Wprowadzenie

aInstrukcja stanowi wykaz procedur oraz stosowanych środków technicznych i organizacyjnych mających na celu, zgodnie z art. 32 RODO, zabezpieczyć przetwarzane dane osobowe. Administrator danych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W tym celu prowadzona jest dokumentacja opisująca sposób przetwarzania danych oraz środki zapewniające należytą ochronę.

 

Administrator danych – FUNDACJA PRZESTRZEŃ ROZWOJU siedzibą przy ul. Św. Jacka 30/1, 30-364 Kraków, wpisana do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz publicznych zakładów opieki zdrowotnej oraz rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego w Sądzie Rejonowym dla Krakowa – Śródmieścia w Krakowie, XI Wydział Gospodarczy KRS: 0000407870,
NIP: 6751471246, REGON: 122484153.

 

Administrator systemów informatycznych – administrator danych sam wykonuje czynności administratora systemów informatycznych.

 

Inspektor ochrony danych (IOD) – administrator powołał koordynatora ds. ochrony danych.

 

Rozdział I – Definicje

  1. Analiza ryzyka – proces mający na celu oszacowanie wagi ryzyka rozumianej jako funkcja prawdopodobieństwa wystąpienia skutku i krytyczności jego następstw dla przedsiębiorstwa.
  2. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny PESEL, wizerunek, adres email, numer telefonu, numer rachunku bankowego, numer rejestracyjny pojazdu, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  3. Elektroniczny nośnik – urządzenie elektroniczne, na którym przechowuje się dane osobowe w celu jego ponownego odtworzenia w systemie informatycznym.
  4. Odbiorca danych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.
  5. Obszar przetwarzania danych – lokalizacje, budynki, pomieszczenia lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.
  6. Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych.
  7. Opis przepływu danych – sposób przepływu danych pomiędzy poszczególnymi systemami informatycznymi i obszarami przetwarzania danych.
  8. Opis struktury zbiorów – opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
  9. Państwo trzecie – to państwo nienależące do Europejskiego Obszaru Gospodarczego.
  10. Przetwarzane danych – to dowolna zautomatyzowana lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  11. Anonimizacja – zmiana danych osobowych w wyniku której dane te tracą charakter danych osobowych.
  12. Pseudonimizacja – przetwarzanie danych osobowych w taki sposób (np. poprzez zastępowanie nazw liczbami), że danych osobowych nie można już przypisać do określonego podmiotu danych bez użycia dodatkowych informacji (np. listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  13. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1).
  14. Inspektor Ochrony Danych (IOD) – to osoba lub podmiot formalnie wyznaczony przez administratora danych w celu informowania i doradzania administratorowi danych, administratorowi systemu informatycznego, podmiotowi przetwarzającemu (procesorowi), pracownikom w zakresie niniejszej polityki bezpieczeństwa i obowiązującego prawa o ochronie danych osobowych, monitorowania i przestrzegania ochrony danych osobowych oraz działania jako punkt kontaktowy dla osób przetwarzanych i organu nadzorczego.
  15. Szczególne kategorie danych osobowych – ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych i obejmują przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, dane dotyczące życia seksualnego osoby lub orientację seksualną. W zależności od obowiązującego prawa, szczególne kategorie danych osobowych mogą również zawierać informacje o środkach zabezpieczenia społecznego lub postępowaniach administracyjnych, karnych oraz o sankcjach.
  16. Profilowanie – jest dowolną formą zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  17. Naruszenie ochrony danych osobowych – jest to przypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
  18. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
  19. Środki techniczne i organizacyjne – to środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.
  20. Usuwanie danych – to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
  21. Użytkownik systemu – osoba, której został przydzielony przez administratora systemu indywidualny identyfikator w systemie informatycznym w powiązaniu z niezbędnymi uprawnieniami dostępowymi w tym systemie.
  22. Wykaz zbiorów – to wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.
  23. Zabezpieczenie danych w systemie informatycznym – to wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
  24. Zbiór danych – każdy uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
  25. Zgoda osoby, której dane dotyczą – to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie.
  26. Aktywa – środki materialne i niematerialne mające wpływ na przetwarzanie danych osobowych.
  27. Naruszenie ochrony danych osobowych (incydent) – to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  28. Zagrożenie – potencjalne naruszenie (potencjalny incydent).
  29. Skutki – rezultaty niepożądanego incydentu (straty w wypadku wystąpienia zagrożenia).
  30. Ryzyko – prawdopodobieństwo, że określone zagrożenie wystąpi i spowoduje straty lub zniszczenie zasobów.

