POLITYKA BEZPIECZEŃSTWA INFORMACJI Firma Auto Diug Iwona Diug z siedzibą przy ul. Poznańskiej 74, 76-200 Słupsk /tekst jednolity na dzień 15.05.2018r./ /obowiązuje od dnia 25.05.2018r./ 1) Strategia bezpieczeństwa 1. Definicje 1) Użyte w niniejszej Polityce Bezpieczeństwa Informacji pojęcia oznaczają: a) Administrator Iwona Diug, prowadząca działalność gospodarczą pod nazwą: Auto Diug Iwona Diug przy ul. Poznańskiej 74, 76-200 Słupsk, NIP 8421002868, REGON 770784577, z zastrzeżeniem punktu 2, b) pracownik osoba świadcząca pracę Administratorowi na podstawie stosunku pracy lub innego stosunku prawnego. Zapisy niniejszej Polityki Bezpieczeństwa Informacji odnoszące się do pracowników stosuje się także do stażystów i praktykantów, c) trwały nośnik - materiał lub narzędzie umożliwiające przechowywanie informacji, w sposób umożliwiający dostęp do informacji w przyszłości przez czas odpowiedni do celów, jakim te informacje służą, i które pozwalają na odtworzenie przechowywanych informacji w dowolnym czasie w niezmienionej postaci. 2) Przepisy niniejszej Polityki Bezpieczeństwa Informacji mają zastosowanie także wtedy, kiedy Administrator przetwarza dane osobowe jako procesor któremu powierzono dane do przetwarzania lub podmiot przetwarzający, w rozumieniu odpowiednich przepisów prawa. 2. Cel Celem wprowadzenia Polityki Bezpieczeństwa Informacji jest: a) zapewnienie wymaganego zaangażowania pracowników w utrzymanie poziomu bezpieczeństwa informacji w tym ochrony danych osobowych które przetwarza Administrator, b) określenie kierunków rozwoju zarządzania bezpieczeństwem informacji w tym ochroną danych osobowych, przy jednoczesnym spełnieniu wszelkich wymogów obowiązującego prawa oraz zagwarantowaniu sprawnego funkcjonowania Administratora, c) identyfikowanie i obniżanie ryzyk związanych z bezpieczeństwem informacji, w tym ochroną danych osobowych, d) realizację zasad zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, prawidłowości, ograniczania przechowywania, integralności, poufności oraz rozliczalności przetwarzania danych osobowych. 3. Sformułowanie strategii ochrony danych osobowych Bezpieczeństwo Administratora to stan określony przez przyjęty zbiór norm, zasad, rozwiązań oraz środków i metod ochrony zasobów informacyjnych, którego miarą jest poziom ryzyka naruszenia dostępności, poufności lub integralności tych zasobów. Bezpieczeństwo Administratora jest zapewnione, jeżeli ryzyko naruszenia dostępności, poufności lub integralności chronionych zasobów Administratora nie przekracza akceptowalnych parametrów przy zachowaniu zasad sformułowanych w niniejszej Polityce Bezpieczeństwa Informacji i związanych z nią dokumentach. 4. Regulacje ogólne Ochronie podlegają w szczególności: a) dane osobowe przetwarzane przez Administratora, niezależnie od ich formy i nośnika, b) sprzęt wykorzystywany do przetwarzania, przesyłania i przechowywania danych osobowych u Administratora, 1
c) pomieszczenia, w których znajduje się kluczowy sprzęt informatyczny zawierający dane osobowe, d) dokumenty i inne trwałe nośniki zawierające dane osobowe, e) oprogramowanie wykorzystywane u Administratora, f) wizerunek Administratora, g) pozostałe mienie wykorzystywane przez Administratora lub będące jego własnością, h) informacje, których właścicielem są kontrahenci lub jednostki zewnętrzne współpracujące z Administratorem w ramach tej współpracy. 5. Uwarunkowania prawne Niniejsza Polityka Bezpieczeństwa Informacji jest zgodna z przepisami obowiązującego prawa, w szczególności z: - rozporządzeniem Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), - ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2015 r. poz. 2135) oraz aktem prawnym ją zastępującym, - rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) oraz aktem prawnym je zastępującym, - ustawą z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204), jeżeli w danym przypadku przetwarzania ma zastosowanie, - ustawą z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800), jeżeli w danym przypadku przetwarzania ma zastosowanie. 6. Potencjalne zagrożenia Zasoby Administratora, w szczególności informacje i dane osobowe, a także sprzęt niezbędny do ich przechowywania i przetwarzania, są istotne dla prowadzenia przez Administratora działalności gospodarczej. W szczególności identyfikuje się następujące kategorie zagrożeń, którym mogą podlegać zasoby Administratora: a) naruszenie poufności danych zarówno przez pracowników, jak i osoby niezatrudnione u Administratora, w tym również przez kradzież zasobu, b) niedostępność zasobu lub znaczna degradacja jego istotnych parametrów funkcjonalnych lub utrata danych (zniszczenie zasobu) na skutek wystąpienia sił wyższych albo nieumyślnego, umyślnego lub przypadkowego działania, c) naruszenie integralności danych na skutek nieumyślnego, umyślnego lub przypadkowego działania, d) stosowanie niespójnych zasad (standardów, procedur) i środków ochrony systemów. 