\n\t\t\t\t
Rozdzia\u0142 I
Postanowienia og\u00f3lne<\/strong><\/p>\u00a71.<\/p>
- Stosowane w Polityce Bezpiecze\u0144stwa Ochrony Danych okre\u015blenia nale\u017cy definiowa\u0107 nast\u0119puj\u0105co:<\/li>
- Administrator Danych Osobowych (ADO) \u2013 Dent-all Center Bogus\u0142aw Janas z siedzib\u0105 przy ul. Kobierzy\u0144skiej 104\/LU3, 30 – 382 Krak\u00f3w, kt\u00f3ry samodzielnie lub wsp\u00f3lnie z innymi ustala cele i sposoby przetwarzania danych osobowych;<\/li>
- Inspektor Ochrony Danych (IOD) \u2013 us\u0142ugobiorca nadzoruj\u0105cy przestrzeganie okre\u015blonych w polityce zasad i procedur bezpiecze\u0144stwa ochrony danych osobowych, zgodnie ze swoimi kompetencjami Administrator System\u00f3w Informatycznych (ASI) – us\u0142ugobiorca nadzoruj\u0105cy przestrzeganie okre\u015blonych w polityce zasad i procedur bezpiecze\u0144stwa ochrony danych osobowych w systemach informatycznych, zgodnie z swoimi kompetencjami;<\/li>
- Organ nadzorczy (UODO) \u2013 Urz\u0105d Ochrony Danych Osobowych;<\/li>
- RODO – Rozporz\u0105dzeniem Parlamentu Europejskiego i Rady (UE) 2016\/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u00f3b fizycznych w zwi\u0105zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u0142ywu takich danych oraz uchylenia dyrektywy 95\/46\/WE;<\/li>
- Dane osobowe \u2013 informacje o zidentyfikowanej lub mo\u017cliwej do zidentyfikowania osobie fizycznej (\u201eosobie, kt\u00f3rej dane dotycz\u0105\u201d);<\/li>
- has\u0142o \u2013 ci\u0105g znak\u00f3w literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;<\/li>
- identyfikator \u2013 ci\u0105g znak\u00f3w literowych, cyfrowych lub innych jednoznacznie identyfikuj\u0105cy osob\u0119 uprawnion\u0105 do przetwarzania danych osobowych w systemie informatycznym;<\/li>
- integralno\u015b\u0107 danych \u2013 w\u0142a\u015bciwo\u015b\u0107 zapewniaj\u0105ca, \u017ce dane osobowe nie zosta\u0142y zmienione lub zniszczone w spos\u00f3b nieautoryzowany;<\/li>
- osoba upowa\u017cniona do przetwarzania danych osobowych \u2013 osoba, kt\u00f3ra zosta\u0142a upowa\u017cniona na pi\u015bmie przez ADO do przetwarzania danych osobowych;<\/li>
- poufno\u015b\u0107 danych \u2013 w\u0142a\u015bciwo\u015b\u0107 zapewniaj\u0105ca, \u017ce dane nie s\u0105 udost\u0119pniane lub ujawniane nieupowa\u017cnionym podmiotom;<\/li>
- przetwarzanie danych \u2013 jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost\u0119pnianie i usuwanie, a zw\u0142aszcza te, kt\u00f3re wykonuje si\u0119 w systemach informatycznych;<\/li>
- rozliczalno\u015b\u0107 \u2013 w\u0142a\u015bciwo\u015b\u0107 zapewniaj\u0105ca, \u017ce dzia\u0142ania podmiotu mog\u0105 by\u0107 przypisane w spos\u00f3b jednoznaczny tylko temu podmiotowi;<\/li>
- uwierzytelnienie \u2013 dzia\u0142anie, kt\u00f3rego celem jest weryfikacja deklarowanej to\u017csamo\u015bci osoby b\u0105d\u017a podmiotu;<\/li>
- mo\u017cliwa do zidentyfikowania osoba fizyczna – rozumie si\u0119 przez to osob\u0119, kt\u00f3ra\u0328 mo\u017cna bezpo\u015brednio lub po\u015brednio zidentyfikowa\u0107, w szczeg\u00f3lno\u015bci na podstawie identyfikatora takiego jak imi\u0119 i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden b\u0105d\u017a kilka szczeg\u00f3lnych czynnik\u00f3w okre\u015blaj\u0105cych fizyczna\u0328, fizjologiczna\u0328, genetyczna\u0328, psychiczna\u0328, ekonomiczna\u0328, kulturowa\u0328 lub spo\u0142eczna\u0328 to\u017csamo\u015b\u0107 osoby fizycznej;<\/li>
