Polityka ochrony danych osobowych
Niniejsza polityka, zwana dalej „Polityką”, opisuje reguły i zasady ochrony danych osobowych
przetwarzanych przez INCREDEVO SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ ul.
Ksawerów 3 02-656 Warszawa. KRS: 0000904796 NIP 8992900371 zwaną dalej
„Administratorem”. Polityka jest dokumentem opisującym rozwiązania stosowane przez
Administratora w celu zabezpieczenia danych osobowych przetwarzanych przez niego.
Polityka została pierwotnie wdrożona w dniu 07.06.2021r Ostatnia aktualizacja Polityki miała
miejsce w dniu 1.07.2022 r
§ 1
Postanowienia wstępne
• Administrator prowadzi działalność gospodarczą związaną z oprogramowaniem,
doradztwem w zakresie informatyki, z zarządzaniem urządzeniami informatycznymi,
technologiami informatycznymi i komputerowymi, z inżynierią i związanym z nią doradztwo
techniczne, z zarządzaniem i optymalizacją usług chmurowych. W związku z prowadzoną
działalnością gospodarczą dochodzi do przetwarzania danych osobowych.
• Dane osobowe przetwarzane są przez Administratora zarówno w formie elektronicznej,
jak i papierowej.
• Celem Polityki jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących
aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe, w tym
zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak
wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
• Polityka opisuje również zasady zarządzania systemami informatycznymi służącymi do
przetwarzania danych osobowych
• Polityka została wdrożona w związku z treścią art. 24 ust. 2 RODO jako dowód dołożenia
należytej staranności w zakresie ochrony danych osobowych.
• Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne,
organizacyjne, oprogramowanie systemowe, aplikacje oraz samych użytkowników.
• Polityka stanowi element dokumentacji ochrony danych osobowych wdrożonej przez
Administratora, która to dokumentacja obejmuje, poza Polityką, następujące dokumenty:
• audyt przedwrożeniowy w postaci kwestionariusza i spotkań z działami,
• analiza ryzyka,
• rejestr czynności przetwarzania,
• rejestr kategorii czynności przetwarzania,
• wykaz powierzeń,
• dokumentacja dot. poszczególnych podmiotów przetwarzających,
• dekalog ochrony danych osobowych,
• wzór raportu z naruszenia ochrony danych osobowych,
• ewidencja incydentów ochrony danych osobowych,
• wzór upoważnienia do przetwarzania danych osobowych,
• ewidencja osób upoważnionych,
• rejestr realizacji uprawnień podmiotów danych,
• wzór umowy powierzenia przetwarzania danych osobowych,
• dokumenty służące do realizacji obowiązków informacyjnych,
• polityka prywatności strony internetowej,
• polityka prywatności dot. korespondencji e-mail,
• dokumenty służące do obsługi uprawnień podmiotów danych,
• wzór raportu z przeglądu dokumentacji ochrony danych osobowych.
§ 2
Zakres zastosowania
• Polityka zawiera informacje dotyczące zasad przetwarzania danych osobowych, do
którego dochodzi w związku z prowadzoną przez Administratora działalnością
gospodarczą.
• Politykę stosuje się w szczególności do:
• danych osobowych przetwarzanych w formie papierowej,
• danych osobowych przetwarzanych w systemach informatycznych,
• informacji dotyczących zabezpieczenia danych osobowych, w tym
w szczególności nazw kont i haseł w systemach przetwarzania danych
osobowych,
• rejestru osób dopuszczonych do przetwarzania danych osobowych,
• innych dokumentów zawierających dane osobowe.
• Zasady ochrony danych osobowych określone przez Politykę mają zastosowanie do
wszystkich systemów informatycznych, w których przetwarzane są dane osobowe,
wszystkich lokalizacji, w których przetwarzane są dane osobowe oraz wszystkich osób
mających dostęp do danych osobowych z upoważnienia Administratora, a w szczególności:
• wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów
informatycznych, w których przetwarzane są dane osobowe podlegające
ochronie,
• wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą
przetwarzane informacje podlegające ochronie,
• wszystkich pracowników, zleceniobiorców, wykonawców umów o dzieło,
wykonawców umów o świadczenie usług, praktykantów, stażystów i innych osób
mających dostęp do informacji podlegających ochronie.
• Polityka nie dotyczy podmiotów zewnętrznych, które przetwarzają dane osobowe
powierzone im do przetwarzania przez administratora danych osobowych na podstawie
stosownych umów powierzenia. Podmioty te stosują własne procedury i środki
bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa,
do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych
osobowych. Nie dotyczy to osób współpracujących z Administratorem w modelu B2B, z
którymi również, z ostrożności, zostały zawarte umowy powierzenia. Te osoby również
zobowiązane są przestrzegać zasad ochrony danych osobowych wynikających z Polityki oraz
dekalogu ochrony danych osobowych.
§ 3
Bezpieczeństwo danych osobowych
• Utrzymanie bezpieczeństwa przetwarzanych danych osobowych rozumiane jest jako
zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim
poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych
osobowych.
• Zastosowane zabezpieczenia mają służyć zapewnieniu bezpieczeństwa danych osobowych
i zapewnić:
• poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są
udostępniane nieupoważnionym osobom,
• integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie
zostały zmienione lub zniszczone w sposób nieautoryzowany
• rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby
mogą być przypisane w sposób jednoznaczny tylko tej osobie
• integralność systemu – rozumianą jako nienaruszalność systemu, niemożność
jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej
• dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają
dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne
• zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania
i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może
dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
• Bezpieczeństwo danych osobowych opiera się o filary ochrony danych osobowych
stosowane przez Administratora:
• legalność – Administrator dba o ochronę prywatności i przetwarzane dane zgodnie z
prawem,
• bezpieczeństwo – Administrator zapewnia odpowiedni poziom bezpieczeństwa
danych, podejmując stale działania w tym zakresie,
• prawa jednostki – Administrator umożliwia osobom, których dane przetwarza,
wykonywanie swoich praw i prawa te realizuje,
• rozliczalność – Administrator dokumentuje to, w jaki sposób spełnia obowiązki, aby w
każdej chwili móc wykazać zgodność.
