POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Wymagania prawne: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z

dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem

danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia

dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

SPIS TREŚCI:

1. Wykaz podstawowych skrótów

2. Wykaz podstawowych definicji

3. Wprowadzenie

4. Cele Polityki Bezpieczeństwa Danych Osobowych

5. Zakres rozpowszechniania Polityki Bezpieczeństwa Danych 5 Osobowych

6. Inspektor Ochrony Danych

7. Osoby upoważnione do przetwarzania danych osobowych

8. Podstawowe zasady ochrony danych osobowych

9. Upoważnienie do przetwarzania danych osobowych

10. Powierzenie przetwarzania danych osobowych

11. Udostępnianie danych osobowych

12. Przekazywanie danych osobowych poza Polskę

13. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w

którym przetwarzane są dane osobowe

14. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych

do przetwarzania tych danych

15. Opis struktury zbiorów danych osobowych

16. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami

17. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia

poufności, integralności i rozliczalności przetwarzanych danych

18. Przepisy karne i porządkowe

19. Postanowienia końcowe

1. Wykaz podstawowych skrótów

Wykaz podstawowych definicji Ilekroć w niniejszej Polityce Bezpieczeństwa Danych

Osobowych mowa o:

Administratorze Danych Osobowych – rozumie się przez to Marlena Runau, który

samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych

osobowych;

Administratorze Systemu Informatycznego – rozumie się przez to pracownika

Administratora Danych Osobowych lub inne osoby odpowiedzialne za funkcjonowanie

systemów i sieci teleinformatycznych oraz za przestrzeganie zasad i wymogów

bezpieczeństwa systemów i sieci teleinformatycznych;

Inspektorze Ochrony Danych – rozumie się przez to osobę odpowiedzialną za bieżący

nadzór stosowania przepisów dot. ochrony danych osobowych;

Osobie upoważnionej – rozumie się przez to osobę upoważnioną przez Administratora

Danych Osobowych do przetwarzania danych osobowych. Osobą upoważnioną może być

pracownik Kancelarii, osoba wykonująca prace na podstawie umowy zlecenia lub innej

umowy cywilno-prawnej, a także osoba odbywająca wolontariat, praktykę lub staż;

Danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do

zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);

Możliwej do zidentyfikowania osobie fizycznej – rozumie się przez to osobę, którą można

bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora

takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator

internetowy, lub jeden, bądź kilka szczególnych czynników określających fizyczną,

fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość

osoby fizycznej;

Przetwarzaniu danych osobowych – rozumie się przez to operację lub zestaw operacji

wykonywanych na danych osobowych lub zestawach danych osobowych w sposób

zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie,

organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie,

pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,

rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie,

ograniczanie, usuwanie lub niszczenie;

Skrót Opis:

ADO Administrator Danych Osobowych

ASI Administrator Systemów Informatycznych

IOD Inspektor Ochrony Danych

SI System Informatyczny

PBDO Polityka Bezpieczeństwa Danych Osobowych

IZSI Instrukcja Zarządzania Systemem Informatycznym

RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27

kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych

osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy

95/46/WE (ogólne rozporządzenie o ochronie danych)

Zbiorze danych osobowych – rozumie się przez to uporządkowany zestaw danych o

charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy

zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub

geograficznie;

Podmiocie przetwarzającym – rozumie się przez to osobę fizyczną lub prawną, organ

publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu

Administratora Danych Osobowych;

Odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny,

jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy

jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach

konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego,

nie są uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi

być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów

przetwarzania;

Systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą

urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych

zastosowanych w celu przetwarzania danych osobowych;

Bezpieczeństwie danych osobowych – rozumie się przez to zespół zasad, jakimi należy się

kierować projektując oraz wykorzystując systemy i aplikacje służące do przetwarzania

danych osobowych, by w każdych okolicznościach dostęp do nich był zgodny

z założeniami i zapewniał ich poufność, integralność oraz dostępność;

Poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są

udostępniane nieupoważnionym osobom lub podmiotom;

Integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe

nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

Dostępności danych – rozumie się przez to właściwość zapewniającą, że dane są osiągalne

i możliwe do wykorzystania na żądanie, w założonym czasie, przez uprawnioną osobę lub

podmiot;

Zgodzie osoby, której dane dotyczą – rozumie się przez to dobrowolne, konkretne,

świadome i jednoznaczne okazanie woli przez osobę, której dane dotyczą, w formie

oświadczenia lub wyraźnego działania potwierdzającego, przyzwalające na przetwarzanie

dotyczących jej danych osobowych;

Państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru

Gospodarczego;

Incydencie – rozumie się przez to naruszenie bezpieczeństwa danych osobowych;

Zagrożeniu – rozumie się przez to potencjalną możliwość wystąpienia incydentu;

Naruszeniu ochrony danych osobowych – rozumie się przez to naruszenie bezpieczeństwa

danych osobowych prowadzące do przypadkowego lub niezgodnego z prawem

zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub

nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w

inny sposób przetwarzanych.

2. Wprowadzenie

Polityka Bezpieczeństwa Danych Osobowych określa reguły przetwarzania danych

osobowych oraz sposobów ich zabezpieczenia, jako zestaw praw, zasad i zaleceń

regulujących sposób ich zarządzania, ochrony i dystrybucji w firmie Polityka zawiera

informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz

wprowadzonych zabezpieczeń techniczno-organizacyjnych, zapewniających ochronę

przetwarzanych danych osobowych. Niniejszy dokument jest zgodny z obowiązującymi

przepisami prawa, a w szczególności z Rozporządzeniem Parlamentu Europejskiego i

Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w

związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich

danych oraz uchylenia dyrektywy 95/46/WE.

3. Cele Polityki Bezpieczeństwa Danych Osobowych

Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie oraz wdrożenie zasad

bezpieczeństwa i ochrony danych osobowych przetwarzanych w POMORSKA GRUPA CZYSTOŚCI I DOZORU SP. Z O.O.a w szczególności:

1) zapewnienie spełnienia wymagań prawnych;

2) zapewnienie poufności, integralności oraz rozliczalności danych osobowych

przetwarzanych w firmie;

3) podnoszenie świadomości osób przetwarzających dane osobowe;

4) zaangażowanie osób przetwarzających dane osobowe firmy w ich ochronę.

4. Zakres rozpowszechniania Polityki Bezpieczeństwa Danych Osobowych

1) Z treścią niniejszej Polityki Bezpieczeństwa Danych Osobowych powinny

zapoznać się wszystkie podmioty przetwarzające dane osobowe w imieniu

Administratora Danych Osobowych.

5. Inspektor Ochrony Danych

1) Inspektor Ochrony Danych, jeżeli zostaje powołany, monitoruje

przestrzeganie zasad bezpieczeństwa oraz prowadzi kontrolę przetwarzania

danych osobowych.

2) Inspektor Ochrony Danych wykonuje w szczególności następujące zadania:

a) zapewnienia przestrzeganie przepisów o ochronie danych

osobowych, w szczególności poprzez:

b) opiniowanie, pod względem zgodności z PBDO oraz z przepisami

prawa umów, procedur i innych wytworzonych dokumentów

dotyczących bezpieczeństwa i przetwarzania danych osobowych;

c) podejmowanie lub wnioskowanie o podjęcie odpowiednich działań w

przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa

danych osobowych oraz prowadzenie adekwatnej dokumentacji w

tym zakresie;

3) Inspektor Ochrony Danych uprawniony jest do żądania włączenia go w

procesy mające miejsce w organizacji w obszarach, które swoim zakresem

obejmują dane osobowe.

4) Inspektor Ochrony Danych może wykonywać swoje obowiązki poprzez

wyznaczonych zastępców.

5) Administrator Danych Osobowych upoważnia Inspektora Ochrony Danych do

przetwarzania danych osobowych we wszystkich zbiorach Administratora

Danych Osobowych oraz poza nimi w zakresie niezbędnym dla należytego

wykonywania funkcji Inspektora Ochrony Danych, a także do wydawania w

imieniu Administratora Danych Osobowych upoważnień do przetwarzania

danych osobowych.

6. Osoby upoważnione do przetwarzania danych osobowych

1) Do obowiązków osób upoważnionych do przetwarzania danych osobowych

należy:

• zapoznanie się z przepisami prawa w zakresie ochrony danych osobowych oraz

postanowieniami Polityki Bezpieczeństwa Danych Osobowych i Instrukcji

Zarządzania Systemami Informatycznymi;

• stosowanie się do zaleceń Inspektora Ochrony Danych;

• przetwarzania danych osobowych wyłącznie w zakresie ustalonym

indywidualnie przez Administratora Danych Osobowych w pisemnym

upoważnieniu i tylko w celu wykonywania nałożonych obowiązków służbowych;

• niezwłoczne informowanie Inspektora Ochrony Danych o wszelkich

nieprawidłowościach dotyczących bezpieczeństwa danych osobowych

przetwarzanych w firmie;

• ochronę danych osobowych oraz środków wykorzystywanych do przetwarzania

danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją,

zniszczeniem lub zniekształceniem;

• korzystanie z systemów informatycznych firmy w sposób zgodny ze

wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład

systemów informatycznych;

• bezterminowe zachowanie w tajemnicy danych osobowych oraz sposobów ich

zabezpieczenia;

• zachowanie szczególnej staranności w trakcie wykonywania operacji

przetwarzania danych osobowych w celu ochrony interesów osób, których dane

dotyczą.

7. Podstawowe zasady ochrony danych osobowych

1) Wszystkie dane osobowe w firmie należy przetwarzać zgodnie z

obowiązującymi przepisami prawa.

2) W stosunku do osób, których dane osobowe są przetwarzane należy spełnić

obowiązek informacyjny wynikający z przepisów RODO.

3) Zebrane dane osobowe należy przetwarzać dla oznaczonych i zgodnych z

prawem celów i nie poddawać dalszemu przetwarzaniu niezgodnemu z tymi

celami.

4) Należy zadbać, aby przetwarzanie danych osobowych odbywało się zgodnie z

zasadami dotyczącej merytorycznej poprawności oraz adekwatnie do celów w

jakich zostały zebrane.

5) Dane osobowe w firmie można przetwarzać nie dłużej niż jest to niezbędne do

osiągnięcia celu ich przetwarzania.

6) Należy zapewnić poufność, integralność oraz rozliczalność danych osobowych

przetwarzanych w firmie.

7) Przetwarzane dane osobowe nie mogą być udostępniane bez zgody osób,

których dane dotyczą, chyba że udostępnia się te dane osobom, których dane

dotyczą, osobom upoważnionym do przetwarzania danych osobowych,

podmiotom którym przekazano dane na podstawie umowy powierzenia oraz

organom państwowym lub organom samorządu terytorialnego w związku z

prowadzonym postępowaniem.

8) Przetwarzanie danych osobowych w firmie może odbywać się zarówno w

systemach informatycznych, jak i w formie tradycyjnej: kartotekach,

skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

9) W zakresie danych osobowych przetwarzanych w innych systemach niż

informatyczne, obowiązują nadal dotychczasowe przepisy o tajemnicy

służbowej, obiegu i zabezpieczaniu dokumentów służbowych.

10)Wszystkim osobom, których dane są przetwarzane przysługuje prawo do

ochrony danych ich dotyczących, do kontroli przetwarzania tych danych oraz

do ich uaktualniania, usunięcia jak również do uzyskiwania wszystkich

informacji o przysługujących im prawach.

8. Upoważnienie do przetwarzania danych osobowych

1) Do przetwarzania danych osobowych i obsługi zbiorów informatycznych

zawierających te dane mogą być dopuszczone wyłącznie osoby posiadające

upoważnienie do przetwarzania danych osobowych wydane przez

Administratora Danych Osobowych oraz złożyły stosowne oświadczenie dot.

właściwej realizacji przepisów RODO.

2) Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych

do przetwarzania danych osobowych

9Powierzenie przetwarzania danych osobowych

1) Administrator Danych Osobowych może zlecić innemu podmiotowi

przetwarzanie danych osobowych w celu realizacji określonego zadania.

