POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
DENT-ALL CENTER BOGUSŁAW JANAS

Rozdział I
Postanowienia ogólne

§1.

  • Stosowane w Polityce Bezpieczeństwa Ochrony Danych określenia należy definiować następująco:
  • Administrator Danych Osobowych (ADO) – Dent-all Center Bogusław Janas z siedzibą przy ul. Kobierzyńskiej 104/LU3, 30 – 382 Kraków, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
  • Inspektor Ochrony Danych (IOD) – usługobiorca nadzorujący przestrzeganie określonych w polityce zasad i procedur bezpieczeństwa ochrony danych osobowych, zgodnie ze swoimi kompetencjami Administrator Systemów Informatycznych (ASI) – usługobiorca nadzorujący przestrzeganie określonych w polityce zasad i procedur bezpieczeństwa ochrony danych osobowych w systemach informatycznych, zgodnie z swoimi kompetencjami;
  • Organ nadzorczy (UODO) – Urząd Ochrony Danych Osobowych;
  • RODO – Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
  • Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
  • hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
  • identyfikator – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę uprawnioną do przetwarzania danych osobowych w systemie informatycznym;
  • integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  • osoba upoważniona do przetwarzania danych osobowych – osoba, która została upoważniona na piśmie przez ADO do przetwarzania danych osobowych;
  • poufność danych – właściwość zapewniająca, że dane nie są udostępniane lub ujawniane nieupoważnionym podmiotom;
  • przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
  • rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
  • uwierzytelnienie – działanie, którego celem jest weryfikacja deklarowanej tożsamości osoby bądź podmiotu;
  • możliwa do zidentyfikowania osoba fizyczna – rozumie się przez to osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  • przetwarzanie danych osobowych – rozumie się przez to operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  • zbiór danych osobowych – rozumie się przez to uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
  • podmiot przetwarzający – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora Danych Osobowych;
  • odbiorca danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
  • system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
  • bezpieczeństwo danych osobowych – rozumie się przez to zespół zasad, jakimi należy się kierować projektując oraz wykorzystując systemy i aplikacje służące do przetwarzania danych osobowych, by w każdych okolicznościach dostęp do nich był zgodny z założeniami i zapewniał ich poufność, integralność oraz dostępność;
  • dostępność danych – rozumie się przez to właściwość zapewniającą, że dane są osiągalne i możliwe do wykorzystania na żądanie, w założonym czasie, przez uprawnioną osobę lub podmiot;
  • zgoda osoby, której dane dotyczą – rozumie się przez to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli przez osobę, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalające na przetwarzanie dotyczących jej danych osobowych;
  • państwo trzecie – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;
  • incydent – rozumie się przez to naruszenie bezpieczeństwa danych osobowych;
  • zagrożenie – rozumie się przez to potencjalną możliwość wystąpienia incydentu;
  • naruszenie ochrony danych osobowych – rozumie się przez to naruszenie bezpieczeństwa danych osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
  • szczególne kategorie danych – rozumie się przez to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe czy przynależność do związków zawodowych. Są to także dane genetyczne, dane biometryczne (przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej) oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby;
  • dane osobowe dotyczące karalności – rozumie się przez to dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

§ 2.

  • Polityka Bezpieczeństwa Danych Osobowych zwana dalej Polityką określa reguły przetwarzania danych osobowych oraz sposoby ich zabezpieczenia, jako zestaw praw, zasad i zaleceń regulujących sposób ich zarządzania, ochrony i dystrybucji w Dent-all Center Bogusław Janas przy ul. Kobierzyńskiej 104/LU3 w Krakowie.
  • Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz wprowadzonych zabezpieczeń techniczno-organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych.
  • Niniejszy dokument jest zgodny z obowiązującymi przepisami prawa, a w szczególności z RODO.
  • Wdrożenie Polityki w Dent-all Center Bogusław Janas ma na celu zabezpieczenie przetwarzanych przez nią danych osobowych. Dokument ten określa kierunki działań tj. ustalenie struktury organizacyjnej służącej zarządzaniu i kontroli zabezpieczenia danych osobowych, identyfikuje zasoby, procesy i zagrożenia oraz ustala strategię zabezpieczenia danych osobowych.
  • W związku z tym, iż w zbiorach danych osobowych przetwarzane są m.in. szczególne kategorie danych, niniejsza Polityka służy zapewnieniu wysokiego poziomu bezpieczeństwa danych, a w szczególności:
    • zapewnienie spełnienia wymagań prawnych;
    • zapewnienie poufności, integralności oraz rozliczalności danych osobowych przetwarzanych w Dent-all Center Bogusław Janas;
    • podnoszenie świadomości osób przetwarzających dane osobowe;
    • zaangażowanie osób przetwarzających dane osobowe firmy w ich ochronę.