§ 4
Administrator danych osobowych (ADO)
• Administratorem danych osobowych jest INCREDEVO SPÓŁKA Z OGRANICZONĄ
ODPOWIEDZIALNOŚCIĄ ul. Ksawerów 3 02-656 Warszawa. KRS: 0000904796 NIP
8992900371
• Do najważniejszych zadań Administratora należy:
• wdrożenie, utrzymywanie i aktualizowanie Polityki,
• organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami
obowiązujących przepisów prawa,
• zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki,
• wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
• prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
• weryfikacja podmiotów przetwarzających i zawieranie umów powierzenia,
• prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych
osobowych i zgłoszenie faktu naruszenia organowi nadzorczemu oraz zawiadomienie
o tym osoby, której dane dotyczą,
• nadzór nad bezpieczeństwem danych osobowych,
• inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych,
• przeprowadzanie szkoleń użytkowników przed przystąpieniem przez nich do
przetwarzania danych osobowych,
• pozbawianie urządzeń i innych nośników informacji przeznaczonych do likwidacji
zapisu danych lub – gdy nie jest to możliwe – uszkadzanie je trwale w sposób
uniemożliwiający odczytanie danych,
• nadzorowanie usuwania awarii sprzętu komputerowego w sposób zapewniający
bezpieczeństwo przetwarzanych danych osobowych,
• nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane
osobowe,
• nadzór nad czynnościami związanymi z ochroną przeciwwirusową, czynnościami
serwisowymi dotyczącymi komputerów oraz systemów operacyjnych, przy
wykorzystaniu których przetwarzane są dane osobowe,
• podejmowanie i nadzorowanie wszelkich innych działań zmierzających do
zapewnienia bezpieczeństwa przetwarzanych w systemie informatycznym danych
osobowych.
• Za realizację zadań związanych z ochroną danych osobowych odpowiedzialny jest sam
administrator.
§ 5
Inspektor ochrony danych osobowych (IODO)
• Administrator nie wyznaczył inspektora ochrony danych osobowych świadomie,
stwierdzając, że nie ciąży na nim taki obowiązek na podstawie art. 37 RODO ze względu na
fakt, że:
• nie jest organem ani podmiotem publicznym,
• jego główna działalność nie polega na operacjach przetwarzania, które ze względu na
swój charakter, zakres lub cele wymagają regularnego i systematycznego
monitorowania osób, których dane dotyczą, na dużą skalę,
• jego główna działalność nie polega na przetwarzaniu na dużą skalę szczególnych
kategorii danych osobowych ani danych osobowych dotyczących wyroków
skazujących i czynów zabronionych (administrator w ogóle nie przetwarza tego
rodzaju danych osobowych).
§ 6
Obsługa informatyczna
• Administrator powierzył wykonywanie czynności związanych z obsługą informatyczną
wewnętrznemu działom organizacji.
• Do czynności, o których mowa powyżej, należy:
• bieżący monitoring i zapewnienie ciągłości działania komputerów i innych urządzeń
wykorzystywanych do przetwarzania danych osobowych oraz systemów
operacyjnych,
• optymalizację wydajności komputerów i innych urządzeń wykorzystywanych do
przetwarzania danych osobowych oraz systemów operacyjnych,
• instalację i konfiguracje sprzętu sieciowego i serwerowego,
• instalację i konfigurację oprogramowania systemowego, sieciowego,
• konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz
zabezpieczającym dane chronione przed nieupoważnionym dostępem,
• nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń
mających wpływ na bezpieczeństwo przetwarzania danych,
• współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego,
• zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego,
sieciowego,
• zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających
ich przetwarzanie,
• przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
• przyznawanie na wniosek administratora danych osobowych ściśle określonych praw
dostępu do informacji w danym systemie,
• wnioskowanie do administratora danych osobowych w sprawie zmian lub
usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń,
• zarządzanie licencjami, procedurami ich dotyczącymi,
• prowadzenie profilaktyki antywirusowej.
§ 7
Obszar przetwarzania danych
• Dane osobowe przetwarzane są w obrębie siedziby Administratora, tj. pod następującym
adresem: ul. Ksawerów 3 02-656 Warszawa. W siedzibie pomieszczenia są odpowiednio
zabezpieczone przed dostępem osób trzecich, a także nieupoważnionych. Osoby
współpracujące oraz pracownicy mają dostęp jedynie do tych danych, które są niezbędne
do realizacji ich obowiązków.
• Dane osobowe są również przetwarzane poza siedzibą Administratora z uwagi na
wykorzystywanie do pracy urządzeń mobilnych pozwalających przetwarzać dane w
dowolnym czasie i z dowolnego miejsca. Dane te są przetwarzane na komputerach oraz
telefonach należących do Administratora oraz osób współpracujących z Administratorem.
W tym zakresie stosowane są środki ostrożności takie jak m.in.: aktywowanie
dwuskładnikowego logowania wszędzie tam, gdzie jest to możliwe, stosowanie polityki
czystego pulpitu, posługiwanie się silnymi hasłami składającym się co najmniej z 8 znaków,
w tym liter i cyfr, szyfrowanie dysków, korzystanie z szyfrowanej teletransmisji, a także
aktywowanie wygaszaczy ekranów na komputerach do przetwarzania danych osobowych
po określonym czasie nieaktywności użytkownika. Wszystkie czynności podejmowane w
związku z przetwarzaniem danych osobowych poza siedzibą Administratora muszą być
wykonywane z należytą dbałością o zabezpieczenie danych osobowych i zapewnienie ich
poufności.
• W obrębie siedziby Administratora mogą przebywać osoby upoważnione do przetwarzania
danych osobowych, a także osoby przebywające tam w związku z realizacją zawartych z
nimi umów. Obecność innych osób jest dopuszczalna, ale tylko pod nadzorem osób
upoważnionych do przetwarzania danych osobowych i z zachowaniem zasad
bezpieczeństwa mających na celu uniemożliwienie uzyskanie dostępu do danych
osobowych przez osoby do tego nieuprawnione. W szczególności, na czas obecności osób
nieupoważnionych, dokumenty zawierające dane osobowe chowane są w miejsca
uniemożliwiające zapoznanie się z nimi, a ekrany komputerów są wygaszane lub tak
ustawiane by uniemożliwić wgląd w dane osobowe.