3) Organizacja bezpieczeństwa informacji u Administratora 7. Wykaz kategorii osób których dane dotyczą oraz systemy informatyczne stosowane do przetwarzania tych danych 1) Administrator przetwarza dane osobowe w następujących zbiorach: a) Kandydaci na klientów i kontrahentów administratora b) Klienci i kontrahenci administratora c) Pracownicy i inne osoby zatrudnione przez administratora oraz kandydaci na pracowników i zatrudnionych przez administratora 2) Kategorie przetwarzanych danych osobowych (pola informacyjne): 2
a) Imiona i nazwiska b) Adresy zamieszkania lub pobytu c) Numery z istniejących rejestrów i ewidencji d) Adresy poczty elektronicznej e) Numery telefonów f) Adresy profili na portalach społecznościowych g) Daty, miejsca, ceny i zakresy dostarczonych osobie której dane dotyczą produktów i usług przez administratora lub produktów i usług którymi zainteresowana była osoba której dane dotyczą h) Zawód lub zajęcie oraz wykształcenie osoby której dane dotyczą i) Prowadzone postępowania wynikające z ujawnienia naruszeń przepisów prawa w związku z ruchem pojazdów mechanicznych oraz sposoby zakończenia tych postępowań j) Wizerunek w formie zdjęcia lub zapisu urządzenia rejestrującego obraz k) Informacje o położeniu pojazdu l) Informacje o niepełnosprawności 3) Dane osobowe są przetwarzane w następujących systemach informatycznych i aplikacjach: a) DMS 8. Ewidencja osób upoważnionych 1) Administrator może prowadzić na trwałym nośniku Ewidencję osób upoważnionych do przetwarzania danych osobowych, która składa się z następujących elementów: a) imienia i nazwiska osoby upoważnionej b) daty nadania upoważnienia c) daty ustania upoważnienia d) zakresu upoważnienia e) identyfikatora osoby upoważnionej (dla danych przetwarzanych w systemie informatycznym) f) podpisu osoby upoważnionej g) podpisu osoby dokonującej wpisu w Ewidencji 2) Ewidencja jest aktualizowana i uzupełniana na bieżąco i niezwłocznie, a wpis nowej osoby do ewidencji następuje tylko po spełnieniu warunków o których mowa w 18 pkt 3. 3) Aktualna Ewidencja stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa Informacji. 9. Poziomy bezpieczeństwa 1) Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: a) podstawowy; b) podwyższony; c) wysoki. 2) Poziom co najmniej podstawowy stosuje się, gdy: a) w systemie informatycznym nie są przetwarzane dane osobowe wrażliwe (szczególnie chronione) oraz b) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 3) Poziom co najmniej podwyższony stosuje się, gdy: a) w systemie informatycznym przetwarzane są dane osobowe wrażliwe (szczególnie chronione) oraz b) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 4) Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. 3
5) W przypadku gdy struktura zbioru danych osobowych nie pozwala na wyodrębnienie danych dla celów stosowania różnych poziomów bezpieczeństwa, stosuje się poziom wyższy dla całości zbioru. 10. Przetwarzanie danych w systemie informatycznym 1) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: a) daty pierwszego wprowadzenia danych do systemu; b) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; c) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; d) informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 2) Odnotowanie informacji, o których mowa w punkcie 1 lit. a) i b), następuje automatycznie po zatwierdzeniu przez użytkownika operacji na danych. 3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w punkcie 1. 4) W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w punkcie 1 mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. 11. Środki bezpieczeństwa 1) Środki bezpieczeństwa na poziomie podstawowym: A. Budynki, pomieszczenia lub części pomieszczeń, w których przetwarza się dane osobowe: a) budynki, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych; b) przebywanie osób nieuprawnionych w obszarze, o którym mowa powyżej, jest dopuszczalne za zgodą Administratora lub w obecności osoby upoważnionej do przetwarzania danych osobowych; B. System informatyczny: a) w systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych; b) jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: - w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator; - dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. c) system informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed: - działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; - utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. C. Identyfikator użytkownika, kopie zapasowe: a) identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie; b) w przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków; 4
