Polityka Bezpieczeństwa
FHU GOMAR Małgorzata Witwicka · Data sporządzenia: 28/05/2018
1. Informacje ogólne
Pojęciom stosowanym na potrzeby niniejszej Polityki Bezpieczeństwa nadaje się następujące znaczenie:
- Administrator Danych Osobowych (ADO) – osoba prawna, która samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych, którym jest FHU GOMAR Małgorzata Witwicka.
- IODO – Inspektor Ochrony Danych Osobowych – oznacza Inspektora ochrony danych, o którym mowa w Sekcji 4, art. 37–39 RODO.
- Procesor – osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora.
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Właściciel – Małgorzata Witwicka, Prezes Zarządu.
- W pozostałym zakresie pojęcia, terminy i zwroty mają znaczenie nadane im w przepisach powszechnie obowiązującego prawa, w szczególności w RODO.
Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania ADO z RODO oraz powszechnie obowiązującymi przepisami prawa polskiego w zakresie ochrony danych osobowych.
Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.
2. Osoby odpowiedzialne za ochronę danych osobowych
2.1. Informacje ogólne
Za przetwarzanie danych osobowych, zapewnienie im stopnia bezpieczeństwa zgodnie z RODO oraz za stosowanie niniejszej Polityki Bezpieczeństwa odpowiada ADO, który jest odpowiedzialny za organizację i nadzór nad procesami, w których ma miejsce przetwarzanie danych osobowych, oraz osoby upoważnione w formie pisemnej przez ADO do przetwarzania danych osobowych.
2.2. Osoby upoważnione do przetwarzania danych osobowych
- Każda osoba, która uzyskała pisemne upoważnienie do przetwarzania danych osobowych, zobowiązana jest do ich ochrony w sposób zgodny z przepisami RODO, przepisów prawa polskiego dot. ochrony danych osobowych oraz Polityki Bezpieczeństwa.
- Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia lub rozwiązaniu umowy cywilnoprawnej.
3. Upoważnienie do przetwarzania danych osobowych
- Upoważnienia do przetwarzania danych osobowych nadawane są przez Właściciela.
- Do nadania upoważnienia niezbędne jest uzyskanie pozytywnej opinii Właściciela, na wniosek przekazywany w formie elektronicznej przez osobę mającą uzyskać upoważnienie.
- Upoważnienie do przetwarzania danych osobowych wymaga zachowania formy pisemnej.
- Przed uzyskaniem upoważnienia osoba mająca je uzyskać musi zostać przeszkolona przez Właściciela z przepisów prawa dotyczących ochrony danych osobowych oraz z regulacji wewnętrznych stosowanych u ADO w zakresie ochrony danych osobowych (w szczególności z niniejszej Polityki Bezpieczeństwa).
- Właściciel jest zobowiązany do prowadzenia w formie elektronicznej Rejestru osób upoważnionych do przetwarzania danych osobowych u ADO.
- Wzory upoważnienia do przetwarzania danych osobowych oraz Rejestru osób upoważnionych stanowią odpowiednio Załącznik nr 1 oraz Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa – dostępne w pełnym dokumencie do pobrania.
4. Umowy powierzenia przetwarzania danych osobowych
- Umowa powierzenia przetwarzania danych osobowych powinna zostać przygotowana w oparciu o oficjalny wzór umowy powierzenia stosowany przez ADO.
- Umowa powierzenia musi zawierać wszystkie elementy określone w RODO, w szczególności w art. 28.
- Umowa powierzenia przetwarzania danych osobowych może być przez ADO zawarta wyłącznie z takim podmiotem przetwarzającym, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz powszechnie obowiązujących przepisów prawa polskiego.
- Informacja o zawarciu takiej umowy z innym podmiotem niż partner lub osoba fizyczna wykonująca czynności agencyjne musi zostać przekazana niezwłocznie do Właściciela.
- Rejestr umów powierzenia jest prowadzony przez Właściciela.
- Umowa powierzenia jest zawierana przez Właściciela.
5. Ogólne zasady obowiązujące przy przetwarzaniu danych osobowych
- Za bezpieczeństwo przetwarzania danych osobowych indywidualną odpowiedzialność ponosi każdy pracownik oraz współpracownik ADO mający dostęp do danych osobowych.
- Pracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w ramach udzielonego upoważnienia.
- Każdy pracownik oraz współpracownik ADO jest zobowiązany do przestrzegania podstawowych zasad przetwarzania danych osobowych, zgodnie z którymi dane muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty (zgodność z prawem, rzetelność i przejrzystość);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach (ograniczenie celu);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne (minimalizacja danych);
- prawidłowe i w razie potrzeby uaktualniane (prawidłowość);
- przechowywane nie dłużej, niż jest to niezbędne (ograniczenie przechowywania);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo (integralność i poufność).