• Ponieważ Administrator powierza przetwarzanie danych osobowych podmiotom trzecim,
do przetwarzania danych osobowych dochodzi również w innych lokalizacjach, ale w tym
zakresie czynności przetwarzania dokonuje podmiot trzeci lub ewentualnie podmioty do
tego przez niego upoważnione. Administrator danych osobowych nie ma szczegółowej
wiedzy na temat lokalizacji, w obrębie których dochodzi do przetwarzania danych przez
podmioty, którym powierzył przetwarzanie danych osobowych, ale podmioty te
zobowiązały się do stosowania odpowiednich środków ochrony i bezpieczeństwa danych
osobowych wymaganych przez przepisy prawa. W zakresie lokalizacji przetwarzania
danych przez podmioty przetwarzające, Administrator pozyskuje zawsze informację czy
dane przetwarzane są w obrębie Europejskiego Obszaru Gospodarczego czy poza nim, a w
sytuacji, gdy poza nim, weryfikuje czy dany podmiot zapewnia odpowiedni poziom
ochrony danych osobowych poprzez korzystanie z mechanizmów zgodności takich jak
Tarcza Prywatności, standardowe klauzule umowne.
§ 8
Sprzęt wykorzystywany do przetwarzania danych osobowych
• Dane osobowe przetwarzane są z wykorzystaniem komputerów przenośnych oraz
smartfonów. Ponadto, dane osobowe przechowywane są na serwerach, które to jednak
serwery nie należą do Administratora i nie znajdują się pod jego kontrolą, ale na których
to serwerach miejsca zapewniają usługodawcy zewnętrzni.
• Osoby upoważnione do przetwarzania danych osobowych zobowiązane są do
przetwarzania danych osobowych wyłącznie z wykorzystaniem sprzętu powierzonego im
przez Administratora, w szczególności nie są uprawnione do przetwarzania danych z
wykorzystaniem własnego sprzętu. W sytuacji, gdyby zaistniała konieczność wykorzystania
sprzętu prywatnego, osoby upoważnione zobowiązane są do uzyskania zgody
Administratora oraz wdrożenia na swoim sprzęcie takich zabezpieczeń, by zapewnić pełną
poufność przetwarzanych danych osobowych.
• Komputery przenośne, z których korzystają osoby upoważnione, mogą być używane
wyłącznie w obrębie siedziby Administratora. Administrator, komputer przenośny
wykorzystywany do przetwarzania danych osobowych, może wynosić poza swoją siedzibę.
Administrator zachowuje przy tym wszelkie środki ostrożności związane z przetwarzaniem
danych osobowych poza swoją siedzibą, tak by zapewnić pełną poufność przetwarzanych
danych osobowych.
• Na dyskach komputerów mogą być przechowywane pliki zawierające dane osobowe. W
celu zapewniania poufności danych, dyski podlegają szyfrowaniu, a możliwość uzyskania
dostępu do danych przechowywanych na dysku uzależniona jest od uprzedniego
zalogowania się z wykorzystaniem nazwy użytkownika oraz hasła.
• W pamięci smartfonów również mogą być przechowywane pliki zawierające dane
osobowe. W celu zapewniania poufności danych, dane podlegają szyfrowaniu, a
możliwość uzyskania dostępu do danych uzależniona jest od uprzedniego potwierdzenia
swojej tożsamości poprzez mechanizm uwierzytelniania użytkownika funkcjonujący w
ramach danego smartfona.
• Ekrany monitorów, na których możliwy jest dostęp do danych osobowych, powinny być
automatycznie wyłączane po upływie ustalonego czasu nieaktywności użytkownika.
• Monitory komputerów powinny być tak ustawione, aby uniemożliwić osobom postronnym
wgląd do danych osobowych.
• Jeżeli dane przechowywane są na zewnętrznym dysku twardym, to w przypadku
konieczności likwidacji dysku twardego, powinien on zostać w miarę możliwości poddany
pełnemu formatowaniu.
• Urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych
przeznaczone do naprawy, pozbawia się przed tymi czynnościami zapisu zgromadzonych
na nich danych osobowych.
• Sprzętem pośrednio wykorzystywanym przy przetwarzaniu danych osobowych są również
drukarki, które służą do drukowania dokumentów zawierających dane osobowe. Drukarki
funkcjonują w sieci bezprzewodowej, co oznacza, że z każdego komputera podłączonego
do sieci WiFi zarządzanej przez Administratora możliwe jest połączenie się z drukarką i
wykonanie wydruku. Wydrukowane dokumenty zabierane są niezwłocznie z tacy drukarki
po wykonaniu wydruku. Postępowanie z dokumentami drukowanymi opisane jest
szczegółowo w § 10 Polityki.
• Komputery wykorzystywane do przetwarzania danych osobowych mają połączenie z
Internetem poprzez sieć WiFi funkcjonującą w obrębie siedziby Administratora. Dostęp do
sieci zabezpieczony jest hasłem, które znane jest wyłącznie Administratorowi i osobom
upoważnionym do przetwarzania danych osobowych.
• Komputery wykorzystywane do przetwarzania danych osobowych wyposażone są w
system antywirusowy oraz firewall służący zapewnieniu bezpieczeństwa podczas
korzystania z urządzenia.
• Serwer Administratora, na którym znajdują się dane jest obsługiwany przez podmiot
zewnętrzny z którym łączy Administratora stosowna umowa, w tym umowa opisująca
zasady przetwarzania danych.
§ 9
Oprogramowanie wykorzystywane do przetwarzania danych osobowych
• Dane osobowe przetwarzane są z wykorzystaniem następującego oprogramowania:
• Microsoft Office – oprogramowanie biurowe zainstalowane lokalnie na komputerach
wykorzystywanych do przetwarzania danych osobowych; pliki zawierające dane
osobowe tworzone z wykorzystaniem oprogramowania przechowywane są lokalnie
na dyskach komputerów oraz synchronizowane z chmurą Onedrive.
• system operacyjny komputera – w zakresie, w jakim dane przetwarzane są z
wykorzystaniem standardowych funkcji i narzędzi dostępnych w ramach systemu,
np. w postaci folderów zawierających w swojej nazwie dane osobowe.
• Administrator dąży do tego, by każda osoba biorąca udział w przetwarzaniu danych
osobowych posiadała swoje własne konto w ramach oprogramowania do przetwarzania
danych, tak by wszystkie czynności dokonywane na danych osobowych mogły być
przypisane konkretnym użytkownikom. Nie zawsze jest to jednak możliwe, w
szczególności, gdy chodzi o oprogramowanie zainstalowane lokalnie na komputerze, takie
jak oprogramowanie biurowe czy wręcz sam system operacyjny. W tym zakresie odrębne
konto użytkownika dotyczy konta użytkownika w systemie operacyjnym.