- przetwarzanie danych osobowych \u2013 rozumie si\u0119 przez to operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w spos\u00f3b zautomatyzowany lub niezautomatyzowany, taka\u0328 jak zbieranie, utrwalanie, organizowanie, porz\u0105dkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przegl\u0105danie, wykorzystywanie, ujawnianie poprzez przes\u0142anie, rozpowszechnianie lub innego rodzaju udost\u0119pnianie, dopasowywanie lub \u0142\u0105czenie, ograniczanie, usuwanie lub niszczenie;<\/li>
- zbi\u00f3r danych osobowych \u2013 rozumie si\u0119 przez to uporz\u0105dkowany zestaw danych o charakterze osobowym, dost\u0119pny wed\u0142ug okre\u015blonych kryteri\u00f3w, niezale\u017cnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;<\/li>
- podmiot przetwarzaj\u0105cy \u2013 rozumie si\u0119 przez to osob\u0119 fizyczna\u0328 lub prawna\u0328, organ publiczny, jednostk\u0119 lub inny podmiot, kt\u00f3ry przetwarza dane osobowe w imieniu Administratora Danych Osobowych;<\/li>
- odbiorca danych – rozumie si\u0119 przez to osob\u0119 fizyczna\u0328 lub prawna\u0328, organ publiczny, jednostk\u0119 lub inny podmiot, kt\u00f3remu ujawnia si\u0119 dane osobowe, niezale\u017cnie od tego, czy jest strona\u0328 trzecia\u0328. Organy publiczne, kt\u00f3re mog\u0105 otrzymywa\u0107 dane osobowe w ramach konkretnego post\u0119powania zgodnie z prawem Unii lub prawem pa\u0144stwa cz\u0142onkowskiego, nie s\u0105 uznawane za odbiorc\u00f3w; przetwarzanie tych danych przez te organy publiczne musi by\u0107 zgodne z przepisami o ochronie danych maj\u0105cymi zastosowanie stosownie do cel\u00f3w przetwarzania;<\/li>
- system informatyczny \u2013 rozumie si\u0119 przez to zesp\u00f3\u0142 wsp\u00f3\u0142pracuj\u0105cych ze sob\u0105 urz\u0105dze\u0144, program\u00f3w, procedur przetwarzania informacji i narz\u0119dzi programowych zastosowanych w celu przetwarzania danych osobowych;<\/li>
- bezpiecze\u0144stwo danych osobowych \u2013 rozumie si\u0119 przez to zesp\u00f3\u0142 zasad, jakimi nale\u017cy si\u0119 kierowa\u0107 projektuj\u0105c oraz wykorzystuj\u0105c systemy i aplikacje s\u0142u\u017c\u0105ce do przetwarzania danych osobowych, by w ka\u017cdych okoliczno\u015bciach dost\u0119p do nich by\u0142 zgodny z za\u0142o\u017ceniami i zapewnia\u0142 ich poufno\u015b\u0107, integralno\u015b\u0107 oraz dost\u0119pno\u015b\u0107;<\/li>
- dost\u0119pno\u015b\u0107 danych \u2013 rozumie si\u0119 przez to w\u0142a\u015bciwo\u015b\u0107 zapewniaj\u0105c\u0105, \u017ce dane s\u0105 osi\u0105galne i mo\u017cliwe do wykorzystania na \u017c\u0105danie, w za\u0142o\u017conym czasie, przez uprawnion\u0105 osob\u0119 lub podmiot;<\/li>
- zgoda osoby, kt\u00f3rej dane dotycz\u0105 \u2013 rozumie si\u0119 przez to dobrowolne, konkretne, \u015bwiadome i jednoznaczne okazanie woli przez osob\u0119, kt\u00f3rej dane dotycz\u0105, w formie o\u015bwiadczenia lub wyra\u017anego dzia\u0142ania potwierdzaj\u0105cego, przyzwalaj\u0105ce na przetwarzanie dotycz\u0105cych jej danych osobowych;<\/li>
- pa\u0144stwo trzecie \u2013 rozumie si\u0119 przez to pa\u0144stwo nienale\u017c\u0105ce do Europejskiego Obszaru Gospodarczego;<\/li>
- incydent \u2013 rozumie si\u0119 przez to naruszenie bezpiecze\u0144stwa danych osobowych;<\/li>
- zagro\u017cenie – rozumie si\u0119 przez to potencjaln\u0105 mo\u017cliwo\u015b\u0107 wyst\u0105pienia incydentu;<\/li>