c) kopie zapasowe: - przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; - usuwa się niezwłocznie po ustaniu ich użyteczności. D. Transport urządzeń, na którym zapisane są dane osobowe: a) osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza budynkami, pomieszczeniami i częściami pomieszczeń, w których przetwarza się dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. E. Sposób postępowania z urządzeniami, dyskami lub innymi elektronicznymi nośnikami informacji, na których zapisane są dane osobowe: a) urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: - likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; - przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; - naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora danych. 2) Środki bezpieczeństwa na poziomie podwyższonym: a) W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. b) Urządzenia i nośniki zawierające dane osobowe wrażliwe, przekazywane poza obszar, budynki, pomieszczenia i części pomieszczeń, w których przetwarza się dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. c) Ponadto stosuje się środki bezpieczeństwa na poziomie podstawowym. 3) Środki bezpieczeństwa na poziomie wysokim: a) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. b) W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej, obejmują one: - kontrolę przepływu informacji pomiędzy systemem informatycznym Administratora danych a siecią publiczną; - kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego Administratora danych. c) Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. d) Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa stosowane również na poziomie podstawowym i podwyższonym. 4) Inspektor Ochrony Danych Osobowych 12. Powołanie Inspektora Ochrony Danych 1) Z uwagi na fakt, że działalność Administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę, powołanie Inspektora Ochrony Danych Osobowych jest obligatoryjne. 2) Informujemy, że Inspektorem Ochrony Danych Osobowych u administratora jest Pani Iwona Diug, z którą można się skontaktować telefonicznie (59) 848 99 99, drogą poczty elektronicznej 5
biuro@autodiug.pl. W przypadku zmiany osoby Inspektora Ochrony Danych Osobowych aktualne dane Inspektora Ochrony Danych można znaleźć na stronie internetowej www.autodiug.pl lub w rejestrze Prezesa Urzędu Ochrony Danych Osobowych. 3) Administrator publikuje dane kontaktowe Inspektora Ochrony Danych na swoich stronach internetowych oraz zawiadamia o jego powołaniu, odwołaniu lub zmianie danych organ nadzorczy. 13. Zadania Inspektora Ochrony Danych 1) Inspektor Ochrony Danych jest odpowiedzialny za wdrożenie i stosowanie niniejszej Polityki Bezpieczeństwa Informacji u Administratora. 2) Inspektor Ochrony Danych jest niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych i jest odpowiedzialny za prawidłowe przetwarzanie tych danych przez Administratora. 3) Do zadań Inspektora Ochrony Danych należy w szczególności: a) informowanie Administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych i doradzanie im w tej sprawie; b) monitorowanie przestrzegania przepisów o ochronie danych oraz niniejszej Polityki Bezpieczeństwa Informacji, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; c) współpraca z organem nadzorczym; d) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem i innych sprawach; e) przygotowywanie dokumentacji o której mowa w niniejszej Polityce Bezpieczeństwa Informacji. 14. Zgłaszanie naruszeń ochrony danych osobowych 1) Inspektor Ochrony Danych jest odpowiedzialny bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłosić je w imieniu Administratora organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. 2) Inspektor Ochrony Danych dokumentuje na trwałym nośniku wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego przepisu. Dokumentowanie to może być częścią Raportu o którym mowa w 15. 15. Dokumentacja przygotowywana przez Inspektora Ochrony Danych 1) Inspektor Ochrony Danych jest odpowiedzialny za prowadzenie Rejestru Czynności Przetwarzania zawierającego: a) nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów, a także dane Inspektora Ochrony Danych; b) cele przetwarzania; c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej; 6