§ 3.

  • Polityka ADO dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, wykazach, aktach osobowych i innych zbiorach ewidencyjnych, jak i w systemach informatycznych.
  • Zasady i procedury zawarte w niniejszym dokumencie dotyczą wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych na podstawie umów o pracę oraz umów cywilnoprawnych. Wytyczne określone w Polityce mają zastosowanie w budynku i pomieszczeniach, w których są lub będą przetwarzane informacje podlegające ochronie.

 

Rozdział II
Organizacja przetwarzania danych osobowych

§4.
Podstawowe zasady ochrony danych osobowych

  • Wszystkie dane osobowe w Dent-all Center Bogusław Janas należy przetwarzać zgodnie z obowiązującymi przepisami prawa.
  • W stosunku do osób, których dane osobowe są przetwarzane należy spełnić obowiązek informacyjny wynikający z przepisów RODO – załącznik nr 5.
  • Zebrane dane osobowe należy przetwarzać dla oznaczonych i zgodnych z prawem celów i nie poddawać dalszemu przetwarzaniu niezgodnemu z tymi celami.
  • Należy zadbać, aby przetwarzanie danych osobowych odbywało się zgodnie z zasadami dotyczącej merytorycznej poprawności oraz adekwatnie do celów w jakich zostały zebrane.
  • Dane osobowe w firmie można przetwarzać nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania.
  • Należy zapewnić poufność, integralność oraz rozliczalność danych osobowych przetwarzanych w Dent-all Center Bogusław Janas.
  • Przetwarzane dane osobowe nie mogą być udostępniane bez zgody osób, których dane dotyczą, chyba że udostępnia się te dane osobom, których dane dotyczą, osobom upoważnionym do przetwarzania danych osobowych, podmiotom którym przekazano dane na podstawie umowy powierzenia oraz organom państwowym lub organom samorządu terytorialnego w związku z prowadzonym postępowaniem.
  • Przetwarzanie danych osobowych w Dent-all Center Bogusław Janas może odbywać się zarówno w systemach informatycznych, jak i w formie tradycyjnej: kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
  • Wszystkim osobom, których dane są przetwarzane przysługuje prawo do ochrony danych ich dotyczących, do kontroli przetwarzania tych danych oraz do ich uaktualniania, usunięcia jak również do uzyskiwania wszystkich informacji o przysługujących im prawach.

 

§5.
Obowiązki Administratora Danych Osobowych

ADO realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:
• wyznacza IOD oraz określa zakres jego zadań w zakresie czynności lub umowie cywilnoprawnej;
• upoważnia poszczególne osoby do przetwarzania danych osobowych;
• podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych;
• podejmuje decyzje o celach i środkach przetwarzania danych osobowych, zwłaszcza z uwzględnieniem zmian w obowiązującym prawie oraz technik zabezpieczenia danych osobowych.

§ 6.
Obowiązki Inspektora Ochrony Danych

Funkcję IOD w Dent-all Center Bogusław Janas pełni :
• Kosecki Paweł, tel. +48 502 769 783
• IOD monitoruje przestrzeganie zasad bezpieczeństwa oraz prowadzi kontrolę przetwarzania danych osobowych.
• IOD zapewnienia przestrzeganie przepisów o ochronie danych osobowych, w szczególności poprzez:
• nadzorowanie prawidłowego wdrażania środków technicznych 
i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych;
• prowadzenie korespondencji z UODO;
• asystowanie podczas kontroli UODO;
• prowadzenie we współpracy ewidencji osób upoważnionych do przetwarzania danych osobowych;
• podejmowanie odpowiednich działań w przypadku naruszenia bezpieczeństwa systemu informatycznego;
• przygotowywanie wyciągów z Polityki Bezpieczeństwa, a następnie przekazywanie osobom upoważnionym do przetwarzania danych osobowych;
• prowadzenie szkoleń dla pracowników z zakresu ochrony danych osobowych;
• opiniowanie, pod względem zgodności z Polityką Bezpieczeństwa oraz z przepisami prawa umów, procedur i innych wytworzonych dokumentów dotyczących bezpieczeństwa i przetwarzania danych osobowych;
• podejmowanie lub wnioskowanie o podjęcie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych oraz prowadzenie adekwatnej dokumentacji w tym zakresie;
• ADO upoważnia IOD do przetwarzania danych osobowych we wszystkich zbiorach ADO oraz poza nimi w zakresie niezbędnym dla należytego wykonywania funkcji IOD.