- W miejscu przetwarzania danych w formie papierowej obowiązuje polityka „czystego biurka":
- na biurku należy przechowywać tylko dokumenty niezbędne do bieżącej pracy;
- po zakończonej pracy dokumenty należy odłożyć do zamykanej szafy lub dedykowanego pomieszczenia-archiwum.
- Niszczenie brudnopisów i zbędnych kopii z danymi osobowymi musi odbywać się w sposób uniemożliwiający odczytanie treści (np. niszczarka).
- Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z czynnościami służbowymi.
- Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe, jest dopuszczalne tylko w obecności osoby upoważnionej i pod jej bezpośrednim nadzorem.
- Pracownicy zobowiązani są do zamykania na klucz pomieszczeń, w których przetwarzane są dane osobowe, zarówno podczas chwilowej nieobecności, jak i po zakończeniu pracy.
- Komputery i urządzenia mobilne wykorzystywane do przetwarzania danych osobowych muszą być zabezpieczone przynajmniej hasłem do indywidualnego konta użytkownika.
- ADO wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie dane niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.
6. Zasady postępowania w sytuacji naruszenia ochrony danych osobowych
- Każda osoba, która poweźmie wiadomość o naruszeniu bezpieczeństwa danych osobowych, jest zobowiązana niezwłocznie zgłosić ten fakt do Właściciela.
- Do czasu otrzymania dalszych instrukcji od Właściciela, osoba powiadamiająca powinna:
- niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków;
- zaniechać dalszych działań mogących utrudnić dokumentację naruszenia;
- udokumentować wstępnie zaistniałe naruszenie;
- nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia.
- Po przybyciu na miejsce naruszenia Właściciel zapoznaje się z sytuacją, dokonuje wyboru metod dalszego postępowania i wysłuchuje relacji osób związanych ze zdarzeniem.
- Po wyczerpaniu środków doraźnych Właściciel wdraża adekwatne działania naprawcze i mitygujące ryzyko wystąpienia naruszenia w przyszłości.
- Właściciel dokumentuje zaistniały przypadek naruszenia, sporządzając raport zawierający co najmniej:
- opis charakteru naruszenia ochrony danych osobowych;
- dane kontaktowe punktu kontaktowego, od którego można uzyskać informacje;
- opis możliwych konsekwencji naruszenia;
- opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu.
7. Kontrola przetwarzania i stanu zabezpieczenia danych osobowych
- Weryfikacja bieżąca i kontrola funkcjonalna jest prowadzona przez osoby, którym ADO powierzył przetwarzanie danych osobowych.
- W zakresie systemów informatycznych weryfikacja prowadzona jest przez Administratora Systemu Informatycznego (jeśli powołany) albo bezpośrednio przez Właściciela.
- Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych u ADO sprawuje Właściciel.
- Właściciel prowadzi kontrolę przy pomocy następujących mechanizmów:
- analiza nowych produktów i usług pod kątem zgodności z przepisami o ochronie danych osobowych;
- wydawanie szczegółowych wytycznych dotyczących przetwarzania danych;
- uczestnictwo w kluczowych projektach wdrożeniowych;
- przeprowadzanie lub zlecanie szkoleń;
- monitorowanie rodzaju i ilości naruszeń ochrony danych osobowych;
- kontrole doraźne w przypadku powzięcia wiadomości o naruszeniu.
- Właściciel ma prawo do kontroli podmiotów, którym powierzono przetwarzanie danych osobowych.
8. Rejestry dotyczące przetwarzanych danych osobowych
8.1. Rejestr czynności przetwarzania
ADO prowadzi w formie elektronicznej rejestr czynności przetwarzania danych osobowych, obejmujący w szczególności:
- nazwę oraz dane kontaktowe administratorów danych osobowych;
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane zostały lub zostaną ujawnione;
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa;
- planowane terminy usunięcia poszczególnych kategorii danych (jeśli możliwe).
8.2. Rejestr kategorii czynności przetwarzania
ADO prowadzi w formie elektronicznej rejestr kategorii czynności przetwarzania, obejmujący w szczególności:
- nazwę oraz dane kontaktowe podmiotów przetwarzających;
- nazwę oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający;
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
9. Zasady postępowania przy realizacji żądań praw osób, których dane dotyczą
- Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, ADO zapewnia ochronę praw i wolności osób trzecich.
- Nieprzetwarzanie. ADO informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
- Odmowa. ADO informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
- Dostęp do danych. Na żądanie osoby dotyczące dostępu do jej danych, ADO informuje osobę, czy przetwarza jej dane, oraz udziela dostępu do danych jej dotyczących zgodnie z art. 15 RODO.
- Kopie danych. Na żądanie ADO wydaje osobie kopię danych jej dotyczących. Za kolejne kopie ADO może pobrać opłatę.
- Sprostowanie danych. ADO dokonuje sprostowania nieprawidłowych danych na żądanie osoby.
