiający przeprowadzenie analizy ryzyka
Opis zbiorów obejmuje takie informacje, jak:
nazwę zbioru danych,
aktywa służące do przetwarzania danych osobowych (Informacje, Programy, systemy operacyjne, Infrastruktura IT, Infrastruktura, Pracownicy i współpracownicy, Outsourcing),
podstawę przetwarzania danych,
informacja o konieczności wpisu do rejestru czynności przetwarzania,
informacja o konieczności przeprowadzenia oceny skutków dla zbioru,
charakter, zakres, kontekst danych osobowych osobowe i cel przetwarzania,
odbiorcy,
opis operacji przetwarzania,
czas przechowywania danych osobowych,
funkcjonalny opis przetwarzania.
1.3. Zgodność z prawem
1.3.1. Administrator zapewnia, że:
dane są legalnie przetwarzane (na podstawie art. 6, 9)
dane są zbierane w konkretnych i prawnie uzasadnionych celach (na podstawie art. 5)
dane osobowe są adekwatne w stosunku do celów przetwarzania (na postawie art. 5)
dane osobowe są prawidłowe i w razie potrzeby uaktualniane (na podstawie art. 5)
dane osobowe są przetwarzane przez określony konkretny czas (retencja danych)
dane osobowe są przetwarzane w sposób zapewniających odpowiednie bezpieczeństwo danych osobowych
dane osobowe szczególnych kategorii są przetwarzane zgodnie z art.9 ust.2 pkt. b i h
wobec osób, które przetwarza administrator wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14) wraz ze wskazaniem im praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu)
zapewniono ochronę danych w przypadku powierzenia przetwarzania danych w postaci umów powierzenia z podmiotami przetwarzającymi (art. 28)
1.3.2. Potwierdzenie podstawy przetwarzanych danych osobowych w zbiorach, znajduje się w załączniku 01a Wykaz zbiorów danych osobowych
1.3.3.Klauzule informacyjne znajdują się w załączniku 01b Klauzule informacyjne
1.4.Upoważnienia
Administrator odpowiada za nadawanie oraz anulowanie upoważnień do przetwarzania danych w zbiorach papierowych oraz w systemach informatycznych
Każda osoba upoważniona przetwarza dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa
Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia nadawane są w formie udokumentowanego zakresu obowiązków
Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia
Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych.
W przypadku korzystania z usług podmiotów przetwarzających dane zawarto umowy powierzenia (wzór zgodnie z załącznikiem 01f)
Dla podmiotów przetwarzających prowadzi się rejestr podmiotów przetwarzających dane osobowe zgodnie z załącznikiem 01e Rejestr umów powierzenia
ANALIZY RYZYKA
1. Analiza ryzyka obejmuje:– identyfikację aktywów, zagrożeń i słabych punktów,– prawdopodobieństwo zagrożenia,– określenie poziomu ryzyka,– określenie zalecanych zabezpieczeń,– ocenę ryzyka i postępowanie z ryzykiem
2. Szczegółowy opis szacowania ryzyka ujęty jest w załączniku 02a Procedura analizy ryzyka
3 INSTRUKCJA POSTĘPOWANIA Z INCYDENTAMI Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.
Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu Administratora.
Do typowych podatności bezpieczeństwa danych osobowych należą:
niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów
niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych
nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf)
Do typowych incydentów bezpieczeństwa danych osobowych należą:
zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)
zdarzenia losowe wewnętrzne (komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych)
umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania)
W przypadku stwierdzenia wystąpienia incydentu, Administrator prowadzi postępowanie wyjaśniające w toku, którego:
ustala zakres i przyczyny incydentu oraz jego ewentualne skutki
inicjuje ewentualne działania dyscyplinarne
działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu
rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia
Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze –załącznik 03 Formularz rejestracji incydentu
Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych
W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.
REGULAMIN OCHRONY DANYCH OSOBOWYCH
Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania – załącznik – 04 Regulamin Ochrony Danych Osobowych. Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.
5 SZKOLENIA
Każda osoba przed dopuszczeniem do pracy z danymi osobowymi zostaje poddana przeszkoleniu i zapoznana z przepisami RODO.
Za przeprowadzenie szkolenia odpowiada Administrator.
W przypadku przeprowadzenia szkolenia wewnętrznego tworzy się listę szkolenia zgodnie, z którą szkolenie jest przeprowadzane – 05a Załącznika Plan szkolenia RODO.
Po przeprowadzeniu szkolenia każdy z uczestników podpisuje listę obecności.
6 REJESTR CZYNNOŚCI PRZETWARZANIA
W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Administratora, wypełnia załącznik 06a Rejestr czynności prowadzony przez Administratora
7. AUDYTY
Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.W tym celu Administrator stosuje procedurę audytów – patrz załącznik 07 Procedura audytu8 PROCEDURA PRZYWRÓCENIA DOSTĘPNOŚCI DANYCH OSOBOWYCH I DOSTĘPU DO NICH W RAZIE INCYDENTU FIZYCZNEGO LUB TECHNICZNEGO Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania, opisane w załączniku 08 Plan ciągłości działania
9. WYKAZ ZABEZPIECZEŃ
Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych – załącznik 2d Lista potencjalnych zabezpieczeń
W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne
Wykaz jest aktualizowany po każdej analizie ryzyka