§ 7.
Obowiązki Administratora Systemów Informatycznych

  • Funkcję ASI w Dent-all Center Bogusław Janas pełni ADO.
  • ASI monitoruje przestrzeganie zasad bezpieczeństwa oraz prowadzi kontrolę przetwarzania danych osobowych w systemach informatycznych.
  • Do zadań wykonywanych przez ASI należy:
    • zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych 
z pozycji administratora;
    • podejmowanie działań zapewniających niezawodność działania stacji roboczych i połączonych z nimi urządzeń, a także zapewnienie bezpiecznej wymiany informacji w sieci wewnętrznej oraz bezpiecznej teletransmisji;
    • przydzielanie nowemu użytkownikowi identyfikatora i hasła do systemu oraz na polecenie ADO dokonanie ewentualnych modyfikacji uprawnień;
    • wyrejestrowanie użytkowników na polecenie ADO;
    • nadzorowanie działania mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;
    • zmiana na poszczególnych stacjach roboczych haseł dostępu, ujawniając je wyłącznie danemu użytkownikowi oraz w razie potrzeby ADO;
    • w przypadku naruszenia zabezpieczeń usuwanie skutków naruszenia;
    • prowadzenie dokumentacji dotyczącej naruszeń danych osobowych zgodnie z procedurą opisaną w Instrukcji postępowania w sytuacjach naruszeń danych osobowych;
    • nadzorowanie wykonywania napraw oraz konserwacji, a także likwidacji urządzeń, na których znajdują się dane osobowe;
    • wykonywanie kopii zapasowych, ich przechowywanie oraz sprawdzanie terminu ich przydatności;
    • pisemne informowanie o zainstalowaniu nowego systemu informatycznego przetwarzającego dane osobowe oraz sposobie przepływu danych w tym systemie;
    • podczas podpisywania umów z firmami lub osobami fizycznymi świadczącymi usługi informatyczne zwracanie szczególnej uwagi na zawarcie umowy o powierzenie przetwarzania danych osobowych.

§ 8.
Obowiązki osoby upoważnionej do przetwarzania danych osobowych

Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy:
• zapoznanie się z przepisami prawa w zakresie ochrony danych osobowych, postanowieniami Polityki, Instrukcji Zarządzania Systemami Informatycznymi oraz pozostałą dokumentacja dotyczącą ochrony danych obowiązującą u ADO.
• stosowanie się do zaleceń IOD;
• przetwarzania danych osobowych wyłącznie w zakresie ustalonym indywidualnie w pisemnym upoważnieniu i tylko w celu wykonywania nałożonych obowiązków służbowych;
• niezwłoczne informowanie IOD o wszelkich nieprawidłowościach dotyczących bezpieczeństwa danych osobowych przetwarzanych w Dent-all Center Bogusław Janas;
• ochronę danych osobowych oraz środków wykorzystywanych do przetwarzania danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
• korzystanie z systemów informatycznych Dent-all Center Bogusław Janas w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemów informatycznych;
• bezterminowe zachowanie w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
• zachowanie szczególnej staranności w trakcie wykonywania operacji przetwarzania danych osobowych w celu ochrony interesów osób, których dane dotyczą.

Rozdział III
Analiza ryzyka

§ 9.

  • Ocena skutków jest formalną, określoną w art. 37 RODO procedurą przeprowadzenia analizy ryzyka za wykonanie, której odpowiada ADO.
  • Jeżeli ADO nie jest zobowiązany do przeprowadzenia oceny skutków, może mimo to stosować tę procedurę do przeprowadzenia analizy ryzyka na potrzeby wykazania rozliczalności i spełnienia wymagań RODO.
  • W przypadku powołania IOD, ocena skutków musi być wykonana z jego współudziałem oraz po wyrażeniu przez niego opinii.