§ 10
Dokumentacja papierowa
• Dane osobowe mogą być przetwarzane w formie papierowej, gdy zachodzi konieczność
dokonania bieżących wydruków określonych dokumentów w celach operacyjnych lub gdy
określone dokumenty przechowywane są w dłuższych okresach czasu. Ponadto, część
dokumentów może być dostarczana Administratorowi przez inne podmioty.
• Dokumenty zawierające dane osobowe to, w szczególności:
• faktury,
• umowy,
• potwierdzenia przelewów,
• wyciągi bankowe,
• zamówienia,
• formularze reklamacyjne i formularze odstąpienia od umowy,
• korespondencja papierowa,
• etykiety adresowe naklejane na paczki.
• Dokumenty drukowane z uwagi na bieżące cele operacyjne są niezwłocznie niszczone z
wykorzystaniem niszczarki po zrealizowaniu zadania wymagającego uprzedniego wydruku.
• Dokumenty zawierające dane osobowe nie mogą być pozostawiane w miejscach
ogólnodostępnych bez opieki. Dokumenty mogą znajdować się na biurkach i innych tego
typu powierzchniach podczas wykonywania określonych zadań wymagających dostępu do
dokumentów. Po zakończeniu pracy dokument powinien zostać zniszczony z
wykorzystaniem niszczarki lub włożony do szafy, o której mowa w ust. 7 poniżej.
• Dokumenty dostarczane pocztą lub za pośrednictwem kuriera odbierane są przez
Administratora lub przez osoby przez niego do tego upoważnione.
• Postępowanie z dokumentacją papierową ma prowadzić do tego, by nikt nieupoważniony
nie uzyskał wglądu do danych osobowych zawartych w treści dokumentów.
• Administrator nie posiada oddzielnego pomieszczenia przeznaczonego na archiwum.
Dokumenty, które przechowywane są w dłuższych okresach czasu, przechowywane są w
szafie biurowej klasy A znajdującej się w siedzibie Administratora, do której to szafy dostęp
posiada wyłącznie Administrator oraz osoby przez niego upoważnione.
• Dokumenty zawierające dane osobowe nie mogą być wynoszone poza obszar siedziby
Administratora, chyba że Administrator wyrazi na to zgodę ze względu na konieczność
realizacji określonych obowiązków poza siedzibą Administratora. W takiej sytuacji, muszą
zostać podjęte wszelkie środki ostrożności mające na celu zapewnienie poufności
dokumentów wynoszonych poza siedzibę Administratora.
• Jeżeli zachodzi konieczność przesłania dokumentów zawierających dane osobowe,
dopuszczalne jest wyłącznie korzystanie z pocztowych przesyłek rejestrowanych oraz usług
kurierskich, tak by w razie ewentualnych problemów z doręczeniem możliwe było sprawne
przeprowadzenie postępowania reklamacyjnego. Dokumenty powinny być w odpowiedni
sposób zapakowane, by ograniczyć ryzyko ich zniszczenia.
• Szczególnym rodzajem dokumentacji zawierającej dane osobowe jest dokumentacja
księgowa. Ponieważ Administrator korzysta z usług zewnętrznego biura rachunkowego,
dokumentacja księgowa gromadzona jest przez biuro rachunkowe i przechowywana w
jego siedzibie, przy czym po zakończeniu roku podatkowego dokumentacja za dany rok
podatkowy przekazywana jest Administratorowi, który przechowuje ją w swoim archiwum
(szafa biurowa klasy A znajdująca się w siedzibie Administratora).
§ 11
Kopie bezpieczeństwa
• W stosunku do dokumentów zawierających dane osobowe nie są wykonywane ich kopie.
Postępowanie z dokumentami opisane w § 10 Polityki jest zdaniem Administratora
wystarczające, by zapewnić bezpieczeństwo dokumentów i nie ma konieczności
wykonywania ich dodatkowych kopii.
• Jeżeli chodzi o dane osobowe przetwarzane są w ramach oprogramowania dostępnego w
trybie on-line, dostawcy oprogramowania wykonują automatycznie kopie zapasowe, które
pozwalają, w razie potrzeby, odtworzyć stan oprogramowania z chwili wykonania ostatniej
kopii zapasowej. Kopie zapasowe są nadpisywane, co oznacza, że Administrator ma
możliwość odtworzenia danych wyłącznie z ostatniej wykonanej kopii zapasowej.
• Jeżeli chodzi o dane osobowe przetwarzane w ramach plików elektronicznych
przechowywanych na dysku komputerów, to pliki te są automatycznie synchronizowane z
Onedrive, co stanowi ich dodatkową kopię zapasową na wypadek utraty dostępu do
danych z dysku komputera.
• Ponadto, ostatniego dnia każdego miesiąca wykonywane są kopie zapasowe w sposób
manualny. Dane z oprogramowania chmurowego eksportowane są w postaci plików
pozwalających odtworzyć dane, pliki zapisane na dysku kopiowane są na zewnętrzny dysk
twardy, a dysk twardy przechowywane jest w szafie, o której mowa w § 10 ust. 7 Polityki.
Kopie wykonywane manualnie są nadpisywane, co oznacza, że Administrator ma
możliwość odtworzenia danych wyłącznie z ostatniej wykonanej kopii zapasowej.
• Jeżeli chodzi o dane osobowe przechowywane na serwerze, hostingodawca wykonuje
automatycznie kopie zapasowe, które pozwalają, w razie potrzeby, odtworzyć bazę danych
z chwili wykonania ostatniej kopii zapasowej. Kopie zapasowe są nadpisywane, co oznacza,
że Administrator ma możliwość odtworzenia danych wyłącznie z ostatniej wykonanej kopii
zapasowej.
§ 12
Ochrona antywirusowa
• Ochrona antywirusowa jest realizowana poprzez zainstalowanie odpowiedniego
oprogramowania antywirusowego.
• W przypadku wykrycia wirusa komputerowego, użytkownik systemu zobowiązany jest do
natychmiastowego poinformowania o tym fakcie administratora danych osobowych.
• System operacyjny podlega regularnej kontroli pod kątem obecności wirusów
komputerowych.
• Wykryte zagrożenia usuwa się niezwłocznie z systemu operacyjnego.
• Przed przystąpieniem do unieszkodliwienia wirusa, należy zabezpieczyć dane zawarte w
systemie przed ich utratą.