- Uzupełnienie danych. ADO uzupełnia i aktualizuje dane na żądanie osoby, o ile nie jest to niezgodne z celami przetwarzania.
- Usunięcie danych. Na żądanie osoby ADO usuwa dane, gdy:
- dane nie są już niezbędne do celów, w których zostały zebrane;
- zgoda na przetwarzanie została cofnięta;
- osoba wniosła skuteczny sprzeciw;
- dane były przetwarzane niezgodnie z prawem;
- konieczność usunięcia wynika z obowiązku prawnego.
- Ograniczenie przetwarzania. ADO dokonuje ograniczenia przetwarzania na żądanie osoby.
- Przenoszenie danych. Na żądanie osoby ADO wydaje dane w ustrukturyzowanym, powszechnie używanym formacie lub przekazuje innemu podmiotowi.
- Sprzeciw. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych na potrzeby marketingu bezpośredniego, ADO uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
- Prawo do ludzkiej interwencji. Jeżeli ADO przetwarza dane w sposób automatyczny (w tym profilowanie), ADO zapewnia możliwość odwołania się do interwencji i decyzji człowieka.
- Wszystkie żądania realizacji praw osób powinny być przekazane niezwłocznie do Inspektora Ochrony Danych Osobowych (jeżeli zostanie powołany) lub bezpośrednio do Właściciela.
10. Zasady dotyczące przechowywania, monitorowania i przestrzegania okresów retencji danych
- Dane osobowe mogą być przetwarzane i przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których zostały pozyskane.
- Po realizacji ostatniego z celów, dla którego dane zostały pozyskane, dane powinny zostać niezwłocznie usunięte lub zanonimizowane.
- Za weryfikację bieżącą i kontrolę funkcjonalną danych przetwarzanych w postaci papierowej odpowiada osoba upoważniona przez zarząd.
- Za weryfikację bieżącą i kontrolę funkcjonalną danych przetwarzanych odpowiada Właściciel.
- Za określenie okresów retencji dla poszczególnych celów i podstaw przetwarzania danych osobowych odpowiada Właściciel.
11. Zasady dokonywania oceny skutków dla ochrony danych osobowych
- Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania dokonuje się oceny skutków dla ochrony danych i dokumentuje jej wynik.
- Wynik oceny wraz z rozwiązaniem biznesowym musi zostać zatwierdzony przez ADO.
- Ocena musi zawierać w szczególności:
- opis planowanych operacji przetwarzania i celów przetwarzania;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- środki planowane w celu zaradzenia ryzyku.
12. Środki bezpieczeństwa (rozwiązania organizacyjne i techniczne)
Wykaz środków bezpieczeństwa niezbędnych dla zapewnienia poufności i integralności przetwarzanych danych osobowych:
Część I – Rozwiązania organizacyjne
- Do przetwarzania danych osobowych dopuszczane są wyłącznie osoby posiadające pisemne upoważnienie.
- Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
- Wdrożono Politykę Bezpieczeństwa dot. ochrony danych osobowych.
- Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
- Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy.
- Wprowadzono politykę haseł.
- Wprowadzono politykę „czystego biurka".
- Wprowadzono obowiązek regularnego testowania i oceniania skuteczności środków technicznych i organizacyjnych.
Część II – Rozwiązania techniczne
- Monitory komputerów ustawione są w sposób uniemożliwiający wgląd osobom postronnym. Obowiązuje blokowanie klawiatury przy odejściu od komputera. Zakaz korzystania z niezabezpieczonych sieci publicznych (wi-fi).
- Dane osobowe zapisywane na dyskach fizycznych są szyfrowane.
- Przy połączeniach do aplikacji webowych stosowany jest protokół HTTPS.
- Wiadomości e-mail zawierające dane osobowe są szyfrowane.
- Urządzenia mobilne, na których incydentalnie przetwarzane są dane osobowe, zabezpieczane są co najmniej hasłem.
- Urządzenia mobilne z szerokim zakresem przetwarzania danych osobowych zabezpieczane są co najmniej dodatkowym hasłem do aplikacji, a w przypadku przechowywania danych – szyfrowane.
- Wprowadzono obowiązek usuwania danych osobowych na urządzeniach, na których nie można wprowadzić zabezpieczeń.
- Ograniczono uprawnienia do instalacji oprogramowania na komputerach służbowych.
- Zapewniono ciągłość poufności, integralności, dostępności i odporności systemów służących do przetwarzania danych.
- Wprowadzono okresy retencji i usuwania danych oraz zapewniono monitorowanie tych okresów.
13. Załączniki
Pełna treść załączników dostępna jest w dokumencie do pobrania:
- Załącznik nr 1 – Wzór upoważnienia do przetwarzania danych osobowych wraz ze zobowiązaniem do zachowania poufności
- Załącznik nr 2 – Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych