§ 1
Niniejszym LIDER Seweryn Baranek ustanawia politykę bezpieczeństwa danych osobowych w organizacji, która określa cele i zasady jakim podlega bezpieczeństwo danych osobowych w spółce zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych osobowych).
§ 2
Definicje
Ilekroć w niniejszym dokumencie jest mowa o:
1) Inspektorze Ochrony Danych (IOD) - należy przez to rozumieć osobę wyznaczoną przez ADO, odpowiedzialną za nadzór nad przestrzeganiem zasad ochrony danych osobowych w organizacji;
2) administratorze danych osobowych (ADO) - należy przez to rozumieć LIDER Seweryn Baranek
3) analizie ryzyka - należy przez to rozumieć proces mający na celu oszacowanie wagi ryzyka rozumianej jako funkcja prawdopodobieństwa wystąpienia skutku i krytyczności jego następstw dla organizacji;
4) autentyczności - należy przez to rozumieć właściwość oznaczającą, że zawartość zasobu informatycznego oraz tożsamość osoby lub innego systemu informatycznego, mającego dostęp do tego zasobu jest taka, jak deklarowana;
5) danych osobowych - należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane przez Administratora Danych zarówno w systemach informatycznych, jak i tradycyjnie;
6) zbiorze danych - należy przez to rozumieć uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
7) dostępności informacji - należy przez to rozumieć prawdopodobieństwo, że w ustalonej chwili osoby upoważnione będą miały dostęp do danych osobowych, a system będzie poprawnie realizował usługi zlecone przez użytkownika;
8) haśle - należy przez to rozumieć ciąg znaków literowych, cyfrowych lub innych, znany jedynie Użytkownikowi;
9) naruszeniu ochrony danych osobowych - należy przez to rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
10) integralności danych - należy przez to rozumieć właściwość zasobu informatycznego oznaczającą, że nie nastąpiła nieautoryzowana zmiana;
11) koncie administracyjnym - należy przez to rozumieć konto w systemie informatycznym wykorzystywane przez administratora systemu lub upoważnione osoby w celu zapewnienia prawidłowego funkcjonowania systemu;
12) mechanizmie kontroli - należy przez to rozumieć rozwiązanie techniczne, organizacyjne, proceduralne służące ochronie informacji i ograniczające ryzyko; po wdrożeniu właściwego mechanizmu kontrolnego pozostaje jedynie ryzyko szczątkowe;
LIDER Seweryn Baranek
ul. Kruszcowa 1C, 70-730 Szczecin
NIP 955-19-39-775
13) nośniku informacji - należy przez to rozumieć wszelkiego rodzaju nośniki danych służące do zapisu i przechowywania danych używane w procesie przetwarzania, w szczególności dyski twarde, płyty CD/DVD, taśmy do streamerów, pamięci przenośne, dyski magnetooptyczne, dokumenty w formie papierowej;
14) ochronie - należy przez to rozumieć zespół środków organizacyjno-technicznych prawnych zapewniających bezpieczeństwo informacji;
15) organizacji - należy przez to rozumieć LIDER Seweryn Baranek
16) osobie możliwej do zidentyfikowania - należy przez to rozumieć osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne;
17) podatności - należy przez to rozumieć słabość zasobu informatycznego, która może zostać wykorzystana przez zagrożenie;
18) poufności - należy przez to rozumieć właściwość zasobu informatycznego zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
19) procesie zarządzania bezpieczeństwem systemów informatycznych - należy przez to rozumieć całość działań organizacyjno-technicznych i prawnych podejmowanych przez organizację, mających na celu właściwą ochronę informacji oraz minimalizację skutków w przypadku naruszenia ochrony danych osobowych ;
20) przetwarzaniu - należy przez to rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie ;
21) rozliczalności - należy przez to rozumieć właściwość zasobu informatycznego oznaczającą, że wykonane na nim działania mogą być jednoznacznie przypisane wykonującej je osobie lub systemowi informatycznemu;
22) ryzyku - należy przez to rozumieć prawdopodobieństwo tego, że zagrożenie wykorzysta podatność, powodując skutek;
23) ryzyku operacyjnym - należy przez to rozumieć ryzyko wynikające z nieodpowiednich procedur wewnętrznych, błędów ludzkich i zawodności systemów lub z czynników zewnętrznych. Materializacja ryzyka operacyjnego polega na utracie zasobów lub utracie kontroli nad tymi zasobami;
24) skutku - należy przez to rozumieć negatywne następstwo naruszenia bezpieczeństwa danych osobowych dla organizacji;
25) systemie informatycznym - należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
26) systemie zarządzania bezpieczeństwem danych osobowych - należy przez to rozumieć całościowy i uporządkowany układ, który tworzą następujące procedury i procesy:
a) ustanowienie polityki bezpieczeństwa danych osobowych
b) określenie zakresu zarządzania bezpieczeństwem danych osobowych,
c) ocenę zagrożeń bezpieczeństwa danych osobowych i zarządzanie ryzykiem związanym z zagrożeniami,
d) wprowadzenie standardów bezpieczeństwa danych,
e) opracowanie planu ciągłości działania,
f) edukację pracowników w zakresie bezpieczeństwa informacji,
g) weryfikację zgodności procedur bezpieczeństwa z Polityką oraz przepisami prawa;
27) trwałym usunięciu informacji - należy przez to rozumieć sposób postępowania z nośnikiem informacji mający na celu usunięcie zapisanych na nim informacji, tak aby ich odtworzenie w całości lub w części było niemożliwe;
28) użytkowniku - należy przez to rozumieć pracownika organizacji oraz inne osoby, przy pomocy których organizacja wykonuje swoje czynności, posiadające uprawnienia do pracy w systemie informatycznym, zgodnie z zakresem obowiązków służbowych i nadanymi uprawnieniami;
LIDER Seweryn Baranek
ul. Kruszcowa 1C, 70-730 Szczecin
NIP 955-19-39-775
29) właściwej ochronie - należy przez to rozumieć wdrożenie i eksploatację stosownych środków technicznych, organizacyjnych i prawnych stosowanych w celu zapewnienia bezpieczeństwa informacji, przy jednoczesnym uwzględnieniu opłacalności ekonomicznej, wrażliwości informacji i kategorii systemu informatycznego, poziomu akceptacji ryzyka szczątkowego oraz spełnieniu wymogów prawnych; zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
30) zagrożeniu - należy przez to rozumieć stan faktyczny, który może spowodować naruszenie bezpieczeństwa informacji;
Stosowane skróty:
1) ADO - Administrator Danych Osobowych,
2) IOD - Inspektor Ochrony Danych ,
3) Polityka - Polityka Bezpieczeństwa Danych Osobowych,
§ 3
Cele polityki bezpieczeństwa ochrony danych
1. Bezpieczeństwo danych osobowych będących w posiadaniu organizacji rozumiane jest jako zapewnienie zgodności przetwarzania z prawem i zachowanie poufności, integralności, rozliczalności oraz dostępności danych osobowych.
2. Polityka oraz dokumenty powiązane to procedury opisujące całokształt działań zmierzających do uzyskania i utrzymania wymaganego poziomu bezpieczeństwa danych osobowych i przetwarzania danych osobowych w sposób zgodny z prawem.
3. Celem strategicznym polityki jest osiągnięcie akceptowalnego poziomu bezpieczeństwa danych osobowych w organizacji.
4. Celami Szczegółowymi polityki są:
- określenie podstaw organizacyjnych do wdrożenia systemu zarządzania bezpieczeństwem danych osobowych w organizacji,
- określenie obowiązków poszczególnych członków organizacji względem przetwarzania danych osobowych i zbiorów danych osobowych,
- określenie zbiorów danych osobowych w organizacji
- określenie sposobów postępowania członków organizacji w zakresie przetwarzania danych osobowych i zachowania bezpieczeństwa przetwarzania,
- zapewnienie właściwego poziomu bezpieczeństwa danych osobowych zgodnie z najlepszymi praktykami wynikającymi z polskich przepisów i norm,
- zabezpieczenie zasobów systemów informatycznych, infrastruktury technicznej, sprzętu i osprzętu przed kradzieżą, zniszczeniem, uszkodzeniem, lub nieumyślnym ujawnieniem.
- zapewnienie gotowości do podejmowania działań w wypadkach naruszenia ochrony danych osobowych i określenie sposobów postępowania w razie naruszenia ochrony danych osobowych
- ochrona wizerunku organizacji jako podmiotu zachowującego ochronę danych osobowych.
5. Polityka dotyczy wszystkich osób zatrudnionych w organizacji, w rozumieniu Kodeksu pracy, a także osób, przy pomocy których organizacja wykonuje swoje czynności, a które przyjęły na siebie zobowiązanie dotyczące jej przestrzegania.
6. Przedstawione w niniejszym dokumencie środki i metody ochrony informacji dotyczą wszelkich jej form zapisu, w tym informacji zapisanych na nośnikach elektronicznych, optycznych, magnetycznych i papierowych.
LIDER Seweryn Baranek
ul. Kruszcowa 1C, 70-730 Szczecin
NIP 955-19-39-775
§ 4
Zadania ADO
1.ADO zapewnia:
a) gromadzenie danych osobowych w sposób zgodny z prawem tj. na podstawie zgody osoby, której dane dotyczą lub na podstawie wyraźnego przepisu prawa nie wymagającego zgody tej osoby,
b) gromadzenie i przetwarzanie danych w sposób rzetelny i przejrzysty dla osoby, której dane dotyczą,
c)gromadzenie i przetwarzanie danych w sposób adekwatny, stosowny oraz ograniczony w stosunku do celów dla których są przetwarzane,
d)gromadzenie i przetwarzanie danych w sposób prawidłowy i zgodny z rzeczywistym
e) przetwarzane przez określony czas przez wskazanie okresu przez jaki będą przetwarzane lub podstaw do jego ustalenia,
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (?integralność i poufność?),
g) wykonanie obowiązku informacyjnego w stosunku do osób, których dane dotyczą zgodnie z określonymi w Rozporządzeniu trybami gromadzenia danych osobowych,
h) ochronę danych w wypadkach ich powierzenia podmiotom przetwarzającym poprzez dochowanie obowiązku zawarcia umowy odpowiadającej wymogom przepisu art. 28 ust. 3 Rozporządzenia.
§ 5
Kompetencje ADO
ADO:
1) podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie oraz technik i środków zabezpieczenia danych osobowych;
2) nadaje uprawnienia poszczególnym użytkownikom systemu do przetwarzania danych osobowych przez akceptację wniosku o nadanie uprawnień lub odmawia nadania uprawnień do przetwarzania danych osobowych;
3) wyznacza, rekomenduje i egzekwuje wykonanie zadań związanych z ochroną danych osobowych w całej organizacji;
4) - w razie potrzeby - powołuje Inspektora Ochrony Danych;
5) zapewnia użytkownikom odpowiednie stanowiska i warunki pracy pozwalające na spełnianie wymagań niniejszej Polityki i powiązanych z nią dokumentów;
6) - w wypadku niepowołania IOD wykonuje zadania z zakresu ochrony danych osobowych i realizacji Polityki osobiście działając przez osoby uprawnione do reprezentowania ADO;
7) podejmuje odpowiednie działania w przypadku naruszenia ochrony danych lub wykrycia zagrożenia lub podatności.
§ 6
Zbiory danych - uprawnienie do przetwarzania
1.ADO identyfikuje i ujawnia zbiory danych osobowych w osobnym zestawieniu obejmującym:
1) podstawę prawną przetwarzania danych w ramach danego zbioru,
2) narzędzia przetwarzania i formę nośników danych osobowych,
3) cel przetwarzania danych w zbiorze i rodzaj danych,
4) przewidywany czas przetwarzania danych,
5) odbiorców danych osobowych w ramach poszczególnych zbiorów.
LIDER Seweryn Baranek
ul. Kruszcowa 1C, 70-730 Szczecin
NIP 955-19-39-775
2.Przetwarzanie danych osobowych w zakresie poszczególnych zbiorów odbywa się jedynie na podstawie nadania uprawnień do przetwarzania danych osobowych we wskazanym zakresie przez ADO.
3.Wniosek o nadanie uprawnień do przetwarzania danych osobowych składany jest przez użytkownika na formularzu stanowiącym załącznik do niniejszej polityki.
4.Użytkownik informuje ADO o ustaniu lub zmianie zakresu uprawnień do przetwarzania danych osobowych poprzez złożenie pisemnego wniosku na formularzu stanowiącym załącznik do niniejszej polityki.
5.Z momentem zakończenia zatrudnienia użytkownika ustaje jego uprawnienie do przetwarzania danych osobowych znajdujących się w posiadaniu ADO.
6.ADO może zmieniać zakres uprawnień do przetwarzania danych osobowych użytkownikom oraz cofać uprawnienia do przetwarzania danych.
7.ADO prowadzi wykaz osób uprawnionych do przetwarzania danych osobowych zawierający dane identyfikujące użytkownika zakres uprawnień oraz daty nadania, zmiany i cofnięcia uprawnień do przetwarzania danych osobowych.
§ 7
Zbiory powierzone
1. Organizacja przetwarza dane osobowe w zakresie powierzonych zbiorów danych osobowych jedynie na podstawie umowy odpowiadającej wymogom określonym w art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679.
2. Zbiory danych, które organizacja przetwarza jako podmiot przetwarzający podlegają ochronie na takich samych zasadach jak własne zbiory danych ADO.
3. Organizacja ujawnia powierzone jej zbiory danych osobowych w odrębnym wykazie obejmującym:
- podstawę prawną przetwarzania danych w ramach danego zbioru,
- narzędzia przetwarzania i formę nośników danych osobowych,
- cel przetwarzania danych w zbiorze i rodzaj danych,
- przewidywany czas przetwarzania danych,
- odbiorców danych osobowych w ramach poszczególnych zbiorów.
§ 8
Środki bezpieczeństwa
1.ADO stosuje następujące środki organizacyjne i techniczne dla ochrony poufności, integralności, i rozliczalności danych osobowych:
a)stosowanie polityki bezpieczeństwa,
b)stosowanie instrukcji przetwarzania danych osobowych,
c)prowadzenie rejestru zbiorów danych osobowych,
d)prowadzenie wykazu osób upoważnionych do przetwarzania danych,
e)szkolenie pracowników i innych użytkowników w zakresie obowiązujących przepisów o ochronie danych osobowych i zasad zachowania bezpieczeństwa danych osobowych,
f)nadawanie, zmiana i cofanie uprawnień do przetwarzania danych w sposób sformalizowany,
g) bieżąca kontrola stanu bezpieczeństwa zbiorów dokumentowych oraz nośników elektronicznych zawierających dane osobowe,
h) przeprowadzanie audytu w zakresie aktualności dokumentacji, oceny potrzeb przeprowadzania oceny skutków i prowadzenia rejestru czynności przetwarzania a także faktycznego przestrzegania obowiązujących zasad ochrony danych przez użytkowników,
i)bieżące aktualizowanie oprogramowania służącego do przetwarzania danych osobowych,
j)dostęp do miejsc, w których przetrzymywane są dane osobowe zabezpieczony jest kluczem, dostęp do klucza jest ograniczony do niezbędnego kręgu osób wchodzących w skład kierownictwa organizacji i podlega ewidencjonowaniu,
k)teren na którym znajduje się lokal organizacji poddany jest stałemu dozorowi służb ochrony i psów stróżujących, teren jest ogrodzony i zamykany poza godzinami pracy organizacji,
LIDER Seweryn Baranek
ul. Kruszcowa 1C, 70-730 Szczecin
NIP 955-19-39-775
l)sieć organizacji chroniona jest firewallem, a dostęp poszczególnych użytkowników limitowany jest poprzez delegowanie uprawnień z poziomu active directory,
m)każde urządzenie wyposażone jest w bieżąco aktualizowane oprogramowanie antywirusowe chroniące przed złośliwym oprogramowaniem i nieuprawnionym dostępem osób nieuprawnionych,
n)wszystkie nośniki elektroniczne są szyfrowane.
2.Każdy użytkownik jest odpowiedzialny za bezpieczne korzystanie ze swojej stacji roboczej w zakresie przetwarzania danych osobowych.
3.Instalacji nowego oprogramowania lub wprowadzenia nowego sprzętu IT do użytku w organizacji dokonuje jedynie ADO lub osoba przez niego upoważniona.
4.Wycofanie sprzętu z użytku odbywa się poprzez fizyczne uszkodzenie nośnika danych uniemożliwiającego odczytanie danych znajdujących się na nośniku.
5.Dane osobowe w formie papierowej niszczone są za pomocą niszczarki po upływie okresu ich przechowywania nie później niż w terminie 14 dni od upływu tego terminu.
§ 9
Szkolenia
1. Użytkownicy systemu w zakresie odpowiednim do swoich zadań i obowiązków są zobowiązani znać treść niniejszej Polityki Bezpieczeństwa Danych osobowych oraz dokumentów regulujących szczegółowo zasady zachowania bezpieczeństwa danych osobowych.
2. Każdy użytkownik systemu powinien zostać poinformowany o zakresie odpowiedzialności i obowiązków wynikających z niniejszej Polityki wraz z konsekwencjami prawnymi, a w przypadku pracowników, dyscyplinarnymi wynikającymi z naruszenia Polityki oraz dokumentów z nią powiązanych.
3. Każdy użytkownik systemu powinien podpisać stosowne zobowiązanie do przestrzegania regulacji wewnętrznych i zewnętrznych dotyczących tego obszaru.
4. Okresowym szkoleniom - stosownie do potrzeb wynikających ze zmian w systemie zabezpieczenia danych osobowych(zastosowania nowych sposobów, środków i form ochrony informacji) oraz w związku ze zmianą przepisów o ochronie informacji - podlegają wszyscy użytkownicy.
5. Szkolenia przeprowadza się cyklicznie, lub, w razie potrzeby, po zarządzeniu szkolenia przez ADO.
6. Niniejszą Politykę i dokumenty powiązane można przedstawiać podmiotom zewnętrznym na podstawie przepisów prawa lub pisemnej zgody udzielonej przez ADO.
§ 10
Analiza i ocena skutków dla naruszenia wolności i praw
1.ADO dokonuje analizy i oceny ryzyka naruszenia wolności i praw podmiotów danych osobowych w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10,
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
2.W przypadku konieczności dokonania analizy i oceny ryzyka ADO lub osoba przez niego upoważniona dokonuje następujących czynności:
a) opis planowanych czynności i celów przetwarzania,
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania,
c)ocenę poziomu ryzyka,
LIDER Seweryn Baranek
ul. Kruszcowa 1C, 70-730 Szczecin
NIP 955-19-39-775
d)środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie Rozporządzenia,
e) w wypadku braku możliwości zminimalizowania ryzyka do poziomu akceptowalnego dokonuje zgłoszenia do organu nadzorczego celem wykonania obowiązku konsultacji zgodnie z art. 36 Rozporządzenia.
§ 11
Naruszenie ochrony danych osobowych
1.W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
2. Zgłoszenie, o którym mowa w ust. 1, musi zawierać co najmniej:
a) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) zawierać oznaczenie punktu kontaktowego organizacji, od którego można uzyskać więcej informacji;
c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
4. Jeżeli - i w zakresie, w jakim - informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.
5. ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
6.Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
7.Zgłoszenie, o którym mowa w ust. 6 nie jest wymagane w wypadkach przewidzianych w przepisie art. 34 ust. 3 Rozporządzenia.
8. Postanowienia ust. 1-7 obowiązują od dnia 25 maja 2018 roku.
9.Każdy użytkownik systemu zobowiązany jest zgłosić ADO naruszenie ochrony danych osobowych lub podatność systemu ochrony danych osobowych lub stan zagrożenia naruszenia ochrony danych osobowych niezwłocznie podając:
a)dane zgłaszającego oraz datę i godzinę zgłoszenia
b)opis incydentu lub stanu zagrożenia lub podatności wraz z datą i godziną wystąpienia zdarzenia,
c)wskazanie innych okoliczności wystąpienia incydentu,
d)znane przyczyny wystąpienia zdarzenia,
e)podjęte dotychczas działania,
§ 12
Polityka tworzenia kopii zapasowych
1.ADO tworzy regularne kopie zapasowe danych przetwarzanych w systemach informatycznych znajdujących się na serwerach organizacji nie rzadziej niż raz na 3 dni.
2.Użytkownicy we własnym zakresie dokonują archiwizacji własnych zasobów informatycznych.
3.Kopie zapasowe tworzone są metodą różnicową oraz pełną.
4.ADO prowadzi wykaz kopii zapasowych do poszczególnych systemów.
5.ADO nie rzadziej niż raz na 6 miesięcy wykonuje test kopii zapasowej poprzez testowe odzyskanie danych z kopii zapasowej.
§ 13
Obowiązek informacyjny
1.W wypadku zwrócenia się do ADO przez osobę, której dane dotyczą z wnioskiem o potwierdzenie przetwarzania danych osobowych ADO podaje tej osobie:
a)cele przetwarzania,
b)kategorie odnośnych danych osobowych,
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
f) informacje o prawie wniesienia skargi do organu nadzorczego;
g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle.
2.Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu na jej wniosek złożony w formie dokumentowej po zweryfikowaniu tożsamości osoby występującej z wnioskiem.
§ 14
Przegląd Polityki i obowiązującej dokumentacji
1. Polityka i dokumenty powiązane podlegają przeglądom zarządczym i weryfikacji zgodnie z zasadami obowiązującymi w organizacji.
2. Przeglądy powinny być dokonywane co najmniej raz do roku lub w trakcie roku w przypadku wystąpienia znaczących zmian, powinny obejmować:
1) weryfikację zasad i ewentualne dostosowanie Polityki do zmieniającego się profilu ryzyka w organizacji;
2) adekwatność zapisów do zmian środowiska organizacyjnego;
3) adekwatność zapisów do zmian w budowie systemu informatycznego;
4) dostosowanie do zmian w obowiązującym prawie i norm nadzorczych.
3.Wszelkie zmiany w niniejszej Polityce wymagają akceptacji wg obowiązujących w organizacji procedur.
§ 15
Audyt i kontrola systemów informatycznych oraz zbiorów papierowych
1. Przez audyt lub kontrolę systemów informatycznych należy rozumieć czynności mające na celu uzyskanie racjonalnego zapewnienia, że mechanizmy kontroli eksploatacji systemów informatycznych i bezpieczeństwa informacji funkcjonują zgodnie z założeniami, są adekwatne do poziomu ryzyka, wymogów prawnych i obowiązujących norm. Sprawdzeniu podlega, czy mechanizmy kontroli wewnętrznej w systemie informatycznym i związanych z nim zasobach właściwie chronią informacje, utrzymują integralność, poufność i rzetelność danych.
2. Do przeprowadzania audytu lub kontroli systemów informatycznych upoważnione są w szczególności:
1) audytor wewnętrzny;
2) podmioty zewnętrzne z mocy prawa lub na podstawie umowy cywilno-prawnej.
3. Audyt lub kontrola zbiorów papierowych obejmuje zweryfikowanie istniejących zbiorów danych osobowych w formie papierowej, prawidłowości ich kwalifikacji, zgodności z zasadami bezpieczeństwa i zgodności z prawem w zakresie przetwarzania danych osobowych.
§ 16
Niniejsza Polityka wchodzi w życie z dniem podpisania i podlega ogłoszeniu wobec wszystkich użytkowników systemu w organizacji.