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. 2) Inspektor Ochrony Danych zobowiązany jest w nie rzadziej niż raz na kwartał kalendarzowy przeprowadzić kontrolę, testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych przez Administratora. 3) Inspektor Ochrony Danych zobowiązany jest w nie rzadziej niż raz na kwartał kalendarzowy przeprowadzić kontrolę aktualności, kompletności i podstaw prawnych przetwarzanych danych oraz wypełnianie przez Administratora praw osób których dane dotyczą, wynikających z obowiązujących przepisów, w szczególności: a) prawa do informacji b) prawa do dostępu i wglądu w dane, c) prawa do sprostowania, d) prawa do usunięcia danych, e) prawa do ograniczenia przetwarzania, f) prawa do przenoszenia danych, g) prawa sprzeciwu wobec przetwarzania danych, w tym prawa do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych. 4) W toku prowadzonych czynności o których mowa w punkcie poprzedzającym Inspektor Ochrony Danych bada również stan posiadanych przez Administratora zgód na przetwarzanie danych osobowych (jak również zgód na otrzymywanie informacji handlowych drogą elektroniczną, w tym pocztą elektroniczną, na udostępniony adres elektroniczny, zgodnie z przepisami ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną oraz zgód na wykorzystywanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego zgodnie z przepisami ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne) oraz zgodności przetwarzania danych z celami dla których dane zostały pozyskane. 5) W przypadku stwierdzenia niezgodności po przeprowadzeniu czynności o których mowa w punktach 3 i 4 Inspektor Ochrony Danych podejmuje w miarę potrzeby decyzję o: a) dokonaniu aktualizacji lub sprostowania danych, b) wystąpieniu o odpowiednie zgody do osób których dane dotyczą, c) poinformowaniu osoby której dane dotyczą o zmianie celu przetwarzania, d) usunięciu danych lub przetwarzaniu ich na innej niż zgoda podstawie prawnej. 6) Nie wcześniej niż na 14 dni i nie później niż na 7 dni przed upływem każdego kwartału kalendarzowego Inspektor Ochrony Danych zobowiązany jest przygotować Raport dotyczący przeprowadzonych czynności o których mowa w punktach 2, 3, 4 i 5, który na trwałym nośniku składa osobie będącej organem reprezentacji Administratora. Raport ten zawiera w szczególności: a) wskazanie okresu czasu jakiego dotyczy raport, b) wymienienie przeprowadzonych czynności wraz z datą i godziną ich przeprowadzenia, c) określenie danych osobowych których aktualność i kompletność zbadano, d) dostrzeżone usterki mogące powodować ryzyka naruszenia ochrony danych oraz ich opis i sposób zabezpieczenia, e) dostrzeżone naruszenia ochrony danych osobowych oraz informację o ich zgłoszeniu w myśl 14 wraz z datą i godziną takiego zgłoszenia, f) dane Inspektora Ochrony Danych Osobowych, a w przypadku gdy raport sporządzany jest w formie pisemnej, jego podpis. 16. Ocena skutków przetwarzania dla ochrony danych osobowych i konsultacje 1) Jeżeli dany rodzaj przetwarzania danych osobowych przez Administratora w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zleca Inspektorowi Ochrony Danych przed rozpoczęciem tego 7
przetwarzania przeprowadzenie w imieniu Administratora oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, o której mowa w art. 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. 2) Inspektor Ochrony Danych przygotowuje dokument oceny o której mowa w punkcie 1 na trwałym nośniku i składa go osobie będącej organem reprezentacji Administratora. Dokument ten zawiera co najmniej: a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie (tj. nie odbywa się na podstawie zgody) prawnie uzasadnionych interesów realizowanych przez administratora, b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy, e) dane Inspektora Ochrony Danych Osobowych, a w przypadku gdy ocena sporządzana jest w formie pisemnej, jego podpis. 3) Jeżeli ocena skutków dla ochrony danych, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym w trybie art. 36 rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 17. Poufność wykonywania zadań przez Inspektora Ochrony Danych Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy i poufności co do wykonywania swoich zadań zarówno w trakcie jak i po ustaniu sprawowania funkcji. 