Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

 

a) Zasady ogólne:

 

• Dane osobowe w systemach informatycznych może przetwarzać jedynie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych.
• Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła.
• Identyfikator jest przypisany użytkownikowi. Użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał.
• Rozpoczęcie pracy użytkownika w systemie informatycznym obejmuje wprowadzenie identyfikatora i hasła, przy czym należy zachować poufność tego procesu.

 

b) Środki organizacyjne:

 

Do zastosowanych przez ADO i osoby przez niego upoważnione środków organizacyjnych służących zapewnieniu poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych należy:

• opracowanie i wdrożenie „Polityki ochrony danych osobowych”,
• wyznaczenie przez ADO Inspektora Ochrony Danych (IOD) i nadanie mu upoważnienia do przetwarzania danych osobowych,
• nadanie przez ADO członkom organów organizacji, pracownikom, współpracownikom, wolontariuszom, praktykantom i stażystom organizacji upoważnień do przetwarzania danych osobowych,
• nadawanie przez ADO pracownikom i współpracownikom organizacji upoważnień do przetwarzania danych osobowych w związku z realizacją projektów/zadań, w których organizacja będzie partnerem [niezależnie od tego, czy lider projektu/zadania (realizator) udzieli takiego upoważnienia, czy też nie],
• nadawanie przez ADO pracownikom i współpracownikom organizacji upoważnień do przetwarzania danych osobowych w pozostałych przypadkach przetwarzania danych osobowych występujących w organizacji,
• prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych,
• kontrola dostępu do pomieszczeń, w których przetwarzane są dane osobowe,
• sprawowanie przez IOD kontroli i nadzoru nad procesem wprowadzania danych osobowych do zbioru oraz ich udostępniania ( w przypadku powołania przez Zarząd).

 

Dane osobowe przetwarzanych w formie papierowej stosuje się zabezpieczenia polegające na przechowywaniu dokumentacji bieżącej – np. w szafach zamykanych na zamki lub kłódki w obszarach przetwarzania danych osobowych.

 

c) Środki techniczne:

 

Do zastosowanych przez ADO w organizacji środków technicznych służących zapewnieniu poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych należy:

W przypadku zewnętrznych (obcych) systemów informatycznych dla potrzeb bieżącego użytkowania i przesyłania danych stosowane są zabezpieczenia podmiotów, którym przekazywane są dane:

• „Płatnik” (program ZUS) – organizacja posiada certyfikowany publiczny klucz dostępu do tego programu wydany na czas określony, ponadto co 30 dni zmieniane jest hasło dostępu do programu (program przypomina o upływie terminu ważności hasła), co daje gwarancję zachowania poufności danych, a także stanowi ograniczony krąg osób upoważnionych do jego obsługi (Główny Księgowy).
•  „Mała Księgowość Rzeczospolitej” - dostęp do programu chroniony jest wymogiem podania loginu i hasła, co daje gwarancję zachowania poufności danych, a także stanowi także ograniczony krąg osób upoważnionych do jego obsługi (Główny Księgowy)
• „System FK – Softmar MM” - dostęp do programu chroniony jest wymogiem podania loginu i hasła, co daje gwarancję zachowania poufności danych, a także stanowi także ograniczony krąg osób upoważnionych do jego obsługi (Główny Księgowy)
• Przelewy bankowe i międzybankowe – strony internetowe banków, w których ADO posiada rachunki wymagają podania loginu i hasła, a każda osoba upoważniona do dokonywania przelewów posiada indywidualny klucz dostępu, co daje gwarancję zachowania poufności danych stanowi, a także ograniczony krąg osób upoważnionych do jego obsługi (Prezes Izby, Główny Księgowy).
• EWR ( Egzaminy w Rzemiośle) dostęp do programu chroniony jest wymogiem podania loginu i hasła, co daje gwarancję zachowania poufności danych a także stanowi także ograniczony krąg osób upoważnionych do jego obsługi (IOD, pracownicy działu oświaty)

 

Sposób przepływu danych pomiędzy poszczególnymi systemami.

 

Wszystkie systemy informatyczne są systemami odrębnymi i nie współpracują ze sobą.