- naruszenie ochrony danych osobowych – rozumie si\u0119 przez to naruszenie bezpiecze\u0144stwa danych osobowych prowadz\u0105ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u0119pu do danych osobowych przesy\u0142anych, przechowywanych lub w inny spos\u00f3b przetwarzanych;<\/li>
- szczeg\u00f3lne kategorie danych \u2013 rozumie si\u0119 przez to dane ujawniaj\u0105ce pochodzenie rasowe lub etniczne, pogl\u0105dy polityczne, przekonania religijne lub \u015bwiatopogl\u0105dowe czy przynale\u017cno\u015b\u0107 do zwi\u0105zk\u00f3w zawodowych. S\u0105 to tak\u017ce dane genetyczne, dane biometryczne (przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej) oraz dane dotycz\u0105ce zdrowia, seksualno\u015bci lub orientacji seksualnej danej osoby;<\/li>
- dane osobowe dotycz\u0105ce karalno\u015bci \u2013 rozumie si\u0119 przez to dane dotycz\u0105ce wyrok\u00f3w skazuj\u0105cych oraz narusze\u0144 prawa lub powi\u0105zanych \u015brodk\u00f3w bezpiecze\u0144stwa.<\/li><\/ul>
\u00a7 2.<\/p>
- Polityka Bezpiecze\u0144stwa Danych Osobowych zwana dalej Polityk\u0105 okre\u015bla regu\u0142y przetwarzania danych osobowych oraz sposoby ich zabezpieczenia, jako zestaw praw, zasad i zalece\u0144 reguluj\u0105cych spos\u00f3b ich zarz\u0105dzania, ochrony i dystrybucji w Dent-all Center Bogus\u0142aw Janas przy ul. Kobierzy\u0144skiej 104\/LU3 w Krakowie.<\/li>
- Polityka zawiera informacje dotycz\u0105ce rozpoznawania proces\u00f3w przetwarzania danych osobowych oraz wprowadzonych zabezpiecze\u0144 techniczno-organizacyjnych, zapewniaj\u0105cych ochron\u0119 przetwarzanych danych osobowych.<\/li>
- Niniejszy dokument jest zgodny z obowi\u0105zuj\u0105cymi przepisami prawa, a w szczeg\u00f3lno\u015bci z RODO.<\/li>
- Wdro\u017cenie Polityki w Dent-all Center Bogus\u0142aw Janas ma na celu zabezpieczenie przetwarzanych przez ni\u0105 danych osobowych. Dokument ten okre\u015bla kierunki dzia\u0142a\u0144 tj. ustalenie struktury organizacyjnej s\u0142u\u017c\u0105cej zarz\u0105dzaniu i kontroli zabezpieczenia danych osobowych, identyfikuje zasoby, procesy i zagro\u017cenia oraz ustala strategi\u0119 zabezpieczenia danych osobowych.<\/li>
- W zwi\u0105zku z tym, i\u017c w zbiorach danych osobowych przetwarzane s\u0105 m.in. szczeg\u00f3lne kategorie danych, niniejsza Polityka s\u0142u\u017cy zapewnieniu wysokiego poziomu bezpiecze\u0144stwa danych, a w szczeg\u00f3lno\u015bci:
\u2022 zapewnienie spe\u0142nienia wymaga\u0144 prawnych;
\u2022 zapewnienie poufno\u015bci, integralno\u015bci oraz rozliczalno\u015bci danych osobowych przetwarzanych w Dent-all Center Bogus\u0142aw Janas;
\u2022 podnoszenie \u015bwiadomo\u015bci os\u00f3b przetwarzaj\u0105cych dane osobowe;
\u2022 zaanga\u017cowanie os\u00f3b przetwarzaj\u0105cych dane osobowe firmy w ich ochron\u0119.<\/li><\/ul>\u00a7 3.<\/p>
- Polityka ADO dotyczy zar\u00f3wno danych osobowych przetwarzanych w spos\u00f3b tradycyjny w ksi\u0119gach, wykazach, aktach osobowych i innych zbiorach ewidencyjnych, jak i w systemach informatycznych.<\/li>
- Zasady i procedury zawarte w niniejszym dokumencie dotycz\u0105 wszystkich os\u00f3b upowa\u017cnionych do przetwarzania danych osobowych, zar\u00f3wno zatrudnionych na podstawie um\u00f3w o prac\u0119 oraz um\u00f3w cywilnoprawnych. Wytyczne okre\u015blone w Polityce maj\u0105 zastosowanie w budynku i pomieszczeniach, w kt\u00f3rych s\u0105 lub b\u0119d\u0105 przetwarzane informacje podlegaj\u0105ce ochronie.<\/li><\/ul>
\u00a0<\/p>
Rozdzia\u0142 II<\/strong>
Organizacja przetwarzania danych osobowych<\/strong><\/p>\u00a74.