4) Obowiązki pracowników oraz kontrahentów i jednostek zewnętrznych 18. Obowiązki pracowników 1) Niniejsza Polityka Bezpieczeństwa Informacji obowiązuje wszystkich pracowników Administratora, a każda osoba podejmująca pracę u Administratora lub inna osoba uzyskująca dostęp do danych osobowych, przyjmuje na siebie obowiązek zachowania w tajemnicy danych osobowych z którymi ma styczność oraz sposobów ich zabezpieczenia. 2) Każdy zatrudniony pracownik w pierwszym dniu pracy ma obowiązek: a) zapoznać się z zasadami, regułami i postanowieniami niniejszej Polityki Bezpieczeństwa Informacji i potwierdzić ten fakt podpisując oświadczenie, które stanowi Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa Informacji b) odbyć szkolenie z zakresu bezpieczeństwa informacji w tym ochrony danych osobowych z udziałem Inspektora Ochrony Danych (jeżeli Administrator uzna przeprowadzenie takiego szkolenia za stosowne), które potwierdzane jest w karcie szkolenia z zakresu bezpieczeństwa informacji. 3) Dostęp do danych osobowych pracownik otrzymuje dopiero po wydaniu mu pisemnego upoważnienia do przetwarzania danych osobowych oraz po podpisaniu oświadczenia, które stanowią załącznik nr 2 do niniejszej Polityki Bezpieczeństwa Informacji oraz po wpisie pracownika do Ewidencji osób upoważnionych do przetwarzania danych osobowych, o której mowa w 8, jeżeli jest prowadzona. 8
4) Pracownicy Administratora mają prawo używać danych osobowych, które przetwarza Administrator wyłącznie do celów służbowych, chyba, że regulacje szczegółowe stanowią inaczej. 19. Obowiązki kontrahentów i jednostek zewnętrznych 1) Niniejsza Polityka Bezpieczeństwa Informacji obowiązuje wszystkich kontrahentów, jednostki zewnętrzne i ich pracowników, o ile w trakcie realizacji umowy otrzymują dostęp do zasobów informacyjnych Administratora. 2) W przypadku, gdy kontrahent w trakcie wykonywania umowy ma lub może mieć dostęp do zasobów informacyjnych Administratora, w umowach z kontrahentami wprowadzana jest klauzula dotycząca obowiązku przestrzegania bezpieczeństwa informacji. Klauzula ta powinna zawierać: zobowiązanie kontrahenta do przestrzegania Polityki Bezpieczeństwa Informacji, ochrony udostępnionych zasobów informacyjnych poprzez ograniczenie ich kopiowania i udostępniania oraz do ich zwrotu lub zniszczenia w momencie zakończenia umowy. 3) Istotne naruszenie bezpieczeństwa informacji przez kontrahenta stanowi podstawę do odstąpienia przez Administratora od umowy i żądania pokrycia ewentualnej szkody lub zapłaty kary umownej, jeżeli taki obowiązek wynika z zawartej umowy. 5) Umowy o powierzenie przetwarzania danych osobowych, umowy z procesorami lub podmiotami przetwarzającymi 20. Wybór procesora lub podmiotu przetwarzającego Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z przepisów prawa i chroniło prawa osób, których dane dotyczą. 21. Niezbędne elementy umowy Z każdej umowy o przetwarzanie danych osobowych, umowy z procesorami lub podmiotami przetwarzającymi zawartej przez Administratora musi jednoznacznie wynikać, że podmiot przetwarzający: 1) przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 2) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 3) podejmuje wszelkie środki bezpieczeństwa wymagane przepisami prawa; 4) korzysta on wyłącznie z usług innych podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów prawa i chroniło prawa osób, których dane dotyczą i jednocześnie nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody, a w przypadku ogólnej pisemnej zgody inny podmiot przetwarzający informuje podmiot przetwarzający o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym podmiotowi przetwarzającemu możliwość wyrażenia sprzeciwu wobec takich zmian; 9
5) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą; 6) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków wynikających z bezpieczeństwa przetwarzania, obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz obowiązku zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych; 7) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie; 8) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich, a w związku z tym obowiązkiem podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie przepisów prawa o ochronie danych. Załączniki do Polityki Bezpieczeństwa Informacji: 1) Ewidencja osób upoważnionych do przetwarzania danych osobowych 2) Upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem pracownika 3) Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe [podpis Inspektora Ochrony Danych] Zapoznałem się i zobowiązuję się do wdrożenia i zapewnienia stosowania niniejszej Polityki Bezpieczeństwa Informacji [podpis organu reprezentacji Administratora] Dokument przyjęty w dniu. 10