 

Podstawy prawne przetwarzania danych osobowych

Przetwarzanie danych osobowych dopuszczalne jest tylko wtedy, gdy:

• osoba, której dane dotyczą, wyrazi zgodę na przetwarzanie danych osobowych w jednym lub w większej ilości określonych celów;
• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku prawnego ciążącego na Administratorze;
• jest niezbędne do ochrony żywotnych interesów osoby której dane dotyczą;
• jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 

Przetwarzanie danych wrażliwych

W Lubuskiej Izbie Rzemieślniczej w Gorzowie Wlkp. nie przetwarza się danych osobowych – poza uzasadnionymi przypadkami przetwarzania danych o stanie zdrowia – danych wrażliwych (sensytywnych), do których należy przetwarzanie danych o stanie zdrowia: pracowników organizacji – przetwarzanie danych wynika z odrębnych przepisów prawa i dotyczy obowiązku przeprowadzenia badań lekarskich wstępnych (przed zawarciem umowy o pracę) oraz badań lekarskich okresowych (wykonywanych w trakcie trwania zatrudnienia) i badań lekarskich pochorobowych (wykonywanych w trakcie trwania zatrudnienia, przed powrotem do pracy po nieobecności spowodowanej długotrwałym zwolnieniem lekarskim).

Realizacja praw osób, których dane dotyczą.

Osoby fizyczne, dane dotyczą mają prawo do:

 

1. dostępu do swoich własnych danych;
2. przenoszenia danych;
3. bycia zapomnianym;
4. informacji o przechwyceniu danych osobowych;
5. sprostowania danych;
6. usunięcia danych;
7. ograniczenia przetwarzania;
8. sprzeciwu;
9. Prawo do wycofania zgody.

 

Lubuska Izba Rzemieślnicza w Gorzowie Wlkp.  będzie realizowała wszystkie prawa osób, których dane dotyczą zgodnie przepisami obowiązującymi w tym zakresie. Jednak należy pamiętać że każdy wniosek należy traktować indywidualnie.

Prawo dostępu przysługujące osobie, której dane dotyczą.

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące.

Jeżeli ADO przetwarza dane to osoba której dane dotyczą ma prawo do uzyskania dostępu do nich oraz następujących informacji:

a) cele przetwarzania;

b) kategorie odnośnych danych osobowych;

c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f) informacje o prawie wniesienia skargi do organu nadzorczego;

g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach.

Informacja przekazywana jest w obopólnie ustalonej formie.

Prawo do sprostowania danych.

Osoba, której dane dotyczą, ma prawo żądania od ADO niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Prawo do usunięcia danych („prawo do bycia zapomnianym”).

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO, i nie ma innej podstawy prawnej przetwarzania;

c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d) dane osobowe były przetwarzane niezgodnie z prawem;

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

Administratorowi musi usunąć dane osobowe, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

 

Prawo do ograniczenia przetwarzania.

Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d) osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Prawo do sprzeciwu.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów.

Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.

Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.

Zautomatyzowane podejmowanie decyzji, w tym profilowanie.

 

Nie przetwarzane są dane w sposób zautomatyzowany

Prawo do przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:

a) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b);

b) przetwarzanie odbywa się w sposób zautomatyzowany.

2.Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

3.Wykonanie prawa, o którym mowa w ust. 1 niniejszego artykułu, pozostaje bez uszczerbku dla art. 17. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

4.Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych

Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania.

Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

Prawo do wycofania zgody

Działanie możliwe do podjęcia w przypadku kiedy zgoda na przetwarzanie danych osobowych ostała wyrażona na podstawie art. 6 ust. 1 lit a lub art. 9 ust. 2 lit. a). Po wniesieniu żądania ADO nie może przetwarzać danych.

 

Przetwarzanie danych osobowych powierzonych przez ADO przez inne podmioty.

Możliwe jest przetwarzanie przez ADO danych osobowych powierzonych przez inny podmiot (Administrator/Zleceniodawcę). W takim przypadku, przetwarzanie danych osobowych odbywa się na podstawie umowy pomiędzy ADO a Zleceniodawcą zawartej w formie pisemnej. Umowa ta musi zawierać ściśle określony zakres przetwarzanych danych. Przetwarzanie danych możliwe jest tylko w ustalonym przez umowę zakresie. Zawarcie umowy następuje w formie pisemnej poprzez złożenie podpisu na formularzu wykonania usługi informacyjnej, notatce z pierwszego spotkania z klientem lub podpisanie odrębnej umowy dot. przetwarzania danych osobowych.

Powierzone dane podlegają ochronie na takich samych zasadach jak dane będące własnością ADO, chyba, że umowa określi inne zasady ochrony danych osobowych. W szczególności może dotyczyć to nadawania uprawnień do przetwarzania danych osobowych.

Dostęp do powierzonych danych osobowych z sieci zewnętrznej (np. siedziby Zleceniodawcy) musi odbywać się z zachowaniem odpowiednich zabezpieczeń. W przypadku danych elektronicznych, dostęp do nich musi być chroniony identyfikatorem oraz hasłem, a połączenie sieciowe realizujące dostęp do danych musi być odpowiednio szyfrowane.

