Polityka ochrony danych osobowych

Polityka ochrony danych

osobowych w Elektro-Hurt Sp. z o.o.

Spis treści

Cel i zakres stosowania Polityki .......................................................................................................... 1

Odpowiedzialność za realizowanie postanowień Polityki ................................................................... 2

Osoby uprawnione do przetwarzania danych ...................................................................................... 2

Obowiązek zachowania poufności ....................................................................................................... 3

Zasady ochrony danych ....................................................................................................................... 3

Obowiązki osób upoważnionych do przetwarzania danych ................................................................ 4

Obowiązki kierownictwa ..................................................................................................................... 5

Zadania i status inspektora ochrony danych ........................................................................................ 6

Obowiązki administratorów systemów informatycznych .................................................................... 6

Realizowanie obowiązków informacyjnych ........................................................................................ 7

  Obowiązek informacyjny wobec osoby, od której zbiera się dane bezpośrednio ........................... 8

  Obowiązek informacyjny, gdy dane zostały uzyskane z innego źródła .......................................... 9

Realizowanie praw osób, których dane dotyczą ................................................................................ 10

Współadministrowanie danych .......................................................................................................... 11

Powierzenie danych osobowych ........................................................................................................ 11

Udostępnianie danych osobowych ..................................................................................................... 12

Postępowanie przy naruszeniu ochrony danych ................................................................................ 12

Analiza ryzyka i ocena skutków dla ochrony danych ........................................................................ 14

Cel i zakres stosowania Polityki

    1. Polityka ochrony danych osobowych (dalej Polityka) zostaje wprowadzona

      w Elektro-Hurt Sp. z o.o. będącym Administratorem danych osobowych

      przetwarzanych na potrzeby bieżącej działalności w celu zapewnienia

      należytej ochrony danych osobowych.

    2. Ze względu na zjawisko pojawiania się nowych kategorii zagrożeń, a także zmieniający się

      charakter zagrożeń już istniejących, kierownictwo Elektro-Hurt Sp. z o.o. traktuje ochronę danych

      osobowych jako proces wymagający ciągłego doskonalenia, modyfikowania

      i dostosowywania rozwiązań technicznych i organizacyjnych.

    3. Celem Polityki jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i

      reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki

      Administratora danych w zakresie zabezpieczenia danych osobowych, zapewnienie przez

      kierownictwo wytycznych i wsparcia dla działań na rzecz ochrony danych.

    4. Intencją kierownictwa jest zapewnienie odpowiedniego poziomu wiedzy w zakresie

      zachowania poufności danych oraz poszanowania dla praw osób, których dane dotyczą.

1   Polityka ma charakter przykładowy, wymaga dostosowania do specyfiki jednostki.

      Poprzez wdrożenie Polityki kierownictwo Elektro-Hurt Sp. z o.o. stara się zapewnić gwarancję

      poufności, rozliczalności oraz integralności danych. Jako główne obszary zagrożeń

      wskazuje się:

      ◦  możliwy brak wiedzy osób zatrudnionych przy przetwarzaniu danych,

      ◦  nieskuteczne środki ochrony danych,

      ◦  zbyt długi czas przechowywania,

      ◦  ryzyka naruszenia bezpieczeństwa systemów          informatycznych     w    związku

         z przetwarzaniem danych w formie elektronicznej,

      ◦  brak zachowania właściwych procedur organizacyjnych, w szczególności zasad

         przechowywania i niszczenia danych.

    5. Ważnym pod względem zagrożeń bezpieczeństwa danych osobowych obszarem jest sieć

      teleinformatyczna Elektro-Hurt Sp. z o.o. oraz systemy służące do przetwarzania danych.

      Wprowadzając Politykę, kierownictwo pragnie zapewnić wysoki poziom bezpieczeństwa.

    6. Zasady określone w Polityce dotyczą każdej osoby, która jest uprawniona do przetwarzania

      danych osobowych, dla których administratorem jest Elektro-Hurt Sp. z o.o. lub jest uprawniona do

      przebywania w miejscach przetwarzania danych, w szczególności obowiązują każdego

      Jana Kowalskiego, Annę Nowak, Piotra Wiśniewskiego, Marię Zielińską, Krzysztofa Kamińskiego, Ewę Wójcik.