§ 10.

  • W celu dokonania analizy ryzyka wymagane jest zidentyfikowanie danych osobowych, poprzez sporządzenie inwentaryzacji danych osobowych.
  • Inwentaryzację przeprowadza IOD w porozumieniu z pracownikami merytorycznymi.
  • Inwentaryzacja jest co najmniej raz w roku aktualizowana przez IOD celem zidentyfikowania wszystkich danych osobowych przetwarzanych przez Dent-all Center Bogusław Janas.
  • W przypadku planowania przez Dent-all Center Bogusław Janas nowych zadań związanych z ochroną danych IOD zobowiązany jest uwzględnić proces na etapie projektowym w inwentaryzacji danych, a następnie poddać go analizie ryzyka.
  • IOD przedstawia wyniki przeprowadzonej Inwentaryzacji do akceptacji ADO.

§ 11.

W ramach przeprowadzenia oceny skutków (analizy ryzyka) ADO zobowiązany jest do spełnienia wobec nich obowiązków prawnych. Należy przede wszystkim zapewnić, że :
• dane te są legalnie przetwarzane (na podstawie art. 6, 9 RODO);
• dane te są adekwatne w stosunku do celów przetwarzania;
• dane te są przetwarzane przez określony czas – zasada ograniczonego czasu;
• wobec tych osób wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14 RODO) wraz ze wskazaniem ich praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, odwołania zgody);
• opracowano klauzule informacyjne dla powyższych osób;
• istnieją umowy powierzenia z podmiotami przetwarzającymi (art. 28 RODO).

§ 12.

  1. Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
  2. Analiza ryzyka powinna być dokonana na podstawie dokonanej oceny ryzyka.

§ 13.
Plan postępowania z ryzykiem

  1. Wszędzie, gdzie ADO decyduje się obniżyć ryzyko, wyznacza listę zabezpieczeń do wdrożenia, termin realizacji i osoby odpowiedzialne;
  2. ADO zobowiązany jest do monitorowania wdrożenia zabezpieczeń.

Rozdział IV
Strategia zabezpieczenia danych osobowych

§ 14.

Środki ochrony fizycznej

  1. Zbiory danych osobowych przechowywane są w pomieszczeniach, chronionych przez drzwi zwykłe zamykane na zamek mechaniczny.
  2. W całym budynku zainstalowany jest alarm oraz monitoring.
  3. Zbiory danych osobowych w formie papierowej przechowywane są w zamkniętych szafach metalowych, dedykowanych do tego celu.
  4. Wejście do Dent-all Center Bogusław Janas jest zabezpieczone drzwiami z zamkiem mechanicznym. Pomieszczenie, gdzie znajduje się szafa zawierająca dokumenty z danymi osobowym dodatkowo zabezpieczona jest zamkiem z zabezpieczeniem elektronicznym.

§ 15.
Zabezpieczenie sprzętu

  • Do serwera oraz danych na nim gromadzonych dostęp mają wyłącznie upoważnieni pracownicy ADO.
  • Bieżąca konserwacja sprzętu oraz poważne naprawy prowadzone są przez firmę zewnętrzną, z która jest zawarta umowa powierzenia. W przypadku poważnych napraw, awarie usuwane są w budynku ADO po uprzednim zawarciu z wykonawcą umowy o powierzenie przetwarzania danych osobowych, która określa bezpieczeństwo danych osobowych.
  • Naprawy i konserwacje sprzętu poza budynkiem ADO możliwe jest jedynie po trwałym usunięciu danych osobowych.