 

NARUSZENIE DANYCH OSOBOWYCH – ANALIZA SZACUNKOWA RYZYKA

1. Podział zagrożeń:

1) Zagrożenia losowe

- zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu) – ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu – ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych.

- wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania) – może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych.

2) Zagrożenia świadome i celowe naruszenia poufności.

Zagrożenia te możemy podzielić na:

a) nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu),

b) nieuprawniony dostęp do systemu z jego wnętrza,

c) nieuprawniony przekaz danych,

d) pogorszenie jakości sprzętu i oprogramowania,

e) bezpośrednie zagrożenie materialnych składników systemu.

 

2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to głównie:

1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. wybuch gazu, pożar, zalanie pomieszczeń, itp.;

2) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje;

3) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych, sabotaż;

4) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu;

5) pogorszenie jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie;

6) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie;

7) stwierdzona próba modyfikacji lub modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia (autoryzacji);

8) niedopuszczalna manipulacja danymi osobowymi w systemie;

9) ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedury ochrony przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń;

10) celowe odstępstwa od zasad bezpieczeństwa pracy w systemie lub sieci komputerowej wskazujące na przełamanie lub zaniechanie ochrony danych osobowych – np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi

11) istnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki” itp.;

12) podmiana lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia, jak również skasowanie lub skopiowanie w sposób niedozwolony danych osobowych;

13) rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, niezamknięcie pomieszczenia z komputerem, niewykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych itp.).

3. Za naruszenie ochrony danych uważa się również nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych, tj. na papierze (wydrukach), kliszy, folii, zdjęciach, nośnikach elektronicznych w formie niezabezpieczonej itp.

Inne przykłady naruszenia ochrony danych osobowych

1. Użytkownik zobowiązany jest do powiadomienia ADO w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych;
2. Typowe sytuacje, gdy użytkownik powinien powiadomić ADO:
   1. ślady na drzwiach, oknach i szafach wskazują na próbę włamania;
   2. dokumentacja jest niszczona bez użycia niszczarki;
   3. fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie ;
   4. otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe;
   5. ustawienie monitorów pozwala na wgląd osób postronnych na dane osobowe;
   6. wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz organizacji bez upoważnienia ABI;
   7. udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej;
   8. telefoniczne próby wyłudzenia danych osobowych;
   9. kradzież komputerów lub CD, twardych dysków, Pen-drive z danymi osobowymi;
   10. maile zachęcające do ujawnienia identyfikatora i/lub hasła;
   11. pojawienie się wirusa komputerowego lub niestandardowe zachowanie ;

 

Procedura działań korygujących i zapobiegawczych.

1. Celem procedury jest uporządkowanie i przedstawienie czynności związanych z: inicjowaniem oraz realizacją działań korygujących i zapobiegawczych wynikających z zaistnienia incydentów bezpieczeństwa lub zagrożeń systemu ochrony danych osobowych.
2. Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność z wymaganiami stawy o Ochronie Danych Osobowych, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych.
3. Osobą odpowiedzialną za nadzór nad procedurą jest ADO.

 

Opis czynności

1. ADO jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach są:

• zgłoszenia od pracowników;
• wiedza ADO;
• wyniki kontroli;
• alerty systemów.

2. W przypadku, gdy ADO stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa: źródło powstania incydentu lub zagrożenia, zakres działań korygujących lub zapobiegawczych, termin realizacji, osobę odpowiedzialną
3. ADO jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych.
4. Po przeprowadzeniu działań korygujących lub zapobiegawczych, ADO jest zobowiązany do oceny efektywności ich zastosowania.

 

 

Szkolenia użytkowników

1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być zapoznany z polityką ochrony danych osobowych.
2.  Za przeprowadzenie szkolenia lub zapoznania polityką ochrony danych osobowych odpowiada ADO.
3. Zakres zaznajomienia powinien obejmować przepisy ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz dokumentacją ochrony danych osobowych, obowiązującą u Administratora Danych, a także zobowiązanie się do ich przestrzegania.
4. Po zapoznaniu się z polityką ochrony danych osobowych, użytkownik zobowiązany jest do podpisania Oświadczenia użytkownika o poufności
5. Dokument ten jest przechowywany w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im  uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.

 

 

Procedury w przypadku naruszenia ochrony danych osobowych

Każdy pracownik biorący udział w przetwarzaniu danych osobowych jest odpowiedzialny za bezpieczeństwo tych danych.