Odpowiedzialność za realizowanie postanowień Polityki

    1. Kierownictwo Elektro-Hurt Sp. z o.o., będąc uprawnionym do działania w imieniu Elektro-Hurt Sp. z o.o.

      (Administratora danych), odpowiada za realizowanie postanowień Polityki ochrony danych,

      a także za zapewnianie ochrony danych osobowych na poziomie adekwatnym do ryzyk

      i zagrożeń dla tych danych.

    2. Wyznaczony w Elektro-Hurt Sp. z o.o. Inspektor Ochrony Danych (dalej IOD) odpowiada za

      monitorowania zgodności przetwarzania danych osobowych w Elektro-Hurt Sp. z o.o., w tym

      weryfikację skuteczności oraz stosowania niniejszej Polityki.

Osoby uprawnione do przetwarzania danych

Do przetwarzania danych osobowych mogą zostać dopuszczone tylko i wyłącznie osoby, które

otrzymały upoważnienie od Kierownictwa Elektro-Hurt Sp. z o.o.. Zakres czynności dla osoby dopuszczonej

do przetwarzania danych, powinien określać zakres odpowiedzialności tej osoby za ochronę danych,

w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.

Upoważnienia nadaje się zgodnie ze wzorem stanowiącym załącznik nr EH/UP/001 do Polityki.2

Procedura nadawania / zmieniania / odwoływania upoważnień znajduje się w załączniku nr EH/UP/002 do Polityki.3

2   Przykładowy wzór Upoważnienia dla Elektro-Hurt Sp. z o.o. (ul. Kwiatowa 1, 00-001 Warszawa)

Obowiązek zachowania poufności

Każda osoba dopuszczona zarówno do przebywania, jak i przetwarzania danych w obszarach

przetwarzania danych musi zostać zobowiązana do zachowania tych danych oraz sposobu ich

zabezpieczeń w poufności.

Każda osoba upoważniona jest obligowana do zachowania poufności w momencie podpisania

upoważnienia.

Wzór zobowiązania do poufności dla osób, którym nie zostało nadane upoważnienie do

przetwarzania danych, a które są uprawnione do przebywania w miejscach przetwarzania danych

(np. sprzątaczki) stanowi załącznik nr EH/ZP/001 do Polityki.4

Zasady ochrony danych

    1. Przetwarzanie danych w Elektro-Hurt Sp. z o.o. odbywa się z poszanowaniem zasad określonych w

      art. 5 RODO, tzn. dane osobowe są:

      ◦  przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane

         dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

      ◦  zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane

         dalej w sposób niezgodny z tymi celami („ograniczenie celu”);

      ◦  adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są

         przetwarzane („minimalizacja danych”);

      ◦  prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania,

         aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały

         niezwłocznie usunięte lub sprostowane („prawidłowość”);

      ◦  przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą,

         przez okres niezbędny do realizacji celu przetwarzania („ograniczenie przechowywania”);

      ◦  przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych,

         w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz

         przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich

         środków technicznych lub organizacyjnych („integralność i poufność”).

    2. Realizowanie powyższych zasad zapewnia rozliczalność danych.

    3. Stosowanie zasad ochrony danych osobowych jest obowiązkiem każdego pracownika,

      w szczególności poprzez stosowanie postanowień niniejszej Polityki oraz niezwłoczne

      konsultowanie spraw dotyczących przetwarzania danych z IOD.

3 Przykładowy wzór Procedury (ul. Kwiatowa 1, 00-001 Warszawa)

4 Wzór oświadczenia o zachowaniu poufności dla firmy sprzątającej (ul. Kwiatowa 1, 00-001 Warszawa)

   4. Zabronione jest gromadzenie danych osobowych do nowych celów przetwarzania lub

     w szerszym zakresie niż dotychczas zatwierdzony bez konsultacji z IOD oraz zgody

     Kierownictwa Elektro-Hurt Sp. z o.o..