Podstawowe zasady ochrony danych osobowych<\/p>
- Wszystkie dane osobowe w Dent-all Center Bogus\u0142aw Janas nale\u017cy przetwarza\u0107 zgodnie z obowi\u0105zuj\u0105cymi przepisami prawa.<\/li>
- W stosunku do os\u00f3b, kt\u00f3rych dane osobowe s\u0105 przetwarzane nale\u017cy spe\u0142ni\u0107 obowi\u0105zek informacyjny wynikaj\u0105cy z przepis\u00f3w RODO \u2013 za\u0142\u0105cznik nr 5.<\/li>
- Zebrane dane osobowe nale\u017cy przetwarza\u0107 dla oznaczonych i zgodnych z prawem cel\u00f3w i nie poddawa\u0107 dalszemu przetwarzaniu niezgodnemu z tymi celami.<\/li>
- Nale\u017cy zadba\u0107, aby przetwarzanie danych osobowych odbywa\u0142o si\u0119 zgodnie z zasadami dotycz\u0105cej merytorycznej poprawno\u015bci oraz adekwatnie do cel\u00f3w w jakich zosta\u0142y zebrane.<\/li>
- Dane osobowe w firmie mo\u017cna przetwarza\u0107 nie d\u0142u\u017cej ni\u017c jest to niezb\u0119dne do osi\u0105gni\u0119cia celu ich przetwarzania.<\/li>
- Nale\u017cy zapewni\u0107 poufno\u015b\u0107, integralno\u015b\u0107 oraz rozliczalno\u015b\u0107 danych osobowych przetwarzanych w Dent-all Center Bogus\u0142aw Janas.<\/li>
- Przetwarzane dane osobowe nie mog\u0105 by\u0107 udost\u0119pniane bez zgody os\u00f3b, kt\u00f3rych dane dotycz\u0105, chyba \u017ce udost\u0119pnia si\u0119 te dane osobom, kt\u00f3rych dane dotycz\u0105, osobom upowa\u017cnionym do przetwarzania danych osobowych, podmiotom kt\u00f3rym przekazano dane na podstawie umowy powierzenia oraz organom pa\u0144stwowym lub organom samorz\u0105du terytorialnego w zwi\u0105zku z prowadzonym post\u0119powaniem.<\/li>
- Przetwarzanie danych osobowych w Dent-all Center Bogus\u0142aw Janas mo\u017ce odbywa\u0107 si\u0119 zar\u00f3wno w systemach informatycznych, jak i w formie tradycyjnej: kartotekach, skorowidzach, ksi\u0119gach, wykazach i innych zbiorach ewidencyjnych.<\/li>
- Wszystkim osobom, kt\u00f3rych dane s\u0105 przetwarzane przys\u0142uguje prawo do ochrony danych ich dotycz\u0105cych, do kontroli przetwarzania tych danych oraz do ich uaktualniania, usuni\u0119cia jak r\u00f3wnie\u017c do uzyskiwania wszystkich informacji o przys\u0142uguj\u0105cych im prawach.<\/li><\/ul>
\u00a0<\/p>
\u00a75.
Obowi\u0105zki Administratora Danych Osobowych<\/p>
ADO realizuje zadania w zakresie ochrony danych osobowych, w tym zw\u0142aszcza:
\u2022 wyznacza IOD oraz okre\u015bla zakres jego zada\u0144 w zakresie czynno\u015bci lub umowie cywilnoprawnej;
\u2022 upowa\u017cnia poszczeg\u00f3lne osoby do przetwarzania danych osobowych;
\u2022 podejmuje odpowiednie dzia\u0142ania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych;
\u2022 podejmuje decyzje o celach i \u015brodkach przetwarzania danych osobowych, zw\u0142aszcza z\u00a0uwzgl\u0119dnieniem zmian w obowi\u0105zuj\u0105cym prawie oraz technik zabezpieczenia danych osobowych.<\/p>
\u00a7 6.
Obowi\u0105zki Inspektora Ochrony Danych<\/p>
Funkcj\u0119 IOD w Dent-all Center Bogus\u0142aw Janas pe\u0142ni :
\u2022 Kosecki Pawe\u0142, tel. +48 502 769 783
\u2022 IOD monitoruje przestrzeganie zasad bezpiecze\u0144stwa oraz prowadzi kontrol\u0119 przetwarzania danych osobowych.
\u2022 IOD zapewnienia przestrzeganie przepis\u00f3w o ochronie danych osobowych, w\u00a0szczeg\u00f3lno\u015bci poprzez:
\u2022 nadzorowanie prawid\u0142owego wdra\u017cania \u015brodk\u00f3w technicznych \u2028i organizacyjnych w celu zapewnienia bezpiecze\u0144stwa danych osobowych;
\u2022 prowadzenie korespondencji z UODO;
\u2022 asystowanie podczas kontroli UODO;
\u2022 prowadzenie we wsp\u00f3\u0142pracy ewidencji os\u00f3b upowa\u017cnionych do przetwarzania danych osobowych;
\u2022 podejmowanie odpowiednich dzia\u0142a\u0144 w przypadku naruszenia bezpiecze\u0144stwa systemu informatycznego;
\u2022 przygotowywanie wyci\u0105g\u00f3w z Polityki Bezpiecze\u0144stwa, a nast\u0119pnie przekazywanie osobom upowa\u017cnionym do przetwarzania danych osobowych;
\u2022 prowadzenie szkole\u0144 dla pracownik\u00f3w z zakresu ochrony danych osobowych;
\u2022 opiniowanie, pod wzgl\u0119dem zgodno\u015bci z Polityk\u0105 Bezpiecze\u0144stwa oraz z\u00a0przepisami prawa um\u00f3w, procedur i innych wytworzonych dokument\u00f3w dotycz\u0105cych bezpiecze\u0144stwa i przetwarzania danych osobowych;
\u2022 podejmowanie lub wnioskowanie o podj\u0119cie odpowiednich dzia\u0142a\u0144 w przypadku naruszenia lub podejrzenia naruszenia bezpiecze\u0144stwa danych osobowych oraz prowadzenie adekwatnej dokumentacji w tym zakresie;
\u2022 ADO upowa\u017cnia IOD do przetwarzania danych osobowych we wszystkich zbiorach ADO oraz poza nimi w\u00a0zakresie niezb\u0119dnym dla nale\u017cytego wykonywania funkcji IOD.<\/p>
\u00a7 7.