• Osobą odpowiedzialną za powyższe działania jest administrator systemu informatycznego,
a jeżeli takowy nie został powołany – administrator danych osobowych
§ 13
Zasady dotyczące przetwarzania danych osobowych
• Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:
• w oparciu o podstawę prawną i zgodnie z prawem (legalizm),
• uczciwie, w sposób przejrzysty dla osoby przetwarzanej (rzetelność i
transparentność),
• w konkretnych celach i nie „na zapas” (minimalizacja),
• nie więcej niż potrzeba (adekwatność),
• z dbałością o prawidłowość danych (prawidłowość),
• nie dłużej niż potrzeba (czasowość),
• zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
• W celu przestrzegania zasady legalności, Administrator dokonał analizy wszystkich
czynności przetwarzania danych osobowych i określił właściwe podstawy prawne, w
oparciu, o które dane czynności przetwarzania mogą się odbywać. Informacje w tym
zakresie zawarte są w rejestrze czynności przetwarzania.
• W celu przestrzegania zasady rzetelności i transparentności, Administrator zadbał o
to, by w każdej sytuacji pozyskiwania danych osobowych, w stosunku do osoby, której
dane są pozyskiwane, realizowany był obowiązek informacyjny zgodnie z art. 13
RODO. Administrator zdiagnozował następujące sytuacje, w których dochodzi do
pozyskiwania danych osobowych:
• kontakt za pośrednictwem poczty elektronicznej – obowiązek informacyjny
realizowany jest poprzez politykę prywatności dot. korespondencji e-mail
podlinkowaną w stopce każdej wiadomości e-mail,
• korzystanie z usług świadczonych przez Administratora – obowiązek informacyjny
realizowany jest poprzez wysłanie klientowi za pośrednictwem poczty
elektronicznej dokumentu zawierające wymagane informacje dotyczące
przetwarzania danych,
• rekrutacja – obowiązek informacyjny realizowany jest poprzez wysłanie
stosownych informacji dotyczących przetwarzania danych osobowych w
odpowiedzi na aplikację,
• zatrudnianie – obowiązek informacyjny realizowany jest poprzez dołączenie do
umowy dokumentu zawierającego stosowne informacje dotyczące przetwarzania
danych osobowych,
• współpraca z podwykonawcami – obowiązek informacyjny realizowany jest
poprzez dołączenie do umowy dokumentu zawierającego stosowne informacje
dotyczące przetwarzania danych osobowych.
• W celu przestrzegania zasady minimalizacji, Administrator przemyślał, jakie dane
potrzebne są mu do określonych celów, co znalazło odzwierciedlenie w rejestrze
czynności przetwarzania. Administrator pouczył wszystkie osoby biorące udział w
procesie przetwarzania danych osobowych, by nie pozyskiwały danych osobowych w
zakresie przekraczającym uzasadnione potrzeby opisane w rejestrze czynności
przetwarzania.
• W celu przestrzegania zasady adekwatności, Administrator przemyślał, jakie dane są
mu potrzebne do realizacji określonych celów i określił w stosunku do każdej
czynności przetwarzania zakres niezbędnych danych. W związku z tym, zakazane jest
pozyskiwanie danych osobowych ponad określony przez Administratora katalog
danych niezbędnych do realizacji poszczególnych celów.
• W celu przestrzegania zasady prawidłowości, Administrator przyjął zasadę, zgodnie z
którą w razie wątpliwości dotyczących prawidłowości danych osobowych mu
przekazanych, podejmowane są działania mające na celu wyjaśnienie powstałych
wątpliwości.
• W celu przestrzegania zasady czasowości, Administrator przemyślał terminy, w jakich
dane stają się mu zbędne i będą podlegać usunięciu, co znalazło odzwierciedlenie w
rejestrze czynności przetwarzania danych osobowych. Ponadto, Administrator
przynajmniej raz w roku dokonuje przeglądu czy posiadane przez niego dane nie są już
mu zbędne i w razie stwierdzenia zbędności, dokonuje ich trwałego usunięcia.
• W celu przestrzegania zasady bezpieczeństwa, Administrator wdrożył odpowiednie
środki techniczne i organizacyjne mające zapewnić należytą ochronę przetwarzanych
danych osobowych. Decyzja o wyborze środków została poprzedzona
przeprowadzeniem analizy ryzyka. Zastosowane środki zostały wskazane w ramach
analizy ryzyka.
§ 14
Środki bezpieczeństwa, analiza ryzyka, ocena skutków
• W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wprowadzono
odpowiednie zabezpieczenia organizacyjne i techniczne.
• Decyzja o wyborze zabezpieczeń organizacyjnych i technicznych została poprzedzona
analizą ryzyka, która to analiza została spisana w postaci oddzielnego dokumentu. W
ramach tego dokumentu wymienione są również wszystkie zabezpieczenia organizacyjne
i techniczne wdrożone przez administratora. W związku z tym, administrator nie uznaje za
celowe wymieniać ich w tym miejscu raz jeszcze.
• Wymienione w analizie ryzyka środki techniczne i organizacyjne zabezpieczenia danych
dotyczą wyłącznie środków wdrożonych bezpośrednio przez administratora danych
osobowych. W zakresie, w jakim administrator danych osobowych powierzył
przetwarzanie danych osobowych innym podmiotom, podmioty te zobowiązały się
utrzymywać odpowiednie środki ochrony danych osobowych wymagane przez przepisy
prawa.
• Administrator nie przeprowadził oceny skutków operacji przetwarzania dla ochrony
danych osobowych, stwierdzając, że nie ciąży na nim taki obowiązek na podstawie art. 35
RODO. Rodzaje przetwarzania danych osobowych dokonywane przez Administratora nie
powodują, zdaniem Administratora, wysokiego ryzyka naruszenia praw lub wolności osób
fizycznych. Taki wniosek Administratora wynika z tego, że Administrator:
• przetwarza głównie podstawowe dane identyfikacyjne i kontaktowe,
• przetwarza wyłącznie dane osobowe zwykłe,
• nie stosuje narzędzi śledzących i profilujących wykorzystujących dane osobowe,
• nie przetwarza danych na dużą skalę.
• Ponadto, Administrator zapoznał się z wykazem rodzajów operacji wymagających oceny
skutków ogłoszonym przez Prezesa Urzędu Ochrony Danych Osobowych i pośród
dokonywanych przez siebie operacji przetwarzania danych nie zidentyfikował żadnej,
która znajdowałaby się w wykazie.
§ 15
Obsługa praw jednostki
• Administrator spełnia obowiązki informacyjne wobec osób, których dane przetwarza oraz
oraz zapewnia obsługę ich praw, realizując otrzymane w tym zakresie żądania.