§ 16.
Zabezpieczenie we własnym zakresie

Osoby upoważnione do przetwarzania danych osobowych powinny stosować się do następujących zasad zachowania bezpieczeństwa przetwarzanych informacji:
• opuszczania stanowiska pracy dopiero po wylogowaniu się z stacji roboczej;
• ustawieniu monitora w taki sposób by osoby postronne nie miały dostępu do wyświetlanych na nim informacji;
• niepozostawiania osób nieupoważnionych samych w pomieszczeniach, w których przetwarzane są dane osobowe;
• niezapisywania hasła do uwierzytelniania się w systemie informatycznym na papierze;
• strzeżenia akt, elektronicznych nośników informacji, komputerów przenośnych;
• kasowaniu po wykorzystaniu danych osobowych z dysków przenośnych, czy też laptopów;
• niszczenie w niszczarce wykorzystanych wydruków dokumentów;
• wykonywanie kopii roboczych danych, na których się właśnie pracuje w takich odstępach, by zapobiec ich utracie;
• przesyłanie danych osobowych drogą e-mailową tylko w postaci zaszyfrowanej;
• chowania do szaf zamykanych na klucz dokumentów zawierających dane osobowe, a następnie umieszczenie kluczy do szaf w ustalonym miejscu;
• zamykanie okien w przypadku opuszczania pomieszczenia zwłaszcza w momencie zakończania pracy;
• zamykanie pomieszczeń biurowych;
• niewynoszenia na jakichkolwiek nośnikach całych zbiorów danych, a ewentualnie tylko pojedynczych plików i to w formie zaszyfrowanej;
• w przypadku brakowania dokumentacji nie archiwalnej korzystanie ze sprzętu spełniającego wymogi niezbędne dla tego procesu.

§ 17.
Praca na urządzeniach mobilnych (telefony, tablety itp.)

  • Urządzenia mobilne użytkowane przez osoby do tego uprawnione powinny być chronione przed uszkodzeniami mechanicznymi.
  • Dostęp do urządzenia powinien odbywać po wprowadzeniu indywidualnego znanego tylko użytkownikowi pinu.
  • Nie należy pozostawiać bez kontroli urządzenia w miejscach publicznych, a także w samochodzie.
  • Wykorzystywanie urządzeń mobilnych zawierających dane osobowe w miejscach publicznych dozwolone jest w momencie gdy istnieją dogodne do tego warunki minimalizujące ryzyko zapoznania się z danymi przez osoby nieupoważnione. W domu nie dozwolone jest udostępnianie urządzeń mobilnych domownikom.

§ 18.
Postępowanie z nośnikami danych

Dane osobowe zapisane na nośnikach informacji typu pendrive powinny być po ich wykorzystaniu trwale kasowane, a w przypadku płyt CD-ROM powinny być niszczone w niszczarkach. Gdy zaistnieje potrzeba przechowywania nośników przez dłuższy okres czasu powinny być one odpowiednio opisane i zabezpieczone w szafach zamkniętych na klucz, do którego dostęp mają tylko upoważnione osoby. W przypadku nośników papierowych, różnego rodzaju wydruków, należy po ich wykorzystaniu trwale zniszczyć w niszczarce. Podczas pracy nie należy wykorzystywać powtórnie raz zadrukowanych kartek.

§ 19.
Zachowanie bezpieczeństwa podczas wymiany danych osobowych

  • Wdrożono oprogramowanie realizujące funkcję routera brzegowego oraz zabezpieczeń typu firewall.
  • Wprowadzono mechanizmy kontroli przepływu informacji pomiędzy systemem informatycznym ADO a siecią publiczną.
  • Podczas przesyłania danych osobowych pocztą elektroniczną należy zwrócić szczególna uwagę na to by dane te wysyłane były w sposób zaszyfrowany.
  • Stosuje się następujące sposoby kryptograficznej ochrony danych:
  • podczas przesyłania danych osobowych niezbędnych do wykonywania przelewów na konta bankowe, a także formularzy PIT do Urzędów Skarbowych używa się bezpiecznych stron https://;
  • podczas przesyłania plików Word i Excel z danymi osobowymi przy pomocy poczty elektronicznej korzysta się z opcji „Ochrony dokumentu”- „Szyfruj przy użyciu hasła”.
  • Niedozwolone jest przesyłanie całych zbiorów danych, a jedynie pojedyncze informacje. Chroni to przesyłane dane przed ich przypadkowym rozproszeniem w internecie. 
IOD dobiera elektroniczne środki chroniące komputery przed atakami z sieci zewnętrznej.

§ 20.
Przeglądy okresowe przetwarzania danych osobowych

IOD przeprowadza dwa razy w roku przegląd przetwarzanych danych osobowych pod kątem celowości ich dalszego przetwarzania. Przeglądowi powinna zostać poddana także dokumentacja Polityki. W przypadku istotnych zmian dotyczących bezpieczeństwa danych osobowych może proces ten odbywać się częściej. Podczas dokonywania przeglądu zwraca szczególną uwagę na zgodność ze zmianami w obowiązującym prawie, w budowie systemu informatycznego, a także ze zmianami organizacyjnymi Dent-all Center Bogusław Janas.