Obowi\u0105zki Administratora System\u00f3w Informatycznych<\/p>
- Funkcj\u0119 ASI w Dent-all Center Bogus\u0142aw Janas pe\u0142ni ADO.<\/li>
- ASI monitoruje przestrzeganie zasad bezpiecze\u0144stwa oraz prowadzi kontrol\u0119 przetwarzania danych osobowych w systemach informatycznych.<\/li>
- Do zada\u0144 wykonywanych przez ASI nale\u017cy:
\u2022 zarz\u0105dzanie systemem informatycznym, w kt\u00f3rym przetwarzane s\u0105 dane osobowe, pos\u0142uguj\u0105c si\u0119 has\u0142em dost\u0119pu do wszystkich stacji roboczych \u2028z pozycji administratora;
\u2022 podejmowanie dzia\u0142a\u0144 zapewniaj\u0105cych niezawodno\u015b\u0107 dzia\u0142ania stacji roboczych i\u00a0po\u0142\u0105czonych z nimi urz\u0105dze\u0144, a tak\u017ce zapewnienie bezpiecznej wymiany informacji w sieci wewn\u0119trznej oraz bezpiecznej teletransmisji;
\u2022 przydzielanie nowemu u\u017cytkownikowi identyfikatora i has\u0142a do systemu oraz na polecenie ADO dokonanie ewentualnych modyfikacji uprawnie\u0144;
\u2022 wyrejestrowanie u\u017cytkownik\u00f3w na polecenie ADO;
\u2022 nadzorowanie dzia\u0142ania mechanizm\u00f3w uwierzytelniania u\u017cytkownik\u00f3w oraz kontroli dost\u0119pu do danych osobowych;
\u2022 zmiana na poszczeg\u00f3lnych stacjach roboczych hase\u0142 dost\u0119pu, ujawniaj\u0105c je wy\u0142\u0105cznie danemu u\u017cytkownikowi oraz w razie potrzeby ADO;
\u2022 w przypadku naruszenia zabezpiecze\u0144 usuwanie skutk\u00f3w naruszenia;
\u2022 prowadzenie dokumentacji dotycz\u0105cej narusze\u0144 danych osobowych zgodnie z\u00a0procedur\u0105 opisan\u0105 w Instrukcji post\u0119powania w sytuacjach narusze\u0144 danych osobowych;
\u2022 nadzorowanie wykonywania napraw oraz konserwacji, a tak\u017ce likwidacji urz\u0105dze\u0144, na kt\u00f3rych znajduj\u0105 si\u0119 dane osobowe;
\u2022 wykonywanie kopii zapasowych, ich przechowywanie oraz sprawdzanie terminu ich przydatno\u015bci;
\u2022 pisemne informowanie o zainstalowaniu nowego systemu informatycznego przetwarzaj\u0105cego dane osobowe oraz sposobie przep\u0142ywu danych w tym systemie;
\u2022 podczas podpisywania um\u00f3w z firmami lub osobami fizycznymi \u015bwiadcz\u0105cymi us\u0142ugi informatyczne zwracanie szczeg\u00f3lnej uwagi na zawarcie umowy o powierzenie przetwarzania danych osobowych.<\/li><\/ul>\u00a7 8.
Obowi\u0105zki osoby upowa\u017cnionej do przetwarzania danych osobowych<\/p>
Do obowi\u0105zk\u00f3w os\u00f3b upowa\u017cnionych do przetwarzania danych osobowych nale\u017cy:
\u2022 zapoznanie si\u0119 z przepisami prawa w zakresie ochrony danych osobowych, postanowieniami Polityki, Instrukcji Zarz\u0105dzania Systemami Informatycznymi oraz pozosta\u0142\u0105 dokumentacja dotycz\u0105c\u0105 ochrony danych obowi\u0105zuj\u0105c\u0105 u ADO.