• Realizacja obowiązków informacyjnych została opisana szczegółowo w § 13 ust. 3 Polityki.
• Obsługa żądań kierowanych do Administratora przez osoby, których dane są
przetwarzane, odbywa się za pośrednictwem poczty elektronicznej z wykorzystaniem
adresu e-mail dedykowanego obsłudze związanej z ochroną danych osobowych:
rodo@incredevo.com. Ponadto, część żądań może być obsługiwana automatycznie.
Chodzi tutaj, w szczególności, o rezygnację z otrzymywania newslettera, co może zostać
dokonane przez kliknięcie w przycisk zawarty w treści każdej wiadomości wysyłanej w
ramach newslettera.
• Obsługa żądań archiwizowana jest w ramach archiwum poczty elektronicznej. Ponadto,
Administrator prowadzi rejestr obsługi żądań osób, których dane przetwarza, w którym
odnotowywane są wszystkie żądania oraz sposób ich obsługi.
• Realizując prawa osób, których dane dotyczą, Administrator wprowadza proceduralne
gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia
wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub
prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych
osób, Administrator może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć
inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
• Jeżeli żądanie zgłaszane jest przez osobę, której danych Administrator nie przetwarza,
Administrator informuje tę osobę o tym, że nie przetwarza jej danych osobowych.
• W sytuacji odmowy realizacji żądania kierowanego do Administratora, Administrator
informuje osobę kierującej żądanie o odmowie rozpatrzenia żądania i o prawach osoby z
tym związanych.
• Na żądanie osoby dotyczące dostępu do jej danych, Administrator informuje osobę, czy
przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15
RODO, a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może
być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w
wykonaniu prawa dostępu do danych Administrator nie uzna za pierwszą nieodpłatną
kopię danych dla potrzeb opłat za kopie danych.
• Na żądanie, Administrator wydaje osobie kopię danych jej dotyczących i odnotowuje fakt
wydania pierwszej kopii danych.
• Administrator dokonuje sprostowania nieprawidłowych danych na żądanie osoby.
Administrator ma prawo odmówić sprostowania danych, chyba, że osoba w rozsądny
sposób wykaże nieprawidłowość danych, których sprostowania się domaga. W przypadku
sprostowania danych, Administrator informuje osobę o odbiorcach danych, na żądanie tej
osoby.
• Administrator uzupełnia i aktualizuje dane na żądanie osoby. Administrator ma prawo
odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami
przetwarzania danych. Administrator może polegać na oświadczeniu osoby co do
uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez
Administratora procedur, prawa lub zaistnieją podstawy, aby uznać oświadczenie za
niewiarygodne.
• Na żądanie osoby, Administrator usuwa dane, gdy:
• dane nie są niezbędne do celów, w których zostały zebrane, ani przetwarzane w
innych zgodnych z prawem celach,
• zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej
przetwarzania,
• osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
• dane były przetwarzane niezgodnie z prawem,
• konieczność usunięcia danych wynika z obowiązku prawnego.
• Administrator dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
• osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich
prawidłowość,
• przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się
usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
• Administrator nie potrzebuje już danych osobowych, ale są one potrzebne osobie,
której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
• osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej
szczególną sytuacją – do czasu stwierdzenia, czy po stronie Administratora zachodzą
prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
• Na żądanie osoby, Administrator wydaje w ustrukturyzowanym, powszechnie używam
formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi,
jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Administratorowi,
przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z
nią zawartej.
• Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem
przetwarzania jej danych, a dane przetwarzane są przez Administratora w oparciu o
uzasadniony interes Administratora, Administrator uwzględni sprzeciw, o ile nie zachodzą
po stronie Administratora ważne prawnie uzasadnione podstawy do przetwarzania,
nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy
do ustalenia, dochodzenia lub obrony roszczeń.
• Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez Administratora na
potrzeby marketingu bezpośredniego, Administrator uwzględni sprzeciw i zaprzestanie
takiego przetwarzania.
§ 16
Retencja danych
• W rejestrze czynności przetwarzania wskazane zostały okresy przez jakie dane są
przechowywane w związku z poszczególnymi czynnościami przetwarzania.
• W sytuacji, gdy zachodzi konieczność usunięcia lub zniszczenia danych osobowych, czy to
z uwagi na upływ okresu przechowywania czy też ze względu na stosowne żądanie złożone
w tym zakresie przez osobę, której dane dotyczą, dane zostaną usunięte lub zniszczone w
taki sposób, by ich odtworzenie nie było możliwe.
• W przypadku konieczności usunięcia danych osobowych, podejmowane są następujące
kroki:
• identyfikacja dokumentów zawierających dane osobowe podlegające usunięciu, a
następnie zniszczenie tych dokumentów z wykorzystaniem niszczarki,
• weryfikacja w ramach poszczególnego oprogramowania, czy przetwarzane są w nim
dane podlegające usunięciu, a jeżeli tak, usunięcie tych danych,
• weryfikacja czy na dyskach komputerów oraz w chmurach synchronizowanych z
komputerami są przechowywane pliki zawierające dane podlegające usunięciu, a
jeżeli tak, usunięcie tych plików w sposób trwały.
• Z uwagi na skalę przetwarzania danych osobowych, niewielkie ryzyko związane z
przetwarzaniem danych osobowych oraz możliwości finansowe i organizacyjne,
Administrator nie ma możliwości usunięcia danych z kopii zapasowych. Przy czym, biorąc
pod uwagę, że kopie zapasowe są nadpisywane przy ich wykonywaniu, w ramach kopii
zapasowych znajduje się zawsze aktualny stan bazy danych. Oznacza to, że jeżeli po
usunięciu danych dojdzie do wykonania kopii zapasowych, w tej kopii zapasowej usunięte
dane nie będą się już znajdować.
§ 17
Podmioty przetwarzające
• W procesie przetwarzania danych osobowych biorą udział podmioty zewnętrzne.
• Podmioty zewnętrzne biorą udział w procesie przetwarzania danych osobowych na
podstawie zawartych z tymi podmiotami umów powierzenia danych osobowych.
• Wszystkie podmioty biorące udział w procesie przetwarzania danych osobowych zostały
wskazane w rejestrze czynności przetwarzania oraz w wykazie podmiotów
przetwarzających.