   5. Dane należy zawsze gromadzić i wykorzystywać w jasno określonych i wyraźnych celach.

     Zabronione jest zbieranie danych na zapas.

   6. Należy gromadzić dane w jak najwęższym zakresie, niezbędnym do zrealizowania celu

     przetwarzania.

   7. Dane osobowe należy niszczyć niezwłocznie po ustaniu ich przydatności, w szczególności

     niszcząc w niszczarce wszelkie kopie robocze, niezwłocznie usuwając robocze pliki i

     zbędne wiadomości e-mail.

Obowiązki osób upoważnionych do przetwarzania danych

   1. Przetwarzanie danych osobowych jest dozwolone tylko w zakresie udzielonego przez

     Elektro-Hurt Sp. z o.o. upoważnienia do przetwarzania danych.

   2. Przed uzyskaniem dostępu do danych osobowych, należy odbyć szkolenie w zakresie

     obowiązujących przepisów prawa i zasad ochrony danych osobowych.

   3. Osoba upoważniona:

     ◦  Przetwarza dane osobowe, do których otrzymała pisemne upoważnienie;

     ◦  Sprawuje nadzór nad danymi, do których została upoważniona;

     ◦  Odpowiada za niedopuszczenie osób nieupoważnionych do danych, do których ma

       dostęp;

     ◦  Ma obowiązek zgłaszać wszelkie incydenty lub podejrzenia naruszenia zasad

       bezpieczeństwa danych do kierownictwa oraz IOD;

     ◦  Ma obowiązek brać udział w szkoleniach z bezpieczeństwa informacji, na które została

       skierowana;

     ◦  Jest zobowiązana zachować wszystkie dane oraz sposób ich zabezpieczenia w poufności

       pod rygorem kary porządkowej i/lub

       odpowiedzialnością z ustawy o ochronie danych osobowych, a także kar umownych;

     ◦  Jest zobowiązana zmieniać hasło do systemu operacyjnego (np. Windows) oraz

       systemów służących do przetwarzania danych osobowych (nie rzadziej niż co 3 miesiące)

       i nikomu go nie udostępniać;

     ◦  Jest zobowiązana podczas pracy zdalnej zachować szczególną ostrożność;

     ◦  Jest zobowiązana do uniemożliwienia dostępu lub podglądu danych osobom

       nieupoważnionym;

     ◦  Jest zobowiązana do wykonywania bez zbędnej zwłoki poleceń kierownictwa w zakresie

       ochrony danych osobowych, jeśli są one zgodne z przepisami powszechnie

       obowiązującego prawa;

      ◦  Jest zobowiązana do podejmowania współpracy przy ustaleniu przyczyn naruszenia

        ochrony danych osobowych oraz usuwania skutków tych naruszeń, w tym zapobiegania

        ich ewentualnemu ponownemu wystąpieniu.

   4. Udostępnianie danych podmiotom upoważnionym do ich otrzymania, na podstawie

     przepisów prawa, powinno odbywać się według określonych odrębnymi przepisami

     procedur postępowania i w zgodzie z Polityką. O każdym żądaniu należy poinformować

     IOD.

Obowiązki kierownictwa

Kierownictwo Elektro-Hurt Sp. z o.o.:

   1. Odpowiada za zapewnienie ochrony danych osobowych w Elektro-Hurt Sp. z o.o. i sprawuje nadzór

     nad ochroną danych;

   2. Nadaje/zmienia/odwołuje upoważnienia do przetwarzania danych osobowych dla osób,

     które mają mieć dostęp do danych;

   3. Odpowiada za zapewnienie przeszkolenia osób upoważnionych do przetwarzania danych;

   4. Jest uprawnione do powierzania danych osobowych, gdy jest to niezbędne do zrealizowania

     umowy na rzecz firmy zewnętrznej;

   5. Udostępnia dane osobowe podmiotom upoważnionym na ich wniosek;

   6. Zgłasza naruszenie ochrony danych osobowych do PUODO, a gdy to konieczne

     zawiadamia także osoby, których dane dotyczą o naruszeniu;

   7. Odpowiada za wdrożenie i aktualność Polityki;

   8. Wdraża działania mające na celu podwyższenie poziomu bezpieczeństwa;

   9. Wypełnia obowiązki informacyjne wynikające z przepisów RODO;

  10. Wyznacza Inspektora Ochrony Danych i zapewnia mu odpowiednie zasoby do realizowania

     jego zadań;

  11. Dokonuje analizy ryzyka i zagrożeń oraz oceny skutków dla ochrony danych niezbędnych

     do prawidłowego określenia środków niezbędnych do zapewnienia poufności informacji;

  12. Konsultuje z Inspektorem Ochrony Danych Osobowych analizę ryzyka i ocenę skutków dla

     ochrony danych;

  13. Zapewnia, aby Inspektor Ochrony Danych Osobowych był właściwie i niezwłocznie

     włączany we wszystkie sprawy dotyczące ochrony danych osobowych;

  14. Wspiera Inspektora Ochrony Danych Osobowych w wypełnianiu przez niego zadań,

     o których mowa w art. 39 RODO, zapewniając mu zasoby niezbędne do wykonania tych

     zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne

     do utrzymania jego wiedzy fachowej;

Zadania i status inspektora ochrony danych

Inspektor Ochrony Danych:

   1. Wyznaczony jest przez kierownictwo do monitorowania zgodności przetwarzania danych

     w Elektro-Hurt Sp. z o.o. z przepisami o ochronie danych osobowych;

   2. Jest niezależny i na mocy przepisów RODO nie może otrzymywać instrukcji co do sposobu

     wykonywania swoich działań;

   3. Jest włączany przez kierownictwo oraz osoby upoważnione, we wszystkie sprawy dotyczące

     ochrony danych osobowych;

   4. Stanowi punkt kontaktowy dla PUODO oraz osób, których dane dotyczą, dla których

     administratorem danych jest Elektro-Hurt Sp. z o.o.;

   5. Monitoruje zgodność przetwarzania informacji zgodnie z przepisami, w szczególności

     poprzez prowadzenie sprawdzeń w tym zakresie oraz kontrolę zapisów umów oraz

     dokumentacji związanej z bezpieczeństwem informacji;

   6.  Przeprowadza lub organizuje szkolenia dla osób dopuszczonych do przetwarzania

      informacji;

   7. Opiniuje wnioski o udostępnienie danych osobowych, a w przypadku udostępnienia

     odnotowuje informację o udostępnieniu;

   8. Nadzoruje wypełnienie obowiązku informacyjnego wynikającego z art; 13 i 14 RODO oraz

     realizacji praw osób, których dane dotyczą na podstawie art; 15-22 RODO;

   9.  Kontroluje wypełnianie obowiązku powierzenia danych osobowych innym podmiotom,

     w tym przygotowuje/opiniuje odpowiednie zapisy umowne w tym zakresie;

  10. Opiniuje Kierownictwu działania mające na celu podwyższenie poziomu bezpieczeństwa

     danych osobowych;

  11. Informuje Kierownictwo o wszelkich incydentach lub podejrzeniach naruszenia

     bezpieczeństwa informacji.

  12. Prowadzi postępowanie wyjaśniające oraz działania prewencyjne w przypadku wystąpienia

     incydentu bezpieczeństwa, w szczególności naruszenia dla ochrony danych osobowych.

Obowiązki administratorów systemów informatycznych

Administrator systemu informatycznego:

   1. Posiada uprawnienia do nadawania/zmiany/odbierania uprawnień użytkowników do

     systemów, dla których jest użytkownikiem na prawach administratora;

   2. Wyznaczony przez kierownictwo do sprawowania nadzoru nad systemem informatycznym;

   3. Odpowiada za nadanie/zmianę/odwołanie dostępu do systemu informatycznego dla osoby

     upoważnionej w zakresie zgodnym z upoważnieniem;