1. W przypadku stwierdzenia :

• naruszenia zabezpieczeń systemu informatycznego,
• naruszenia technicznego stanu urządzeń,
• naruszenia zawartości zbioru danych osobowych,
• ujawnienia metody pracy lub sposobu działania programu,
• jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
• innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.)

każda osoba zatrudniona przy przetwarzaniu danych osobowych jest zobowiązana niezwłocznie powiadomić o tym fakcie IOD (jeżeli został powołany przez Zarząd Izby). W przypadku niepowołania IDO jest zobowiązana niezwłocznie powiadomić Dyrektora Izby.

2. W razie niemożliwości zawiadomienia ABI lub osoby przez niego upoważnionej, należy powiadomić bezpośredniego przełożonego.

3. Do czasu przybycia na miejsce naruszenia danych osobowych Dyrektora Izby lub w przypadku powołania IOD lub upoważnionej przez niego osoby, należy:

• niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia – o ile istnieje taka możliwość – a następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców naruszenia danych osobowych;
• udokumentować wstępnie zaistniałe naruszenie;
• nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia ABI lub osoby przez niego upoważnionej.

4. Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, ABI lub osoba przez niego upoważniona:

• zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania, mając na uwadze ewentualne zagrożenia dla prawidłowości pracy organizacji;
• może żądać dokładnej relacji z zaistniałego naruszenia lub ujawnienia ochrony danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem;
• rozważa celowość i potrzebę powiadomienia o zaistniałym naruszeniu lub ujawnieniu ochrony danych osobowych ADO;
• nawiązuje bezpośredni kontakt – jeżeli zachodzi taka potrzeba – ze specjalistami spoza organizacji.

5. Po wyczerpaniu niezbędnych środków doraźnych związanych z zaistniałym naruszeniem/ujawnieniem ochrony danych osobowych, ADO zasięga niezbędnych opinii i proponuje postępowanie naprawcze, w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych.

6. ADO dokumentuje zaistniały przypadek naruszenia lub ujawnienia ochrony danych osobowych oraz sporządza raport, który powinien zawierać w szczególności:

a) wskazanie osoby powiadamiającej oraz innych osób zaangażowanych lub odpytywanych w związku z naruszeniem lub ujawnieniem ochrony danych osobowych;

b) określenie czasu i miejsca: naruszenia/ujawnienia i powiadomienia o tym fakcie;

c) określenie okoliczności towarzyszących i rodzaju naruszenia/ujawnienia;

d) wyszczególnienie wziętych faktycznie pod uwagę przesłanek do wyboru metody postępowania i opis podjętego działania;

e) wstępną ocenę przyczyn wystąpienia naruszenia/ujawnienia;

f) ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego.

7. Zaistniałe naruszenie/ujawnienie ochrony danych osobowych może stać się przedmiotem szczegółowej analizy prowadzonej przez ADO.

8. Analiza, o której mowa w pkt. 7, powinna zawierać:

a) wszechstronną ocenę zaistniałego naruszenia/ujawnienia ochrony danych osobowych;

b) wskazanie odpowiedzialnych;

c) wnioski co do ewentualnych przedsięwzięć: proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom/ujawnieniom w przyszłości.

10. Po dokonaniu czynności sprawdzających oraz po przeprowadzeniu analizy naruszenia danych osobowych, sporządza się protokół.

 

 

UWAGA!

Jeśli analiza wykaże naruszenie stanowiące rzeczywiste zagrożenie dla dóbr i wolności osób, których dane dotyczą to Administrator danych osobowych oraz podmioty przetwarzające dane osobowe mają obowiązek zgłaszania naruszeń ochrony danych. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie wyznaczony czas dołącza się wyjaśnienie przyczyn opóźnienia.

Zgłoszenie musi  najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze

 

PROCEDURY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Zasady bezpiecznego użytkowania sprzętu stacjonarnego IT

1. Sprzęt IT służący do przetwarzania zbioru danych osobowych składa się z komputerów stacjonarnych, serwera, drukarek;
2. W przypadku laptopów wykorzystywanych do celów służbowych powinny one być szyfrowane.
3. Użytkownik zobowiązany jest korzystać ze Sprzętu IT w sposób zgodny z jego przeznaczeniem i chronić go przed jakimkolwiek zniszczeniem lub uszkodzeniem;
4. Użytkownik zobowiązany jest do zabezpieczenia Sprzętu IT przed dostępem osób nieupoważnionych a w szczególności zawartości ekranów monitorów;
5. Użytkownik ma obowiązek natychmiast zgłosić zagubienie, utratę lub zniszczenie powierzonego mu Sprzętu IT;
6. Samowolne otwieranie (demontaż) Sprzętu IT, instalowanie dodatkowych urządzeń (np. twardych dysków, pamięci) do lub podłączanie jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego jest zabronione;
7. Naprawy urządzeń IT prowadzone są jedynie na podstawie umowy powierzenia z wybraną firmą serwisową.