 

Rozdział II – Administrator danych

  1. Administrator danych jest zobowiązany w szczególności do:
    1. opracowania i wdrożenia polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym przetwarzającym dane osobowe,
    2. stałego nadzoru nad treścią polityki bezpieczeństwa,
    3. wydawania i anulowania upoważnienia do przetwarzania danych osobowych osobom, które mają te dane przetwarzać,
    4. prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,
    5. prowadzenia wykazu obszarów przetwarzania,
    6. prowadzenia wykazu zbiorów danych osobowych wraz z opisem i strukturą tych zbiorów,
    7. dokonywania aktualizacji dokumentów wymienionych powyżej,
    8. wykazania przestrzegania zasad przetwarzania danych opisanych w RODO.
  2. Administrator danych jest zobowiązany do przetwarzania następujących zasad przetwarzania danych osobowych:
    1. zgodności z prawem – przetwarzanie danych powinno następować zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
    2. ograniczenia celu – zbieranie danych powinno się odbywać w konkretnych, wyraźnych i prawnie uzasadnionych celach, dane nie powinny być przetwarzane dalej w sposób niezgodny z tymi celami (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami),
    3. minimalizacji danych – przetwarzane mogą być tylko dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
    4. prawidłowości – przetwarzane mogą być tylko dane prawidłowe i w razie potrzeby uaktualniane (administrator jest zobowiązany do podjęcia wszelkich działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane),
    5. ograniczenia przechowywania – dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do realizacji celów, dla których dane te są przetwarzane, dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą,
    6. integralności i poufności – dane powinny być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Rozdział III – Rejestr czynności przetwarzania

  1. W celu dokonania analizy ryzyka wymagane jest zidentyfikowanie danych osobowych, które należy zabezpieczyć. Dane te w postaci zbiorów (kategorii osób) zostały wykazane w załączniku – rejestr zbiorów danych osobowych.
  2. Opis zbiorów (kategorii osób) powinien obejmować takie informacje, jak:
  3. nazwę zbioru (opis kategorii osób),
  4. opis celów przetwarzania,
  5. charakter, zakres, kontekst danych osobowych,
  6. odbiorcy danych,
  7. funkcjonalny opis operacji przetwarzania,
  8. aktywa służące do przetwarzania danych osobowych (informacje, programy, systemy operacyjne, infrastruktura IT, infrastruktura, pracownicy i współpracownicy, outsourcing),
  9. informacja o konieczności wpisu do rejestru czynności przetwarzania,
  10. informacja o konieczności przeprowadzenia oceny skutków dla zbioru.
  11. Rejestr czynności przetwarzania prowadzony przez administratora danych (lub jeśli jest powołany – inspektora ochrony danych) mieści się w załączniku: rejestr czynności przetwarzania z charakterystyką zbioru danych osobowych.

Rozdział IV – Zbieranie danych osobowych

  1. W przypadku zbierania danych od osób, których dane dotyczą dokonujący tej czynności zobowiązany jest do poinformowania osoby, której dane dotyczą o:
  1. swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela,
  2. gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych,
  3. celach przetwarzania danych osobowych, oraz podstawie prawnej przetwarzania,
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
  5. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  6. gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia,
  7. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu,
  8. prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO – o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  10. prawie wniesienia skargi do organu nadzorczego,
  11. tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  12. zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
    1. Jeżeli administrator danych będzie planował dalsze przetwarzanie danych osobowych w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem zobowiązuje się do poinformowania osoby, której dane dotyczą, o tym innym celu oraz do udzielenia jej wszelkich innych stosownych informacji, zgodnych z RODO.
    2. Jeżeli danych osobowych administrator danych nie pozyskał od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, informacje wymienione w ust. 1 powyżej, jak również informuje o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie czy pochodzą one ze źródeł publicznie dostępnych. Informacje te należy podać:
  13. w rozsądnym terminie po pozyskaniu danych osobowych, najpóźniej w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
  14. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą,
  15. jeżeli administrator danych planuje ujawnić dane osobowe innemu odbiorcy, najpóźniej przy ich pierwszym ujawnieniu.
    1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
  16. celach przetwarzania,
  17. kategoriach odnośnych danych osobowych,
  18. o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,
  19. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  20. o prawie do żądania od administratora danych sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
  21. o prawie wniesienia skargi do organu nadzorczego,
  22. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, wszelkie dostępne informacje o ich źródle,
  23. o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz o istotnych informacjach dotyczących zasad ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
    1. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
    2. Administrator danych dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator danych może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
    3. Prawo do uzyskania kopii, o której mowa w ust. 6 powyżej, nie może niekorzystnie wpływać na prawa i wolności innych osób.