• Dokonując wyboru podmiotów przetwarzających, Administrator weryfikuje, czy określone
podmioty spełniają wymogi dotyczące bezpieczeństwa ochrony danych osobowych na
poziomie wymaganym przez RODO. W szczególności, administrator podejmuje
następujące czynności w ramach procesu wyboru podmiotów przetwarzających:
• weryfikacja renomy podmiotu w środowisku branżowym,
• weryfikacja dokumentów dotyczących danych osobowych udostępnianych przez
podmiot (regulaminy, polityki prywatności itp.),
• weryfikacja treści proponowanej umowy powierzenia przetwarzania danych
osobowych,
• weryfikacja lokalizacji, w której będą przechowywane dane osobowe, w
szczególności lokalizacji serwerów, a w sytuacji, gdy dane miałyby być
przekazywane poza obszar EOG – weryfikacja czy odbywa się to na podstawie
odpowiednich mechanizmów zgodności.
• Ponadto, jeżeli jest to możliwe, administrator odbiera od podmiotu przetwarzającego
stosowne oświadczenia w ramach ankiety dla podmiotu przetwarzającego. Oświadczenie
te służą weryfikacji czy podmiot przetwarzający zapewnia wystarczające gwarancje
wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie
danych spełniało wymogi prawa i chroniło prawa osób, których dane dotyczą.
• W stosunku do każdego podmiotu przetwarzającego Administrator zebrał stosowne
dokumenty związane z prywatnością, ochroną danych osobowych i przechowuje ja razem
z dokumentacją ochrony danych osobowych.
• W procesie przetwarzania danych osobowych biorą udział współpracownicy
administratora, pracujący całkowicie zdalnie i na odległość z wykorzystaniem własnego
sprzętu. Administrator traktuje te osoby również jako podmioty przetwarzające i zawiera
z nimi umowy powierzenia przetwarzania danych osobowych. Dla osób tych tworzone są
oddzielne konta i dostępy w ramach oprogramowania wykorzystywanego do
przetwarzania danych osobowych, a w tym zakresie stosowane są odpowiednio
postanowienia § 19 ust. 6 – 9 Polityki.
§ 18
Osoby upoważnione
• Osoby, które przetwarzają dane osobowe w ramach stosunku pracy lub na podstawie
stosunku cywilnoprawnego, ale pozostając pod fizycznym nadzorem administratora,
przetwarzają dane na podstawie upoważnienia do przetwarzania danych. Pozostałe osoby,
w szczególności współpracownicy zdalni, przetwarzają dane na podstawie umów
powierzenia przetwarzania danych.
• Upoważnienie do przetwarzania danych osobowych dokonywane w ramach udzielenia
dostępu w systemie.
• Dostępu udziela Administrator.
• Każda osoba upoważniona korzysta z własnego komputera i posiada oddzielne konto
użytkownika w systemie operacyjnym oraz w pozostałych systemach informatycznych
wykorzystywanych do przetwarzania danych osobowych. Osoby upoważnione nie mają
dostępu do swoich kont. Jedynie Administrator ma dostęp do wszystkich kont osób
upoważnionych.
• Nadawanie identyfikatorów i przydzielanie haseł:
• hasło składa się z co najmniej 8 znaków; zalecane jest, aby zawierało małe i wielkie
litery oraz cyfry i znaki specjalne,
• identyfikator użytkownika powinien być inny dla każdego użytkownika, a po jego
wyrejestrowaniu z systemu informatycznego, nie powinien być przydzielany innej
osobie,
• identyfikatory użytkowników ujawnione są w wykazie osób upoważnionych do
przetwarzania danych osobowych,
• hasła pozostają tajne, każdy użytkownik jest zobowiązany do zachowania w tajemnicy
swego hasła, także po jego zmianie; obowiązek ten rozciąga się także na okres po
upływie ważności hasła,
• hasło, co do którego zaistniało choćby podejrzenie ujawnienia powinno być
niezwłocznie zmienione przez użytkownika,
• utrata upoważnienia do przetwarzania danych osobowych powoduje natychmiastowe
usunięcie z grona użytkowników systemu informatycznego.
• Przed rozpoczęciem pracy w systemie operacyjnym oraz w systemach informatycznych
osoba upoważniona musi podjąć następujące kroki:
• zalogować się do systemu operacyjnego z wykorzystaniem zastrzeżonych tylko dla
siebie identyfikatora i hasła w sposób uniemożliwiający ich ujawnienie osobom
postronnym,
• sprawdzić prawidłowość funkcjonowania komputera i systemu operacyjnego,
• w razie stwierdzenia nieprawidłowości, powiadomić o tym administratora systemu
informatycznego lub administratora danych osobowych,
• zalogować się do systemu informatycznego z wykorzystaniem zastrzeżonych tylko dla
siebie identyfikatora i hasła w sposób uniemożliwiający ich ujawnienie osobom
postronnym,
• w razie stwierdzenia naruszenia zabezpieczenia systemu operacyjnego lub
informatycznego, lub stanu wskazującego na istnienie takiej możliwości, podjąć
odpowiednie kroku stosownie do zasad postępowania w sytuacji naruszenia
zabezpieczenia danych osobowych.
• Przerywając przetwarzanie danych, osoba upoważniona powinna co najmniej aktywować
wygaszasz ekranu lub w inny sposób zablokować możliwość korzystania ze swego konta
użytkownika przez inne osoby.
• Po zakończeniu przetwarzania danych osobowych, osoba upoważniona zobowiązana jest
do zakończenia pracy w systemie informatycznym, wylogowania się z systemu
operacyjnego i wyłącznie komputera.
§ 19
Naruszenia ochrony danych osobowych
• Każde naruszenie ochrony danych osobowych powinno być niezwłocznie zgłaszane przez
użytkowników administratorowi danych osobowych.