\u2022 stosowanie si\u0119 do zalece\u0144 IOD;
\u2022 przetwarzania danych osobowych wy\u0142\u0105cznie w zakresie ustalonym indywidualnie w\u00a0pisemnym upowa\u017cnieniu i tylko w celu wykonywania na\u0142o\u017conych obowi\u0105zk\u00f3w s\u0142u\u017cbowych;
\u2022 niezw\u0142oczne informowanie IOD o wszelkich nieprawid\u0142owo\u015bciach dotycz\u0105cych bezpiecze\u0144stwa danych osobowych przetwarzanych w Dent-all Center Bogus\u0142aw Janas;
\u2022 ochron\u0119 danych osobowych oraz \u015brodk\u00f3w wykorzystywanych do przetwarzania danych osobowych przed nieuprawnionym dost\u0119pem, ujawnieniem, modyfikacj\u0105, zniszczeniem lub zniekszta\u0142ceniem;
\u2022 korzystanie z system\u00f3w informatycznych Dent-all Center Bogus\u0142aw Janas w spos\u00f3b zgodny ze wskaz\u00f3wkami zawartymi w instrukcjach obs\u0142ugi urz\u0105dze\u0144 wchodz\u0105cych w\u00a0sk\u0142ad system\u00f3w informatycznych;
\u2022 bezterminowe zachowanie w tajemnicy danych osobowych oraz sposob\u00f3w ich zabezpieczenia;
\u2022 zachowanie szczeg\u00f3lnej staranno\u015bci w trakcie wykonywania operacji przetwarzania danych osobowych w celu ochrony interes\u00f3w os\u00f3b, kt\u00f3rych dane dotycz\u0105.<\/p>
Rozdzia\u0142 III<\/strong>
Analiza ryzyka<\/strong><\/p>\u00a7 9.<\/p>
- Ocena skutk\u00f3w jest formaln\u0105, okre\u015blon\u0105 w art. 37 RODO procedur\u0105 przeprowadzenia analizy ryzyka za wykonanie, kt\u00f3rej odpowiada ADO.<\/li>
- Je\u017celi ADO nie jest zobowi\u0105zany do przeprowadzenia oceny skutk\u00f3w, mo\u017ce mimo to stosowa\u0107 t\u0119 procedur\u0119 do przeprowadzenia analizy ryzyka na potrzeby wykazania rozliczalno\u015bci i spe\u0142nienia wymaga\u0144 RODO.<\/li>
- W przypadku powo\u0142ania IOD, ocena skutk\u00f3w musi by\u0107 wykonana z jego wsp\u00f3\u0142udzia\u0142em oraz po wyra\u017ceniu przez niego opinii.<\/li><\/ul>
\u00a7 10.<\/p>
- W celu dokonania analizy ryzyka wymagane jest zidentyfikowanie danych osobowych, poprzez sporz\u0105dzenie inwentaryzacji danych osobowych.<\/li>
- Inwentaryzacj\u0119 przeprowadza IOD w porozumieniu z pracownikami merytorycznymi.<\/li>
- Inwentaryzacja jest co najmniej raz w roku aktualizowana przez IOD celem zidentyfikowania wszystkich danych osobowych przetwarzanych przez Dent-all Center Bogus\u0142aw Janas.<\/li>
- W przypadku planowania przez Dent-all Center Bogus\u0142aw Janas nowych zada\u0144 zwi\u0105zanych z ochron\u0105 danych IOD zobowi\u0105zany jest uwzgl\u0119dni\u0107 proces na etapie projektowym w inwentaryzacji danych, a nast\u0119pnie podda\u0107 go analizie ryzyka.<\/li>
- IOD przedstawia wyniki przeprowadzonej Inwentaryzacji do akceptacji ADO.<\/li><\/ul>
\u00a7 11.<\/p>
W ramach przeprowadzenia oceny skutk\u00f3w (analizy ryzyka) ADO zobowi\u0105zany jest do spe\u0142nienia wobec nich obowi\u0105zk\u00f3w prawnych. Nale\u017cy przede wszystkim zapewni\u0107, \u017ce :
\u2022 dane te s\u0105 legalnie przetwarzane (na podstawie art. 6, 9 RODO);
\u2022 dane te s\u0105 adekwatne w stosunku do cel\u00f3w przetwarzania;
\u2022 dane te s\u0105 przetwarzane przez okre\u015blony czas \u2013 zasada ograniczonego czasu;
\u2022 wobec tych os\u00f3b wykonano tzw. obowi\u0105zek informacyjny (art. 12, 13 i 14 RODO) wraz ze wskazaniem ich praw (np. prawa dost\u0119pu do danych, przenoszenia, sprostowania, usuni\u0119cia, ograniczenia przetwarzania, sprzeciwu, odwo\u0142ania zgody);
\u2022 opracowano klauzule informacyjne dla powy\u017cszych os\u00f3b;
\u2022 istniej\u0105 umowy powierzenia z podmiotami przetwarzaj\u0105cymi (art. 28 RODO).<\/p>
\u00a7 12.<\/p>
- Procedura opisuje spos\u00f3b przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagro\u017ce\u0144 wynikaj\u0105cych z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost\u0119pu do danych osobowych.<\/li>
- Analiza ryzyka powinna by\u0107 dokonana na podstawie dokonanej oceny ryzyka.<\/li><\/ol>
\u00a7 13.
Plan post\u0119powania z ryzykiem<\/p>
- Wsz\u0119dzie, gdzie ADO decyduje si\u0119 obni\u017cy\u0107 ryzyko, wyznacza list\u0119 zabezpiecze\u0144 do wdro\u017cenia, termin realizacji i osoby odpowiedzialne;<\/li>
- ADO zobowi\u0105zany jest do monitorowania wdro\u017cenia zabezpiecze\u0144.<\/li><\/ol>
Rozdzia\u0142 IV<\/strong>
Strategia zabezpieczenia danych osobowych<\/strong><\/p>\u00a7 14.<\/p>
\u015arodki ochrony fizycznej<\/p>
- Zbiory danych osobowych przechowywane s\u0105 w pomieszczeniach, chronionych przez drzwi zwyk\u0142e zamykane na zamek mechaniczny.<\/li>
- W ca\u0142ym budynku zainstalowany jest alarm oraz monitoring.<\/li>
- Zbiory danych osobowych w formie papierowej przechowywane s\u0105 w zamkni\u0119tych szafach metalowych, dedykowanych do tego celu.<\/li>
- Wej\u015bcie do Dent-all Center Bogus\u0142aw Janas jest zabezpieczone drzwiami z zamkiem mechanicznym. Pomieszczenie, gdzie znajduje si\u0119 szafa zawieraj\u0105ca dokumenty z danymi osobowym dodatkowo zabezpieczona jest zamkiem z zabezpieczeniem elektronicznym.<\/li><\/ol>
\u00a7 15.