§ 21.
Środki organizacyjne

  • Do przetwarzania danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienie nadane przez ADO – załącznik nr 1.
  • Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych – załącznik nr 2.

§ 22.
Upoważnienie do przetwarzania danych osobowych

Do przetwarzania danych osobowych i obsługi zbiorów informatycznych zawierających te dane mogą być dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych wydane przez Specjalistę ds. Kadr oraz złożyły stosowne oświadczenie dot. właściwej realizacji przepisów RODO.

§ 23.
Powierzenie przetwarzania danych osobowych

  • ADO może zlecić innemu podmiotowi przetwarzanie danych osobowych w celu realizacji określonego zadania.
  • W przypadku powierzenia danych innemu podmiotowi ADO podpisuje umowę powierzenia – załącznik nr 3.
  • W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
  • ADO prowadzi ewidencję pomiotów zewnętrznych, którym powierzono dane osobowe Dent-all Center Bogusław Janas – załącznik nr 4.

§ 24.
Udostępnianie danych osobowych

  • Dane osobowe udostępnia się na wniosek właściciela danych osobowych.
  • Wniosek o udostępnienie danych, który wpłynął do Dent-all Center Bogusław Janas rozpatruje IDO.
  • Wniosek o udostępnienie danych osobowych jest przesyłany, wraz z informacjami niezbędnymi dla jego rozpatrzenia, do właściciela zbioru w celu udostępnienia niezbędnych informacji.
  • Informacje, zawierające dane osobowe są udostępniane uprawnionym podmiotom:
    • w formie wydruku listem poleconym lub za potwierdzeniem osobistego odbioru;
    • w drodze teletransmisji danych (w sposób gwarantujący poufność przesyłanych danych);
    • na elektronicznych nośnikach informacji, za potwierdzeniem odbioru;
    • drogą mailową w zaszyfrowanej formie;
    • w inny sposób określony przepisami prawa lub umową.
    • Udostępniane dane osobowe podlegają kontroli przez właściciela zbioru, z którego one pochodzą.
    • Ewidencja przypadków udostępnienia danych prowadzona jest przez IOD w wersji elektronicznej lub papierowej.

§ 25.
Szkolenia

  • Każda osoba przed dopuszczeniem do pracy z danymi osobowymi powinna być poddana przeszkoleniu i zapoznana z przepisami RODO.
  • Za przeprowadzenie szkolenia odpowiada IOD.
  • W przypadku przeprowadzenia szkolenia wewnętrznego z zasad ochrony danych osobowych wskazane jest udokumentowanie odbycia tego szkolenia.
  • Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania w karcie wstępnej szkolenia – załącznik nr 7.

§ 26.
Rejestr czynności przetwarzania

W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez ADO, IOD taki odpowiedni rejestr prowadzi na podstawie wykonanej inwentaryzacji danych.

§ 27.
Audyty

Zgodnie z art. 32 RODO, ADO regularnie testuje, mierzy i ocenia skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, przynajmniej raz na rok.

§ 28.
Naruszenie bezpieczeństwa danych osobowych

  • Zgodnie z art. 33 RODO ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  • Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  • W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza to naruszenie organowi nadzorczemu, chyba że jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  • W Dent-all Center Bogusław Janas zarządzania incydentami reguluje Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych.

Rozdział V
Postanowienia końcowe

§ 29.

  • Naruszenie przez użytkowników danych osobowych procedur bezpiecznego przetwarzania danych, w szczególności świadome udostępnianie danych osobie niepowołanej, jest ciężkim naruszeniem obowiązków pracowniczych.
  • Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się przed dopuszczeniem do przetwarzania danych osobowych z niniejszym dokumentem i złożyć stosowne oświadczenie potwierdzające znajomość jego treści – załącznik nr 6.
  • W sprawach nieuregulowanych w niniejszej Polityce Bezpieczeństwa Danych Osobowych mają zastosowanie przepisy RODO, które również określają zapisy karne i porządkowe w zakresie danych osobowych.