 

Procedury korzystania z komputerów przenośnych, na których są przetwarzane dane osobowe

Przetwarzanie danych osobowych przy użyciu komputerów przenośnych może odbywać się wyłącznie za zgodą ADO. Zakres danych przetwarzanych na komputerze przenośnym oraz zakres uprawnień do przetwarzanych danych ustala przełożony pracownika (w przypadku powołania IDO również za wiedzą i zgodą IOD).

Osoba korzystająca z komputera przenośnego w celu przetwarzania danych osobowych zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem. Użytkownik komputera przenośnego zobowiązany jest do:

• transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia, a w szczególności:
• transportowania komputera w bagażu podręcznym,
• nie pozostawiania komputera w samochodzie, przechowalni bagażu, itp,
• zaleca się przenoszenie komputera w torbie przeznaczonej do przenoszenia komputerów przenośnych.
• korzystania z komputera w sposób minimalizujący ryzyko podejrzenia przetwarzanych danych przez osoby nieupoważnione, w szczególności zabrania się korzystania z komputera w miejscach publicznych i w środkach transportu publicznego,
• nie zezwalania osobom nieupoważnionym do korzystania z komputera przenośnego, na którym przetwarzane są dane osobowe,
• zabezpieczania komputera przenośnego hasłem,
• blokowanie dostępu do komputera przenośnego w przypadku gdy nie jest on wykorzystywany przez pracownika,
• kopiowanie danych osobowych przetwarzanych na komputerze przenośnym do systemu informatycznego w celu umożliwienia wykonania kopii awaryjnej tych danych,
• bieżącą aktualizację baz wirusowych programu antywirusowego zainstalowanego na komputerze przenośnym
• utrzymanie konfiguracji oprogramowania systemowego w sposób wymuszający korzystanie z haseł,
• wykorzystywanie haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe,
• zmianę haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe.

 

ADO zobowiązany jest do podjęcia działań mających na celu zabezpieczenie komputerów przenośnych, w szczególności aby:

 

• dokonano konfiguracji oprogramowania na komputerach przenośnych w sposób wymuszający korzystanie z haseł, wykorzystywanie haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe oraz wymuszającym okresową zmianę haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe,
• zabezpieczono dane osobowe przetwarzane na komputerach przenośnych poprzez zastosowanie oprogramowania szyfrującego te dane. Dostęp do danych jest możliwy wyłącznie po podaniu tego hasła,
• dokonano instalacji i konfiguracji oprogramowania antywirusowego na komputerze przenośnym,
• przeprowadzono aktualizację wzorców wirusów zgodnie z zasadami zarządzania programem antywirusowym.

 

ADO jest odpowiedzialny za prowadzenie ewidencji komputerów przenośnych wykorzystywanych do przetwarzania danych osobowych.

W razie zgubienia lub kradzieży pracownik zobowiązany jest do natychmiastowego powiadomienia ADO lub osoby uprawnionej zgodnie z zasadami informowania o naruszeniu ochrony danych osobowych.

 

Zasady korzystania z oprogramowania

1. Użytkownik zobowiązuje się do korzystania wyłącznie z oprogramowania objętego prawami autorskimi;
2. Użytkownik nie ma prawa kopiować oprogramowania zainstalowanego na Sprzęcie IT przez Pracodawcę / Zleceniodawcę na swoje własne potrzeby ani na potrzeby osób trzecich;
3. Instalowanie jakiegokolwiek oprogramowania na Sprzęcie IT  może być dokonane wyłącznie przez osobę upoważnioną;
4. Użytkownicy nie mają prawa do instalowania ani używania oprogramowania innego, niż przekazane lub udostępnione im przez Pracodawcę / Zleceniodawcę. Zakaz dotyczy między innymi instalacji oprogramowania z zakupionych dyskietek, płyt CD, programów ściąganych ze stron internetowych, a także odpowiadania na samoczynnie pojawiające się reklamy internetowe;
5. Użytkownicy nie mają prawa do zmiany parametrów systemu, które mogą być zmienione tylko przez osobę upoważnioną;
6. W przypadku naruszenia któregokolwiek z powyższych postanowień Pracodawca / Zleceniodawca ma prawo niezwłocznie i bez uprzedzenia usunąć nielegalne lub niewłaściwie zainstalowane oprogramowanie;