Rozdział V – Ocena niezbędności oraz proporcjonalności

  1. W ramach przeprowadzenia oceny skutków (analizy ryzyka) administrator danych lub podmiot przetwarzający (procesor) zobowiązany jest do spełnienia wobec nich obowiązków prawnych. W szczególności należy zapewnić, że:
  1. dane te są legalnie przetwarzane (na podstawie art. 6, 9 RODO),
  2. dane te są adekwatne w stosunku do celów przetwarzania,
  3. dane te są przetwarzane przez określony czas,
  4. wobec tych osób wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14 RODO) wraz ze wskazaniem ich praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, odwołania zgody),
  5. opracowano klauzule informacyjne dla powyższych osób – załącznik klauzul informacyjnych,
  6. istnieją umowy powierzenia z podmiotami przetwarzającymi (art. 28 RODO) zgodnie z załącznikiem – umowa powierzenia danych osobowych (wykaz podmiotów przetwarzających prowadzony jest w załączniku – rejestr umów powierzenia),
  7. potwierdzenie spełnienia powyższych wymagań prawnych RODO znajduje się w załączniku – rejestr czynności przetwarzania danych osobowych.

Rozdział VI – Analiza ryzyka

  1. Ocena skutków jest formalną, określoną w art. 35 RODO procedurą przeprowadzenia analizy ryzyka za wykonanie, której odpowiada administrator danych, przed przetwarzaniem w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób fizycznych jako rodzaju przetwarzania danych osobowych i zachodzi wraz z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania. Proces ten musi ocenić wpływ planowanych operacji przetwarzania na ochronę danych osobowych.
  2. W przypadku powołania inspektora ochrony danych (IOD) – ocena skutków musi być wykonana z jego współudziałem.
  3. Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
  4. Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru lub grupy zbiorów (kategorii osób) lub dla procesów przetwarzania (np. dla zbioru klientów, dla procesu wysyłania informacji handlowej).
  5. Wyznaczenie zagrożeń:
  1. administrator danych jest odpowiedzialny za określenie listy zagrożeń, które mogą wystąpić w przetwarzaniu danych w zbiorze, dla kategorii osób lub w procesie przetwarzania,
  2. zagrożenia powinny być identyfikowane w odniesieniu do uprzednio zidentyfikowanych aktywów,
  3. wykaz zagrożeń znajduje się w załączniku – lista potencjalnych zagrożeń.
    1. Reakcja na potencjalne ryzyka:
  4. akceptacja ryzyka, zabezpieczenia są właściwe (brak potrzeby stosowania dodatkowych zabezpieczeń),
  5. działania obniżające ryzyko, które może zastosować administrator:
  • przeniesienie – przerzucenie ryzyka (outsourcing, ubezpieczenie),
  • unikanie – eliminacja działań powodujących ryzyko (np. zakaz wynoszenia komputerów przenośnych poza firmę),
  • redukcja – zastosowanie zabezpieczeń w celu obniżenia ryzyka (np. zaszyfrowanie pendrive z danymi wynoszonych poza firmę),
  1. wykaz zabezpieczeń znajduje się w załączniku – wykaz zabezpieczeń.
    1. Ponowna analiza ryzyka przeprowadzana jest cyklicznie lub po znaczących zmianach w przetwarzaniu danych (np. przetwarzanie nowych zbiorów, nowych procesów przetwarzania, zmiany prawne).

Rozdział VII – Zarządzanie ryzykiem

  1. W celu skutecznej realizacji zadań związanych z bezpieczeństwem informacji przeprowadzana jest raz w roku oraz przy każdej istotnej zmianie środowiska informatycznego analiza ryzyka.
  2. Proces składa się z następujących etapów:
    1. identyfikacji ryzyka,
    2. szacowania ryzyka,
    3. przeciwdziałania ryzyku,
    4. monitorowania i raportowania ryzyka IT.
  3. Wyniki analizy ryzyka stanowią podstawę zaprojektowania odpowiednich mechanizmów kontroli dla systemów informatycznych eksploatowanych w organizacji.
  4. Wdrażane mechanizmy kontroli powinny być adekwatne do oszacowanego ryzyka, zidentyfikowanych zagrożeń i ich istotności, oraz muszą zapewniać efektywność ekonomiczną.
  5. Kontrola adekwatności oraz sposobu funkcjonowania stosowanych mechanizmów kontroli wchodzi w skład zadań administratora systemu i przeprowadzana jest w ramach szacowania ryzyka operacyjnego.
  6. Za proces analizy i szacowania ryzyka bezpieczeństwa informacji odpowiedzialny jest administrator danych.
  7. Wszędzie, gdzie administrator decyduje się obniżyć ryzyko, wyznacza listę zabezpieczeń do wdrożenia, termin realizacji i osoby odpowiedzialne.
  8. Administrator danych zobowiązany jest do monitorowania wdrożenia zabezpieczeń.
  9. Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu
    i zapoznana z przepisami RODO.
  10. Regulamin ochrony danych ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania – załącznik regulamin ochrony danych osobowych.
  11. Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania – załącznik oświadczenie poufności.
  12. Zgodnie z art. 32 RODO, administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W tym celu administrator może zastosować procedurę audytu.
  13. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Środki te są poddawane przeglądom i na bieżąco uaktualniane oraz opisane jako wykaz zabezpieczeń.
  14. W wykazie zabezpieczeń wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne i organizacyjne.
  15. Wykaz zabezpieczeń jest aktualizowany po każdej analizie ryzyka i ocenie skutków.
  16. Uwzględniając kategorie przetwarzanych danych oraz potencjalne zagrożenia wprowadza się wysoki poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym.
  17. W celu ochrony danych osobowych przeprowadzono analizę ryzyka celem zabezpieczenia przed naruszeniami praw lub wolności osób, których dane dotyczą.

