ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Podobne dokumenty
Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

Polityka Ochrony Danych Osobowych

Polityka Ochrony Danych Osobowych W

Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Amatorski Klub Sportowy Wybiegani Polkowice

Polityka Bezpieczeństwa Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Definicje. Wstęp. Przez użyte w Polityce określenia należy rozumieć:

POLITYKA BEZPIECZEŃSTWA

Polityka Bezpieczeństwa Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Praktyka Lekarska Aleksandra Mossakowska z siedzibą pod adresem: Halinów, ul.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Polityka Bezpieczeństwa Ochrony Danych Osobowych w Pomorskim Ośrodku Ruchu Drogowego w Gdańsku

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Gabinecie chiropraktycznym Marcin Cieliczka

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH. Oxymoron Sp. z o.o.

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

RODO - POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

PRELEGENT Przemek Frańczak Członek SIODO

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INSTAL-KONIN PIOTR KRYGIER. Data i miejsce sporządzenia dokumentu: Ilość stron:

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

FENIX PSYCHOTERAPIA UZALEŻNIEŃ SP. Z O.O WODZISŁAW ŚLĄSKI UL. PAWŁA POŚPIECHA 1A KODEKS DOBRYCH PRAKTYK OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

I. Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA. Regionalne Wąbrzeskie Towarzystwo Budownictwa Społecznego Spółka z o.o r. Wąbrzeźno

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

Ochrona danych osobowych w biurach rachunkowych

rodo. naruszenia bezpieczeństwa danych

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Monitorowanie systemów IT

Al. J. Ch. Szucha 8, Warszawa

ul. Rzeszowska 29a nie jest zobowiązane do powołania inspektora ochrony danych.

Członkostwo i składka Spa Club przystań Hotel & Spa

POLITYKA BEZPIECZEŃSTWA

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA TADEO TRADING SP. Z O.O. WARSZAWA r.

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Umowa powierzenia danych

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Administrator deklaruje pełną świadomość charakteru, rodzaju i kontekstu przetwarzanych danych osobowych w PWDL, w tym ich sensytywności

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W. ATL "Achievement Through Learning" Sp. z o.o.

Ochrona danych osobowych w biurach rachunkowych

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej sp. z o.o. w Nowej Soli.

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w MOSiR w Zielonej Górze

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

PARTNER.

Polityka Ochrony Danych Osobowych w Spirax Sarco Sp. z o.o., ul. Jutrzenki 98, Warszawa, z dnia

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA BEZPIECZEŃSTWA

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka OCHRONY DANYCH OSOBOWYCH w Firmie. Babiole s.c Paulina Kotas i Martyna Kotas. z siedzibą w Krzyżanów 52a, Wola Krzysztoporska

ZARZĄDZENIE NR./2018 DYREKTORA SZKOŁY PODSTAWOWEJ NR 4 im. M. KOPERNIKA w TARNOBRZEGU z dnia... w sprawie wdrożenia Polityk Ochrony Danych

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH POZNAŃ ul. Romana Maya 1

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

ZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

W dokumencie tym przedstawione zostaną:

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Maciej Byczkowski ENSI 2017 ENSI 2017

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

REGULAMIN WEWNĘTRZNYCH PROCEDUR

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Umowa powierzenia przetwarzania danych osobowych

Transkrypt:

ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje... 3 2.2 Rejestr czynności przetwarzania (inwentaryzacja danych osobowych)... 3 2.3 Wyznaczenie zagrożeń... 3 2.4 Wyliczenie ryzyka dla zagrożeń... 4 2.5 Plan postępowania z ryzykiem... 4 3 Upoważnienia... 5 4 Środki techniczne i organizacyjne zabezpieczające dane osobowe... 5 5 Regulamin Ochrony Danych Osobowych... 5 6 Instrukcja postępowania z incydentami... 5

1 WSTĘP Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO). Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem. 2 ANALIZA RYZYKA Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru lub grupy zbiorów (kategorii osób) lub dla procesów przetwarzania. 2.1 DEFINICJE 1. Aktywa środki materialne i niematerialne mające wpływ na przetwarzanie danych osobowych. 2. Naruszenie (Incydent) ochrony danych osobowych - to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 3. Zagrożenie - potencjalne naruszenie (potencjalny incydent). 4. Skutki - rezultaty niepożądanego incydentu (straty w wypadku wystąpienia zagrożenia). 5. Ryzyko - prawdopodobieństwo, że określone zagrożenie wystąpi i spowoduje straty lub zniszczenie aktywów. 2.2 REJESTR CZYNNOŚCI PRZETWARZANIA (INWENTARYZACJA DANYCH OSOBOWYCH) Administrator jest zobowiązany zgodnie z art. 30 RODO do prowadzenia rejestru czynności przetwarzania. Rejestr stanowi podstawę do przeprowadzenia analizy ryzyka. Administrator prowadzi rejestr zgodnie z załącznikiem 01a Rejestr czynności przetwarzania (wykaz zbiorów danych osobowych). 2.3 WYZNACZENIE ZAGROŻEŃ 1. Administrator jest odpowiedzialny za określenie listy zagrożeń naruszenia poufności, dostępności i integralności, które mogą wystąpić podczas przetwarzania danych osobowych. 2. Zagrożenia powinny być identyfikowane w odniesieniu do uprzednio zinwentaryzowanych zbiorów (kategorii osób), aktywów oraz procesów przetwarzania.