 

Zasady korzystania z internetu

1. Użytkownik zobowiązany jest do korzystania z internetu wyłącznie w celach służbowych;
2. Zabrania się zgrywania na dysk twardy komputera oraz uruchamia jakichkolwiek programów nielegalnych oraz plików pobranych z niewiadomego źródła. Pliki takie powinny być ściągane tylko za każdorazową zgodą Administratora Bezpieczeństwa Informacji i tylko w uzasadnionych przypadkach;
3. Użytkownik ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie instalowane z Internetu;
4. Zabrania się wchodzenia na strony, na których prezentowane są informacje o charakterze przestępczym, hakerskim, pornograficznym, lub innym zakazanym przez prawo (na większości stron tego typu jest zainstalowane szkodliwe oprogramowanie, infekujące w sposób automatyczny system operacyjny komputera szkodliwym oprogramowaniem);
5. Nie należy w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł;
6. W przypadku korzystania z szyfrowanego połączenia przez przeglądarkę, należy zwracać uwagę na pojawienie się odpowiedniej ikonki (kłódka) oraz adresu www rozpoczynającego się frazą”https:”;
7. Należy zachować szczególną ostrożność w przypadku żądania lub prośby podania kodów, PIN-ów, numerów kart płatniczych przez Internet. Szczególnie tyczy się to żądania podania takich informacji przez rzekomy bank;
8. Użytkownicy mogą także korzystać z internetu dla celów prywatnych, ale wyłącznie okazjonalnie i powinno być ono ograniczone do niezbędnego minimum;
9. Korzystanie z Internetu dla celów prywatnych nie może wpływać na jakość i ilość świadczonej przez Użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez niego obowiązków służbowych, a także na wydajność systemu informatycznego Pracodawcy / Zleceniodawcy;
10. Przy korzystaniu z internetu, Użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego;
11. W zakresie dozwolonym przepisami prawa, Pracodawca / Zleceniodawca zastrzega sobie prawo kontrolowania sposobu korzystania przez Użytkownika z internetu pod kątem wyżej opisanych zasad;
12. Ponadto, w uzasadnionym zakresie, Pracodawca / Zleceniodawca zastrzega sobie prawo kontroli czasu spędzanego przez Użytkownika w internecie;
13. Pracodawca może również blokować dostęp do niektórych treści dostępnych przez internet.

 

Zasady korzystania z poczty elektronicznej

1. Do przesyłania służbowej poczty elektronicznej korzystamy wyłącznie z adresów firmy.
2. Przesyłanie danych osobowych z użyciem maila poza organizację może odbywać się tylko przez osoby do tego upoważnione;
3. W przypadku przesyłania informacji wrażliwych wewnątrz organizacji bądź wszelkich danych osobowych poza organizację należy wykorzystywać mechanizmy kryptograficzne (hasłowanie wysyłanych plików, podpis elektroniczny);
4. W przypadku zabezpieczenia plików hasłem, obowiązuje minimum 8 znaków: duże i małe litery i cyfry lub znaki specjalne a hasło należy przesłać odrębnym  mailem lub inną metodą, np. telefonicznie lub SMS-em;
5. Użytkownicy powinni zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu;
6. Zaleca się, aby użytkownik podczas przesyłania danych osobowych mailem zawarł w treści prośbę o potwierdzenie otrzymania i zapoznania się z informacją przez adresata;
7. Nie należy otwierać załączników (plików) w mailach nadesłanych przez nieznanego nadawcę lub podejrzanych załączników nadanych przez znanego nadawcę;
8. Użytkownicy nie powinni rozsyłać za pośrednictwem maila informacji o zagrożeniach dla systemu informatycznego, „łańcuszków szczęścia", itp.;
9. Użytkownicy nie powinni rozsyłać, maili zawierających załączniki o dużym rozmiarze;
10. Użytkownicy powinni okresowo kasować niepotrzebne maile;
11. Podczas wysyłania maili do wielu adresatów jednocześnie, należy użyć  metody „Ukryte do wiadomości – UDW”;
12. Email jest przeznaczony wyłącznie do wykonywania obowiązków służbowych
13. Użytkownicy nie mają  prawa do korzystania z adresu  emaila służbowego dla celów prywatnych;
14. Przy korzystaniu z maila, Użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego;
15. Użytkownicy nie mają prawa korzystać z maila w celu rozpowszechniania treści o charakterze obraźliwym, niemoralnym lub niestosownym wobec powszechnie obowiązujących zasad postępowania;
16. Użytkownik bez zgody Pracodawcy / Zleceniodawcy nie ma prawa wysyłać wiadomości zawierających dane osobowe dotyczące Pracodawcy / Zleceniodawcy, jego pracowników, klientów, dostawców lub kontrahentów za pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej.

 

Zasady korzystania z telefonów komórkowych, smartonów i innych podobnych urządzeń.

1. Do przesyłania służbowej poczty elektronicznej korzystamy wyłącznie z urządzeń stanowiących własność firmy.
2. Przesyłanie danych osobowych z użyciem funkcji sms jest zabronione;
3. Użytkownicy powinni zwracać szczególną uwagę na poprawność numeru tel odbiorcy wiadomości;
4. Telefon służbowy przeznaczony jest wyłącznie do wykonywania obowiązków służbowych
5. Jeśli z telefonu odbieramy pocztę służbową postępujemy podobnie jak w przypadku wiadomości email.

 

Ochrona antywirusowa

1. Użytkownicy zobowiązani są do skanowania plików wprowadzanych z  zewnętrznych nośników programem antywirusowym
2. Zakazane jest  wyłączanie systemu antywirusowego podczas pracy systemu informatycznego przetwarzającego dane osobowe
3. W przypadku stwierdzenia zainfekowania systemu, użytkownik obowiązany jest poinformować niezwłocznie o tym fakcie Informatyka lub osobę upoważnioną.

 

Procedury w takcie walidacji i certyfikacji

1. Wszyscy członkowie zespołu egzaminacyjnego mają obowiązek dbać o bezpieczeństwo danych kandydatów do egzaminu;
2. Wszyscy członkowie zespołu egzaminacyjnego muszą posiadać upoważnienia do przetwarzania danych osobowych nadane przez Izbę;
3. W trakcie walidacji nie można ujawniać danych kandydatów do egzaminu, należy zachować ich poufność (pamiętać należy, że karta odpowiedzi egzaminu pisemnego zawierające notatki kandydata jest traktowana jako dane osobowe);
4. Informację o otrzymanej ocenie kandydat musi otrzymać przy zachowaniu poufności (najlepiej podczas podpisania protokołu indywidualnego;
5. Listy kandydatów wywieszane w miejscach ogólnodostępnych muszą być pseudonimizowane;
6. Dyplom, świadectwo, zaświadczenie stanowią własność osoby, której dane dotyczą i nie można ich wykorzystywać bez jej zgody;

 

Nadawanie upoważnień i uprawnień do przetwarzania danych osobowych

1. Za nadawanie upoważnień odpowiada  i nadaje ADO
2. Każdy użytkownik systemu przed nadaniem upoważnienia musi:
   1. zapoznać się z niniejszym regulaminem
   2. odbyć szkolenie z zasad ochrony danych osobowych
   3. podpisać Oświadczenie o poufności
3. ADO nadaje pisemne upoważnienia Pracownikom i Zleceniobiorcom (w tym Członkom Komisji Egzaminacyjnych)
4. Upoważnienie nadawane jest do zbiorów w wersji papierowej i elektronicznej
5. W przypadku, gdy upoważnienie udzielane jest do zbioru w wersji elektronicznej, nadawany jest użytkownikowi identyfikator w systemie
6. W przypadku anulowania upoważnienia, identyfikator użytkownika jest blokowany w systemie
7.  ADO odpowiada za aktualizację i anulowanie Upoważnień

Polityka haseł

1. Hasło dostępu do zbioru danych składa się co najmniej z 8 znaków (dużych i małych liter oraz z cyfr lub znaków specjalnych);
2. Zmiana hasła do systemu następuje nie rzadziej, niż co 30 dni oraz niezwłocznie w przypadku podejrzenia, że hasło mogło zostać ujawnione;
3. Jeżeli zmiany hasła nie wymusza system, wówczas do zmiany hasła zobowiązany jest użytkownik;
4. Użytkownik systemu w trakcie pracy w aplikacji może zmienić swoje hasło;
5. Hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów;
6. Użytkownik zobowiązuje się do zachowania hasła w poufności, nawet po utracie przez nie ważności;
7. Zabronione jest zapisywanie haseł w sposób jawny oraz przekazywanie ich innym osobom.