Rozdział VIII – Instrukcja postępowania z incydentami

Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.

  1. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić administratorowi danych (lub jeśli jest powołany – inspektorowi ochrony danych).
  2. Do czasu przybycia na miejsce naruszenia ochrony danych osobowych administratora danych (lub jeśli jest powołany – inspektora ochrony danych) osoba powiadamiająca powinna:
    1. niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny, skutki i sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
    2. zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę,
    3. udokumentować wstępnie zaistniałe naruszenie,
    4. nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora danych lub osoby upoważnionej.
  3. Po przybyciu na miejsce naruszenia ochrony danych osobowych administratora danych (lub jeśli jest powołany – inspektor ochrony danych) powinien:
    1. udokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze – załącznik formularz rejestracji incydentu, nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora danych lub osoby upoważnionej,
    2. podjąć działania na rzecz przywrócenia działań organizacji po wystąpieniu incydentu,
    3. zarekomendować działania zapobiegawcze, zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.
  4. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu:
  5. w przypadku naruszenia ochrony danych osobowych, administrator danych (lub jeśli jest powołany – inspektor ochrony danych) bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia,
  6. zgłoszenie, naruszenia ochrony danych osobowych organowi nadzorczemu, musi co najmniej:
  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
  • zawierać imię i nazwisko oraz dane kontaktowe administratora danych (lub jeśli jest powołany – inspektora ochrony danych) lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
  • opisywać środki zastosowane lub proponowane przez administratora danych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  1. Administrator danych (lub jeśli jest powołany – inspektor ochrony danych) dokumentuje zaistniały przypadek naruszenia oraz sporządza sprawozdanie. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania przepisów RODO.
  2. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, administrator danych (lub jeśli jest powołany – inspektor ochrony danych) zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii odtworzenia danych z zabezpieczeń) oraz zarządza termin wznowienia przetwarzania danych.
  3. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych (lub jeśli jest powołany – inspektor ochrony danych) bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  4. Zawiadomienie osoby, której dane dotyczą o naruszeniu powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej następujące informacje: imię i nazwisko oraz dane kontaktowe administratora danych (lub jeśli jest powołany – inspektora ochrony danych) lub oznaczenie innego punktu kontaktowego, możliwe konsekwencje naruszenia ochrony danych osobowych oraz środki zastosowane lub proponowane przez administratora danych (lub jeśli jest powołany – inspektora ochrony danych) w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  5. Zawiadomienie osoby, której dane dotyczą o naruszeniu nie jest wymagane, w następujących przypadkach:
  6. administrator danych wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
  7. administrator danych zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
  8. wymagałoby ono niewspółmiernie dużego wysiłku, w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  9. Do typowych podatności bezpieczeństwa danych osobowych należą:
  10. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
  11. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
  12. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka lub ekranu monitora, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).
  13. Do typowych incydentów bezpieczeństwa danych osobowych należą:
  14. zdarzenia losowe zewnętrzne (pożar obiektu lub pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
  15. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata lub zagubienie danych),
  16. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych lub sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów lub danych, działanie wirusów i innego szkodliwego oprogramowania).

Rozdział IX – Postanowienia końcowe

  1. Wszelkie zasady opisane w polityce bezpieczeństwa są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.
  2. Administrator danych może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej w formie pisemnej. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, danych zobowiązuje się on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający (procesor) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie oraz jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w RODO oraz spełnić wymagania określone w przepisach, o których mowa w RODO. W zakresie przestrzegania tych przepisów taki podmiot ponosi odpowiedzialność jak administrator danych. W przypadkach, o których mowa powyżej, odpowiedzialność za przestrzeganie przepisów ustawy i RODO spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
  3. Polityka bezpieczeństwa obowiązuje od dnia jej zatwierdzenia przez administratora danych.