2.4 WYLICZENIE RYZYKA DLA ZAGROŻEŃ 1. Administrator określa Prawdopodobieństwo (P) wystąpienia poszczególnych zagrożeń w zbiorze (dla kategorii osób) lub w procesie przetwarzania. 2. Proponowaną skalę prawdopodobieństwa prezentuje Tabela A. 3. Administrator określa Skutki (S) wystąpienia incydentów (materializacji zagrożeń), uwzględniając straty finansowe, utratę reputacji, sankcje/skutki karne. 4. Proponowaną Skalę skutków prezentuje Tabela B. 5. Administrator wylicza Ryzyka (R) dla wszystkich zagrożeń i ich skutków w/g formuły: R = P * S. Tabela A PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA SKALA (WAGA) zagrożenie niskie 1 zagrożenie średnie 2 zagrożenie wysokie 3 Tabela B SKUTKI WYSTĄPIENIA ZAGROŻENIA SKALA (WAGA) małe (do 10000 PLN, incydent prasowy lokalny) 1 średnie (10000-100000 PLN, incydent prasowy ogólnopolski) 2 duże (od 100000 PLN, naruszenie prawa) 3 2.4.1 Porównanie wyliczonych ryzyk ze skalą i określenie dalszego postępowania z ryzykiem 1. Administrator porównuje wyliczone ryzyka ze skalą i podejmuje decyzje dotyczące dalszego postępowania z ryzykiem. 2. Proponowaną skalę Ryzyka prezentuje Tabela C. Tabela C POZIOM RYZYKA WARTOŚĆ [R = P*S] ryzyko pomijalne i akceptowalne (akceptujemy) 1-2 ryzyko jest opcjonalne (akceptujemy albo obniżamy) 3-6 ryzyko jest nieakceptowalne (musimy obniżyć) 9 2.4.2 Reakcja na wartość ryzyka 1. Akceptacja ryzyka zabezpieczenia są właściwe brak potrzeby stosowania dodatkowych zabezpieczeń. 2. Działania obniżające ryzyko, które może zastosować Administrator: a. Przeniesienie przerzucenie ryzyka (outsourcing, ubezpieczenie) b. Unikanie eliminacja działań powodujących ryzyko. 3. Redukcja zastosowanie zabezpieczeń w celu obniżenia ryzyka. 4. Analizę ryzyka przeprowadza się w specjalnym załaczniku 02e Arkusz analizy ryzyka RODO. 2.4.3 Ponowna analiza ryzyka Ponowna analiza ryzyka przeprowadzana jest cyklicznie lub po znaczących zmianach w przetwarzaniu danych (np. przetwarzanie nowych zbiorów, nowych procesów przetwarzania, zmiany prawne). 2.5 PLAN POSTĘPOWANIA Z RYZYKIEM 1. Wszędzie, gdzie Administrator decyduje się obniżyć ryzyko, wyznacza listę zabezpieczeń do wdrożenia, termin realizacji i osoby odpowiedzialne według załącznika 02f Plan postępowania z ryzykiem.

2. Administrator zobowiązany jest do monitorowania wdrożenia zabezpieczeń. 3 UPOWAŻNIENIA 1. Administrator odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych w zbiorach (dla kategorii osób) w postaci papierowej oraz w systemach informatycznych. 2. Każda osoba upoważniona musi przetwarzać dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa. 3. Upoważnienia nadawane są do zbiorów (dla kategorii osób) na wniosek przełożonych osób. Upoważnienia określają zakres operacji na danych, np. tworzenie, usuwanie, wgląd, przekazywanie załącznik 01d Upoważnienie do przetwarzania danych osobowych. 4. W przypadku powierzenia przetwarzania danych do Podmiotu przetwarzającego, Administrator jest zobowiązany do sporządzenia z nim umowy powierzenia, stanowiącą podstawę upoważnienia dla osób z Podmiotu przetwarzającego, jej wzór określa załącznik 01f Umowa powierzenia uniwersalna. 4 ŚRODKI TECHNICZNE I ORGANIZACYJNE ZABEZPIECZAJĄCE DANE OSOBOWE 1. Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych w Instrukcji zarządzania RODO. 2. W instrukcji wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne i organizacyjne. 3. Instrukcja jest aktualizowana, jeśli zajdzie taka potrzeba po przeprowadzeniu analizy ryzyka. 5 REGULAMIN OCHRONY DANYCH OSOBOWYCH Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania. Załącznik - 04 Regulamin Ochrony Danych Osobowych. Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania poprzez podpisanie oświadczenia o poufności zawartego w arkuszu 01c Ewidencja osób upoważnionych. 6 INSTRUKCJA POSTĘPOWANIA Z INCYDENTAMI Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości. 1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego (lub jeśli jest powołany Inspektora Ochrony Danych). 2. Do typowych podatności bezpieczeństwa danych osobowych należą: a. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów. b. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych. c. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). 3. Do typowych incydentów bezpieczeństwa danych osobowych należą: a. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności). b. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata / zagubienie danych).

c. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). 4. W przypadku stwierdzenia wystąpienia incydentu, Administrator (lub w przypadku powołania IOD) prowadzi postępowanie wyjaśniające w toku, którego: a. ustala zakres i przyczyny incydentu oraz jego ewentualne skutki. b. inicjuje ewentualne działania dyscyplinarne. c. działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu. d. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia. 5. Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze załącznik 03 Formularz rejestracji incydentu. 6. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych. 7. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres