ZASADY PROGRAMU CERTYFIKAT CHRONIMY DANE OSOBOWE

Transkrypt

1 ZASADY PROGRAMU CERTYFIKAT CHRONIMY DANE OSOBOWE I. Cel Programu 1. Propagowanie zasad prawidłowego przetwarzania danych osobowych. 2. Promowanie Organizacji przestrzegających przepisy dotyczące ochrony danych osobowych. 3. Zapewnienie bezpieczeństwa informacji. 4. Potwierdzenie rzetelności działania w zakresie ochrony danych osobowych. 5. Tworzenie świadomości istotności zagadnień związanych z ochroną danych osobowych. II. Organizator Organizatorem Programu jest Kancelaria Lex Artist Przemysław Zegarek z siedzibą w Warszawie pod adresem: ul. Szańcowa 74/1, Warszawa, REGON: , NIP: (zwana dalej Kancelarią). III. Charakter Programu i warunki uczestnictwa Program Certyfikatu Chronimy Dane Osobowe (zwany Programem) to system oceny i badania przez Ekspertów ds. Danych Osobowych Kancelarii, funkcjonowania Organizacji pod względem ochrony danych osobowych. Program kierowany jest do: 1. Organizacji do tej pory nie współpracujących z Kancelarią (według zasad określonych na stronie: oraz w przedmiotowym dokumencie), 2. Organizacji, które wcześniej były już audytowane przez Kancelarię (zasady określa odrębny dokument dedykowany dla tego kręgu odbiorców), 3. Organizacji, w których Przemysław Zegarek lub Łukasz Zegarek pełnią funkcję Administratora Bezpieczeństwa Informacji. Po przeprowadzeniu audytu i uzyskaniu pozytywnej oceny, Organizacja otrzymuje Certyfikat Chronimy Dane Osobowe. Certyfikat Chronimy Dane Osobowe wydawany jest w formie: 1. elektronicznej (możliwość implementacji na swojej stronie internetowej i wykorzystania w materiałach reklamowych), 2. papierowej (możliwość wykorzystania w ofertach przygotowywanych dla klientów). Uczestnicząc w Programie wyrażasz zgodę, aby Twoja Organizacja była promowana przez Kancelarię poprzez umieszczenie logo Twojej Organizacji na stronie internetowej Certyfikatu Chronimy Dane REGON: Strona 1 z 5

2 Osobowe wraz z informacją o aktualności uzyskanego przez Organizację Certyfikatu Chronimy Dane Osobowe. Certyfikat Chronimy Dane Osobowe wydawany jest na okres jednego roku. W celu otrzymania Certyfikatu Chronimy Dane Osobowe na kolejny rok, można ponownie przystąpić do Programu i przejść uproszczony proces recertyfikacji. Kancelaria może pozbawić prawa do legitymowania się Certyfikatem Chronimy Dane Osobowe, jeżeli: 1. otrzyma dowody podważające autentyczność dokumentów oraz informacji przekazanych Kancelarii podczas audytu, 2. Organizacja nie działa zgodnie z przepisami o ochronie danych osobowych, a w szczególności wtedy, gdy zostało wszczęte przeciwko niej postępowanie dotyczące stwierdzonych przez GIODO lub inny organ państwowy naruszeń legalności przetwarzania danych osobowych, 3. poweźmie wiarygodną wiadomości o nieprawidłowościach w zakresie przetwarzania danych osobowych przez Organizację, przeprowadzi audyt sprawdzający (zdalnie lub w biurze Organizacji) i jego wynik będzie negatywny, tj. zostaną stwierdzone uchybienia. W przypadku pozbawienia prawa do legitymowania się przez Organizację Certyfikatem Chronimy Dane Osobowe, nie jest należny zwrot wynagrodzenia uiszczonego przez Organizację na rzecz Kancelarii. IV. Etapy Programu 1. Zgłoszenie uczestnictwa. 2. Zawarcie umowy. 3. Przeprowadzenie audytu. 4. Przygotowanie i przekazanie Organizacji Raport pouadytowego. 5. Przy wsparciu Kancelarii wdrożenie przez Organizację planu naprawczego czyli korekta uchybień wskazanych w Raporcie pouadytowym w ciągu 30 dni roboczych od dnia otrzymania przez Organizację Raportu poaudytowego. Raport poaudytowy będzie zawierał również zalecenia, które Organizacja może, lecz nie musi wprowadzić, gdyż nie są wymagane przez przepisy prawa. 6. Przyznanie Certyfikatu Chronimy Dane Osobowe - 5 dni roboczych od dnia powzięcia informacji o usunięciu uchybień przez Organizację wskazanych w Raporcie pouadytowym. V. Przedmiot Audytu W ramach audytu weryfikujemy poszczególne komórki organizacyjne badanego podmiotu oraz oceniamy całą Organizację pod względem przetwarzanych danych osobowych. Sprawdzamy m.in. obszary: REGON: Strona 2 z 5