• Typowe sytuacje, które należy postrzegać w kontekście naruszenia ochrony danych
osobowych:
• naruszenie lub próby naruszenia integralności systemów informatycznych
przeznaczonych do przetwarzania danych osobowych – przez osoby nieuprawnione
do dostępu do sieci lub aplikacji ze zbiorem danych osobowych,
• naruszenie lub próba naruszenia integralności danych osobowych w systemie
przetwarzania (wszelkie dokonane lub usiłowane modyfikacje, zniszczenia, usunięcia
danych osobowych przez nieuprawnioną do tego osobę),
• celowe lub nieświadome przekazanie zbioru danych osobowych osobie
nieuprawnionej do ich otrzymania,
• nieautoryzowane logowanie do systemu,
• nieuprawnione prace na koncie użytkownika dopuszczonego do przetwarzania
danych osobowych przez osobę do tego nieuprawnioną,
• istnienie nieautoryzowanych kont dostępu do danych osobowych,
• włamanie lub jego usiłowanie z zewnątrz sieci,
• nieautoryzowane zmiany danych w systemach informatycznych,
• niezablokowanie dostępu do systemu informatycznego przez osobę uprawnioną do
przetwarzania danych osobowych w czasie jej nieobecności,
• ujawnienie indywidualnych haseł dostępu użytkowników do systemów
informatycznych,
• brak nadzoru nad serwisantami lub innymi pracownikami przebywającymi w
pomieszczeniach, w których odbywa się przetwarzanie danych osobowych,
• nieuprawniony dostęp lub próba dostępu do pomieszczeń, w których odbywa się
przetwarzanie danych osobowych,
• zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki,
• fizyczna obecność w budynku lub pomieszczeniach, w których dochodzi do
przetwarzania danych osobowych, osób zachowujących się podejrzanie,
• otwarte drzwi do szaf, w których przechowywane są dane osobowe,
• ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
• wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz
firmy bez upoważnienia administratora danych osobowych,
• udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej,
elektronicznej i ustnej,
• telefoniczne próby wyłudzenia danych osobowych,
• kradzież komputerów lub CD, twardych dysków, pendrive’a z danymi osobowymi,
• e-maile zachęcające do ujawnienia identyfikatora i/lub hasła,
• pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów,
• przechowywanie haseł do systemów w pobliżu komputera.
• W przypadkach, o których mowa powyżej, należy podjąć czynności zmierzające do
zabezpieczenia miejsca zdarzenia, zabezpieczenia ewentualnych dowodów i minimalizacji
zaistniałych szkód, w tym w szczególności:
• zapisać wszelkie informacje związane z danym zdarzeniem, a w szczególności:
• dokładny czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i
czas samodzielnego wykrycia tego faktu,
• dane osoby zgłaszającej,
• opis miejsca zdarzenia,
• opis przedstawiający stan techniczny sprzętu służącego do przetwarzania lub
przechowywania danych osobowych,
• wszelkie ustalone okoliczności zdarzenia.
• na bieżąco wygenerować i wydrukować wszystkie możliwe dokumenty i raporty, które
mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem,
• dokonać identyfikacji zaistniałego zdarzenia, poprzez ustalenie w szczególności:
• rozmiaru zniszczeń,
• sposobu, w jaki osoba niepowołana uzyskała dostęp do danych osobowych,
• rodzaju danych, których dotyczyło naruszenie,
• wyeliminować czynniki bezpośredniego zagrożenia utraty danych osobowych,
• sporządzić protokół z wyżej wymienionych czynności,
• poinformować właściwe organy ścigania w przypadku podejrzenia popełnienia
przestępstwa.
• Administrator danych osobowych obowiązany jest do niezwłocznego podjęcia działań
mających na celu powstrzymanie lub ograniczenie osobom niepowołanym dostępu do
danych osobowych w szczególności przez:
• zmianę hasła dla administratora i użytkowników,
• fizyczne odłączenie urządzeń i tych segmentów sieci, które mogły umożliwić dostęp
do bazy danych osobie niepowołanej;
• wylogowanie użytkownika podejrzanego o naruszenie zabezpieczenia ochrony
danych.
• Po przeanalizowaniu przyczyn i skutków zdarzenia powodującego naruszenie
bezpieczeństwa przetwarzanych danych osobowych, osoby odpowiedzialne za
bezpieczeństwo danych osobowych obowiązane są podjąć wszelkie inne działania mające
na celu wyeliminowanie podobnych naruszeń w przyszłości oraz zmniejszenie ryzyka
występowania ich negatywnych skutków. W szczególności, jeżeli przyczyną naruszenia są:
• błąd osoby upoważnionej do przetwarzania danych osobowych związany z
przetwarzaniem danych osobowych – należy przeprowadzić dodatkowe szkolenie,
indywidualne lub grupowe,
• uaktywnienie wirusa komputerowego – należy ustalić źródło jego pochodzenia oraz
wykonać test zabezpieczenia antywirusowego,
• zaniedbanie ze strony osoby upoważnionej do przetwarzania danych osobowych –
należy wyciągnąć konsekwencje zgodnie z przepisami prawa,
• włamanie – należy dokonać szczegółowej analizy wdrożonych środków
zabezpieczających,
• zły stan urządzenia lub sposób działania programu lub inne niedoskonałości
informatycznego systemu przetwarzania danych osobowych – należy niezwłocznie
przeprowadzić kontrolne czynności serwisowo – programowe.
• Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym
okoliczności naruszenia, jego skutki oraz podjęte środki zaradcze. Dokumentacja odbywa
się z wykorzystaniem zestawienia incydentów naruszenia ochrony danych osobowych.
• W przypadku naruszenia ochrony danych osobowych, na administratorze danych
osobowych ciąży obowiązek zgłoszenia tego faktu do organu nadzorczego zgodnie z
postanowieniami art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z
postanowieniami art. 34 RODO.
§ 20
Administrator jako podmiot przetwarzający
• Administrator w stosunku do niektórych z przetwarzanych danych osobowych, występuje
w roli podmiotu przetwarzającego, któremu inne podmioty powierzają do przetwarzania
dane osobowe na podstawie stosownej treści umów.
• Szczegóły dotyczące przetwarzania powierzonych danych znajdują się w rejestrze kategorii
czynności przetwarzania.
• W stosunku do danych powierzonych do przetwarzania Administratorowi, mogą być
podejmowane wyłącznie czynności odpowiadające zakresowi powierzenia.
• W stosunku do danych powierzonych do przetwarzania Administratorowi stosuje się
wszystkie zasady oraz środki bezpieczeństwa i ochrony danych osobowych opisane w
Polityce i analizie ryzyka.
§ 21
Postanowienia końcowe
• Niniejsza polityka oraz pozostałe dokumenty związane z ochroną danych osobowych,
ulegać będą przeglądom w celu weryfikacji aktualności informacji w nim zawartych
przynajmniej raz w roku, do końca stycznia każdego roku.
• Każdy przegląd będzie podlegał raportowaniu z wykorzystaniem wzoru raportu
wchodzącego w skład dokumentacji ochrony danych osobowych.
• W przypadku aktualizacji któregoś z dokumentów, jego poprzednio obowiązująca wersja
będzie podlegać archiwizacji i będzie przechowywana jako wersja archiwalna wraz z
aktualnie obowiązującą dokumentacją.