Zabezpieczenie sprz\u0119tu<\/p>
- Do serwera oraz danych na nim gromadzonych dost\u0119p maj\u0105 wy\u0142\u0105cznie upowa\u017cnieni pracownicy ADO.<\/li>
- Bie\u017c\u0105ca konserwacja sprz\u0119tu oraz powa\u017cne naprawy prowadzone s\u0105 przez firm\u0119 zewn\u0119trzn\u0105, z kt\u00f3ra jest zawarta umowa powierzenia. W przypadku powa\u017cnych napraw, awarie usuwane s\u0105 w budynku ADO po uprzednim zawarciu z wykonawc\u0105 umowy o powierzenie przetwarzania danych osobowych, kt\u00f3ra okre\u015bla bezpiecze\u0144stwo danych osobowych.<\/li>
- Naprawy i konserwacje sprz\u0119tu poza budynkiem ADO mo\u017cliwe jest jedynie po trwa\u0142ym usuni\u0119ciu danych osobowych.<\/li><\/ul>
\u00a7 16.
Zabezpieczenie we w\u0142asnym zakresie<\/p>
Osoby upowa\u017cnione do przetwarzania danych osobowych powinny stosowa\u0107 si\u0119 do nast\u0119puj\u0105cych zasad zachowania bezpiecze\u0144stwa przetwarzanych informacji:
\u2022 opuszczania stanowiska pracy dopiero po wylogowaniu si\u0119 z stacji roboczej;
\u2022 ustawieniu monitora w taki spos\u00f3b by osoby postronne nie mia\u0142y dost\u0119pu do wy\u015bwietlanych na nim informacji;
\u2022 niepozostawiania os\u00f3b nieupowa\u017cnionych samych w pomieszczeniach, w kt\u00f3rych przetwarzane s\u0105 dane osobowe;
\u2022 niezapisywania has\u0142a do uwierzytelniania si\u0119 w systemie informatycznym na papierze;
\u2022 strze\u017cenia akt, elektronicznych no\u015bnik\u00f3w informacji, komputer\u00f3w przeno\u015bnych;
\u2022 kasowaniu po wykorzystaniu danych osobowych z dysk\u00f3w przeno\u015bnych, czy te\u017c laptop\u00f3w;
\u2022 niszczenie w niszczarce wykorzystanych wydruk\u00f3w dokument\u00f3w;
\u2022 wykonywanie kopii roboczych danych, na kt\u00f3rych si\u0119 w\u0142a\u015bnie pracuje w takich odst\u0119pach, by zapobiec ich utracie;
\u2022 przesy\u0142anie danych osobowych drog\u0105 e-mailow\u0105 tylko w postaci zaszyfrowanej;
\u2022 chowania do szaf zamykanych na klucz dokument\u00f3w zawieraj\u0105cych dane osobowe, a\u00a0nast\u0119pnie umieszczenie kluczy do szaf w ustalonym miejscu;
\u2022 zamykanie okien w przypadku opuszczania pomieszczenia zw\u0142aszcza w momencie zako\u0144czania pracy;
\u2022 zamykanie pomieszcze\u0144 biurowych;
\u2022 niewynoszenia na jakichkolwiek no\u015bnikach ca\u0142ych zbior\u00f3w danych, a ewentualnie tylko pojedynczych plik\u00f3w i to w formie zaszyfrowanej;
\u2022 w przypadku brakowania dokumentacji nie archiwalnej korzystanie ze sprz\u0119tu spe\u0142niaj\u0105cego wymogi niezb\u0119dne dla tego procesu.<\/p>
\u00a7 17.
Praca na urz\u0105dzeniach mobilnych (telefony, tablety itp.)<\/p>
- Urz\u0105dzenia mobilne u\u017cytkowane przez osoby do tego uprawnione powinny by\u0107 chronione przed uszkodzeniami mechanicznymi.<\/li>
- Dost\u0119p do urz\u0105dzenia powinien odbywa\u0107 po wprowadzeniu indywidualnego znanego tylko u\u017cytkownikowi pinu.<\/li>
- Nie nale\u017cy pozostawia\u0107 bez kontroli urz\u0105dzenia w miejscach publicznych, a tak\u017ce w samochodzie.<\/li>
- Wykorzystywanie urz\u0105dze\u0144 mobilnych zawieraj\u0105cych dane osobowe w miejscach publicznych dozwolone jest w momencie gdy istniej\u0105 dogodne do tego warunki minimalizuj\u0105ce ryzyko zapoznania si\u0119 z danymi przez osoby nieupowa\u017cnione. W domu nie dozwolone jest udost\u0119pnianie urz\u0105dze\u0144 mobilnych domownikom.<\/li><\/ul>
\u00a7 18.