 

Procedura rozpoczęcia, zawieszenia i zakończenia pracy

1. Użytkownik rozpoczyna pracę z systemem informatycznym przetwarzającym dane osobowe z użyciem identyfikatora i hasła;
2. Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym (np. klientom, pracownikom innych działów) wgląd do danych wyświetlanych na monitorach komputerowych – tzw. Polityka czystego ekranu;
3. Przed czasowym opuszczeniem stanowiska pracy, użytkownik zobowiązany jest wywołać blokowany hasłem wygaszacz ekranu lub wylogować się z systemu;
4. Po zakończeniu pracy, użytkownik zobowiązany jest:
   1. wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy;
   2. zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację oraz nośniki magnetyczne i optyczne, na których znajdują się dane osobowe.

 

Postępowanie z elektronicznymi nośnikami zawierającymi dane osobowe

1. Elektroniczne nośniki, to: Wymienne twarde dyski, pen-drive, płyty CD, DVD, pamięci typu Flash;
2. Użytkownicy nie mogą wynosić na zewnątrz organizacji wymiennych elektronicznych nośników informacji z zapisanymi danymi osobowymi bez zgody Pracodawcy / Zleceniodawcy;
3. Dane osobowe wynoszone poza organizację muszą być zaszyfrowane;
4. W przypadku uszkodzenia lub zużycia nośnika zawierającego dane osobowe, należy dokonać jego fizycznego zniszczenia lub trwałego usunięcia znajdujących się na nim danych;
5. Przekazywanie nośników z danymi osobowymi powinno być przeprowadzane z uwzględnieniem zasad bezpieczeństwa. Adresat powinien zostać powiadomiony o przesyłce, zaś nadawca powinien sporządzić kopię przesyłanych danych. Adresat powinien powiadomić nadawcę o otrzymaniu przesyłki. Jeżeli nadawca nie otrzymał potwierdzenia, zaś adresat twierdzi, że nie otrzymał przesyłki, użytkownik będący nadawcą powinien poinformować o zaistniałej sytuacji Administratora Bezpieczeństwa Informacji;

 

Postępowanie z danymi osobowymi w wersji papierowej

1. Za bezpieczeństwo dokumentów i wydruków zawierających dane osobowe odpowiedzialne są osoby upoważnione (użytkownicy);
2. Dokumenty i wydruki zawierające dane osobowe przechowuje się w pomieszczeniach zabezpieczonych fizycznie przed dostępem osób nieupoważnionych;
3. Użytkownicy są zobowiązani do stosowania „polityki czystego biurka”. Polega ona na zabezpieczaniu dokumentów np. w szafach, biurkach, pomieszczeniach przed kradzieżą lub wglądem osób nieupoważnionych;
4. Użytkownicy zobowiązani są do przewożenia dokumentów w sposób zapobiegający ich kradzieży, zagubieniu lub utracie;
5. Użytkownicy zobowiązani są do niszczenia dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania.

 

Zapewnienie poufności danych osobowych

1. Użytkownik zobowiązany jest do zachowania w tajemnicy danych osobowych, do których ma lub będzie miał dostęp w związku z wykonywaniem zadań służbowych lub obowiązków pracowniczych lub zadań zleconych przez Pracodawcę / Zleceniodawcę;
2. Użytkownik zobowiązany jest do niewykorzystywania danych osobowych w celach pozasłużbowych bądź niezgodnych ze zleceniem o ile nie są one jawne;
3. Użytkownik zobowiązany jest do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych o ile nie są one jawne;
4. Zabrania się przekazywania bezpośrednio lub przez telefon danych osobowych osobom nieupoważnionym.

 

Postępowanie dyscyplinarne

1. Przypadki, nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.

 

Postanowienia końcowe

1. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, w szczególności przez osobę, która po stwierdzeniu naruszenia obowiązku ochrony danych osobowych w tym zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym fakcie ADO.

2. Osoby, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, potwierdzają ten fakt poprzez podpisanie oświadczenia.

3. Ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, zobowiązany jest prowadzić ADO.

4. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie.

5. Wszystkie regulacje dotyczące systemów informatycznych określone w „Polityce bezpieczeństwa” dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.

6. Wdrożenie Polityki  odbywa się poprzez:

a) zapoznanie osób wchodzących w skład organów organizacji, pracowników, współpracowników, wolontariuszy, praktykantów i stażystów organizacji z treścią „Polityki”;

b) szkolenia z zakresu ochrony danych osobowych.

7. „Polityka” wchodzi w życie z dniem podjęcia uchwały organizacji lub w terminie określonym w jej treści. Zmiany w „Polityce” będą wchodzić w życie w terminach określonych w Uchwałach Zarządu organizacji dotyczących wprowadzenia zmian w dokumencie.