2) W sytuacji powierzenia przetwarzania danych osobowych podmiotowi

zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych

określa się przede wszystkim przedmiot i czas trwania przetwarzania,

charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób,

których dane dotyczą, obowiązki i prawa administratora.

10. Udostępnianie danych osobowych

1) Dane osobowe udostępnia się na wniosek.

2) Wniosek o udostępnienie danych, który wpłynął do firmy rozpatruje Właściciel

zbioru.

3) Wniosek o udostępnienie danych osobowych, którego sposób rozpatrzenia budzi

uzasadnione wątpliwości, może zostać przesłany, wraz z informacjami niezbędnymi

dla jego rozpatrzenia, do Inspektora Ochrony Danych w celu zajęcia stanowiska w

sprawie. Do wniosku dołącza się projekt odpowiedzi wraz z uzasadnieniem.

4) Informacje, zawierające dane osobowe są udostępniane uprawnionym podmiotom:

a) w formie wydruku listem poleconym lub za potwierdzeniem

osobistego odbioru,

b) w drodze teletransmisji danych (w sposób gwarantujący poufność

przesyłanych danych),

c) na elektronicznych nośnikach informacji, za potwierdzeniem odbioru,

d) w inny sposób określony przepisami prawa lub umową.

5) Udostępniane dane osobowe podlegają kontroli przez Właściciela zbioru, z którego

one pochodzą.

6) Ewidencja przypadków udostępnienia danych prowadzona jest przez Właścicieli

zbiorów w wersji elektronicznej lub papierowej.

7) Ewidencja udostępnień prowadzona jest wg wzoru

8) Właściciel zbioru zobowiązany jest umożliwić dostęp Inspektorowi Ochrony Danych

do prowadzonych ewidencji udostępnień.

11. Przekazywanie danych osobowych poza Polskę

1) Administrator Danych Osobowych może przekazywać dane osobowe do:

• państw Europejskiego Obszaru Gospodarczego;

• pozostałych państw (państwa trzecie).

2) Przekazywanie danych osobowych w ramach EOG traktuje się tak, jakby były

przetwarzane na terenie Polski.

3) W przypadku przekazywania danych osobowych do państwa trzeciego, przekazywanie

następuje zgodnie z Rozdziałem V art. 44 – 49 RODO.

12. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w

którym przetwarzane są dane osobowe

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie

dokumentacji zawierającej wykaz budynków, pomieszczeń lub części pomieszczeń tworzący

obszar, w którym przetwarzane są dane osobowe zarówno w formie papierowej jak i

elektronicznej. Aktualny wykaz obszarów przetwarzania danych osobowych zawarto w

załączniku Z -PBDO.

13. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych

do przetwarzania tych danych

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie

dokumentacji zawierającej wykaz wszystkich zbiorów danych osobowych wraz ze

wskazaniem programów zastosowanych do przetwarzania tych danych.

14Opis struktury zbiorów danych osobowych

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie

dokumentacji zawierającej opis struktury zbiorów danych osobowych przetwarzanych w

firmie.

15Opis sposobu przepływu danych pomiędzy poszczególnymi systemami

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie

dokumentacji zawierającej opis sposobu przepływu danych pomiędzy poszczególnymi

systemami.

16. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia

poufności, integralności i rozliczalności przetwarzanych danych

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie

dokumentacji zawierającej określone środki techniczne i organizacyjne niezbędnych dla

zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Aktualny opis

stosowanych środków technicznych i organizacyjnych zawarto w AUDYCIE.

17Zarządzanie incydentami bezpieczeństwa danych osobowych

Szczegółowy sposób zarządzania incydentami dot. ochrony danych osobowych reguluje

przyjęta przez Administratora Danych Osobowych „Polityka zarządzania incydentami

bezpieczeństwa danych osobowych”.

18. Przepisy karne i porządkowe

Przepisy karne i porządkowe reguluje: Rozporządzenie Parlamentu Europejskiego i Rady

(UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z

przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz

uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

19. Postanowienia końcowe

W sprawach nieuregulowanych w niniejszej Polityce Bezpieczeństwa Danych Osobowych

mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE)

2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z

przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz

uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).