Post\u0119powanie z no\u015bnikami danych<\/p>
Dane osobowe zapisane na no\u015bnikach informacji typu pendrive powinny by\u0107 po ich wykorzystaniu trwale kasowane, a w przypadku p\u0142yt CD-ROM powinny by\u0107 niszczone w\u00a0niszczarkach. Gdy zaistnieje potrzeba przechowywania no\u015bnik\u00f3w przez d\u0142u\u017cszy okres czasu powinny by\u0107 one odpowiednio opisane i zabezpieczone w szafach zamkni\u0119tych na klucz, do kt\u00f3rego dost\u0119p maj\u0105 tylko upowa\u017cnione osoby. W przypadku no\u015bnik\u00f3w papierowych, r\u00f3\u017cnego rodzaju wydruk\u00f3w, nale\u017cy po ich wykorzystaniu trwale zniszczy\u0107 w niszczarce. Podczas pracy nie nale\u017cy wykorzystywa\u0107 powt\u00f3rnie raz zadrukowanych kartek.<\/p>
\u00a7 19.
Zachowanie bezpiecze\u0144stwa podczas wymiany danych osobowych<\/p>
- Wdro\u017cono oprogramowanie realizuj\u0105ce funkcj\u0119 routera brzegowego oraz zabezpiecze\u0144 typu firewall.<\/li>
- Wprowadzono mechanizmy kontroli przep\u0142ywu informacji pomi\u0119dzy systemem informatycznym ADO a sieci\u0105 publiczn\u0105.<\/li>
- Podczas przesy\u0142ania danych osobowych poczt\u0105 elektroniczn\u0105 nale\u017cy zwr\u00f3ci\u0107 szczeg\u00f3lna uwag\u0119 na to by dane te wysy\u0142ane by\u0142y w spos\u00f3b zaszyfrowany.<\/li>
- Stosuje si\u0119 nast\u0119puj\u0105ce sposoby kryptograficznej ochrony danych:<\/li>
- podczas przesy\u0142ania danych osobowych niezb\u0119dnych do wykonywania przelew\u00f3w na konta bankowe, a tak\u017ce formularzy PIT do Urz\u0119d\u00f3w Skarbowych u\u017cywa si\u0119 bezpiecznych stron https:\/\/;<\/li>
- podczas przesy\u0142ania plik\u00f3w Word i Excel z danymi osobowymi przy pomocy poczty elektronicznej korzysta si\u0119 z opcji \u201eOchrony dokumentu\u201d- \u201eSzyfruj przy u\u017cyciu has\u0142a\u201d.<\/li>
- Niedozwolone jest przesy\u0142anie ca\u0142ych zbior\u00f3w danych, a jedynie pojedyncze informacje. Chroni to przesy\u0142ane dane przed ich przypadkowym rozproszeniem w internecie. \u2028IOD dobiera elektroniczne \u015brodki chroni\u0105ce komputery przed atakami z sieci zewn\u0119trznej.<\/li><\/ul>
\u00a7 20.
Przegl\u0105dy okresowe przetwarzania danych osobowych<\/p>
IOD przeprowadza dwa razy w roku przegl\u0105d przetwarzanych danych osobowych pod k\u0105tem celowo\u015bci ich dalszego przetwarzania. Przegl\u0105dowi powinna zosta\u0107 poddana tak\u017ce dokumentacja Polityki. W przypadku istotnych zmian dotycz\u0105cych bezpiecze\u0144stwa danych osobowych mo\u017ce proces ten odbywa\u0107 si\u0119 cz\u0119\u015bciej. Podczas dokonywania przegl\u0105du zwraca szczeg\u00f3ln\u0105 uwag\u0119 na zgodno\u015b\u0107 ze zmianami w obowi\u0105zuj\u0105cym prawie, w budowie systemu informatycznego, a tak\u017ce ze zmianami organizacyjnymi Dent-all Center Bogus\u0142aw Janas.<\/p>
\u00a7 21.
\u015arodki organizacyjne<\/p>
- Do przetwarzania danych osobowych dopuszczono wy\u0142\u0105cznie osoby posiadaj\u0105ce upowa\u017cnienie nadane przez ADO \u2013 za\u0142\u0105cznik nr 1.<\/li>
- Prowadzona jest ewidencja os\u00f3b upowa\u017cnionych do przetwarzania danych osobowych \u2013 za\u0142\u0105cznik nr 2.<\/li><\/ul>
\u00a7 22.
Upowa\u017cnienie do przetwarzania danych osobowych<\/p>
Do przetwarzania danych osobowych i obs\u0142ugi zbior\u00f3w informatycznych zawieraj\u0105cych te dane mog\u0105 by\u0107 dopuszczone wy\u0142\u0105cznie osoby posiadaj\u0105ce upowa\u017cnienie do przetwarzania danych osobowych wydane przez Specjalist\u0119 ds. Kadr oraz z\u0142o\u017cy\u0142y stosowne o\u015bwiadczenie dot. w\u0142a\u015bciwej realizacji przepis\u00f3w RODO.<\/p>
\u00a7 23.
Powierzenie przetwarzania danych osobowych<\/p>