3 1. Budowania świadomości wśród pracowników na temat bezpiecznego przetwarzania danych osobowych Sprawdzenie poprzez anonimowe ankiety poziomu świadomości ochrony danych osobowych wśród pracowników, tj. m.in.: znajomości wewnętrznych procedur, przygotowanie do zagrożeń bezpieczeństwa danych, znajomość podstawowych pojęć dotyczących danych osobowych (np. dane wrażliwe, przetwarzanie danych) oraz wiedzy na temat odpowiedzialności, jaką pracownik może ponieść w wyniku doprowadzenia do wycieku lub utraty danych, kto jest administratorem danych a kto jest administratorem bezpieczeństwa informacji. 2. Legalności przetwarzania danych W ramach legalności przetwarzania danych badane są źródła oraz zakres pozyskiwania, powierzenia i udostępnienia danych osobowych. Ponadto weryfikujemy sposób przetwarzania poszczególnych zbiorów danych osobowych zidentyfikowanych w Organizacji. 3. Zabezpieczenia (organizacyjne, techniczne, fizyczne) Przegląd zabezpieczeń polega na ich odpowiednim doborze do zagrożeń oraz kategorii danych objętych ochroną. Sprawdzane są: a) zabezpieczenia organizacyjne, czyli przede wszystkim prawidłowość i kompleksowość prowadzonej dokumentacji (m.in. Polityka Bezpieczeństwa oraz Instrukcja Zarządzania Systemami Informatycznymi, upoważnienia, ewidencja upoważnień, jawny rejestr zbiorów danych osobowych prowadzony przez Administratora Bezpieczeństwa Informacji), b) zabezpieczenia techniczne, tj. wypełnienie wymagań określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz z późn. zm.), c) zabezpieczenia fizyczne czyli ochronę obszarów przetwarzania danych osobowych oraz sposób archiwizacji dokumentów zawierających dane osobowe. 4. Obowiązek rejestracyjny do GIODO Badanie audytowe obejmuje weryfikację czy zostały zgłoszone wszystkie zbiory danych osobowych, które według ustawy o ochronie danych osobowych powinny być ujęte w rejestrze GIODO oraz prawidłowość dokonanych zgłoszeń. 5. Obowiązek informacyjny Sprawdzane jest wykonanie przez Organizację obowiązków informacyjnych ujętych w art. 24 i 25 ustawy o ochronie danych osobowych. REGON: Strona 3 z 5

4 VI. Kryteria Certyfikacji Certyfikat przyznajemy Organizacjom spełniającym najważniejsze wymogi wynikające z obowiązujących przepisów prawa. Premiujemy organizacje potrafiące zachować równowagę pomiędzy ochroną prawa do prywatności, a wymogami związanymi z prowadzoną działalnością. Każdy audyt zakończony jest sporządzeniem raportu z pełnym wykazem ewentualnych uchybień. VII. Recertyfikacja Proces recertyfikacji polega na ponownym sprawdzeniu Organizacji przy wykorzystaniu środków porozumiewania się na odległość, w zakresie obejmującym w szczególności: 1. aktualność dokumentacji przy uwzględnieniu zmian przepisów prawa oraz zmian, które nastąpiły w Organizacji, 2. sprawdzenie prawidłowości rejestru umów powierzenia, klauzul zgody na przetwarzanie danych osobowych i klauzul informacyjnych, 3. kontrolę wybranych losowo nadawany upoważnień, zawartych umów powierzenia, 4. kontrolę prawidłowości prowadzenia rejestru upoważnień oraz jawnego rejestru prowadzonego przez ABI. Proces recertyfikacji oparty jest przede wszystkim na oświadczeniach składanych w formie pisemnej przez Organizację oraz dokumentów przekazanych w formie elektronicznej. Terminy przeprowadzenia re certyfikacji będę określane w harmonogramie, będącym załącznikiem do umowy zawieranej pomiędzy Kancelarią i Organizacją. Otrzymanie pozytywnej oceny po zakończonym procesie recertyfikacji daje możliwość legitymowania się Certyfikatem Chronimy Dane Osobowe przez kolejny rok. Proces recertyfikacji jest dobrowolny. VIII. Opłaty Koszty ponoszone są za przeprowadzenie audytu i sporządzenie Raportu poaudytowego. W ramach uiszczonej opłaty przeprowadzany jest audyt zakończony Raportem poaudytowym wskazującym uchybienia, zalecenia lub potwierdzającym działanie zgodnie z przepisami prawa. Szczegóły znajdują się w umowie zawieranej pomiędzy Organizacją i Kancelarią. Koszt przeprowadzenia audytu to 3000 zł netto. Opłata za przeprowadzenie procesu recertyfikacji zawiera ponowne sprawdzenie Organizacji pod względem prawidłowości przetwarzania danych osobowych przy pomocy środków porozumiewania się na odległość, w szczególności przekazania dokumentacji drogą elektroniczną. Koszt przeprowadzenia procesu recertyfikacji: 600 zł netto. Do powyższych kwot zostanie doliczony podatek VAT zgodnie z obowiązującymi przepisami prawa. REGON: Strona 4 z 5

5 IX. Postanowienia końcowe 1. Postanowienia niniejszego Programu mogą ulec zmianie, z zastrzeżeniem, że zmiany nie będą dotyczyć Organizacji, z którymi Kancelaria zawarła już umowę o przeprowadzenia audytu. 2. Kancelaria zobowiązuje się do zachowania poufności wszelkich informacji otrzymanych od Organizacji. 3. Kancelaria posiada autorskie prawa do znaku słowno graficznego (logo) Certyfikatu Chronimy Dane Osobowe i na potrzeby uczestnictwa w Programie udziela Organizacji odpłatnej (w ramach opłaty z pkt VII Opłaty), niewyłącznej licencji na jego korzystanie z wyżej wymienionego znaku. 4. Szczegółowe uregulowania dotyczące warunków uczestnictwa w Programie określone są w umowy o przeprowadzenie audytu. 5. Niniejszy dokument wchodzi w życie z dniem 1 stycznia 2016 roku. REGON: Strona 5 z 5