POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
w
Przedsiębiorstwie WOJSA – NIERUCHOMOŚCI „Eurolocum.pl”
Rozdział 1
Postanowienia ogólne
§1.
Celem Polityki bezpieczeństwa przetwarzania danych osobowych, zwanej dalej „Polityką bezpieczeństwa” w Przedsiębiorstwie WOJSA – NIERUCHOMOŚCI „Eurolocum.pl”, zwanej dalej Eurolocum.pl®, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.
§2.
Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w:
- Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
- Ustawie z dnia 10 maja 2018 roku o ochronie danych osobowych
- Instrukcjach, rejestrach, ewidencjach i procedurach
§3.
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
§4.
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Eurolocum.pl, rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
- dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§5.
Administratorem danych osobowych przetwarzanych w Eurolocum.pl jest właściciel przedsiębiorstwa Czesław Krzysztof WOJSA
Rozdział 2
Definicje
§6.
Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:
Administrator Danych Osobowych (ADO) – osoba fizyczna samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
Inspektor Ochrony Danych (IDO) – osoba wyznaczona przez administratora danych osobowych, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO i przepisach krajowych,
RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
Dane Osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
Zbiór Danych Osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
Przetwarzane Danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
System Informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
System Tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
Administrator Systemu Informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
Odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
Strona Trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
Identyfikator Użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Rozdział 3
Zakres stosowania
§7.
- Przetwarzanie danych osobowych – zakres ogólny
- W Eurolocum.pl, przetwarzane są dane osobowe klientów, pracowników, kandydatów na pracowników, stażystów, najemców, dzierżawców, zebrane w zbiorach danych osobowych.
- Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej.
- Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
- Innymi dokumentami regulującymi ochronę danych osobowych w Organizacji są:
- instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Eurolocum.pl,
- ewidencja osób upoważnionych do przetwarzania danych osobowych,
- rejestr czynności przetwarzania danych osobowych,
- procedura postępowania w przypadku naruszenia ochrony danych osobowych,
- W Eurolocum.pl nie są przetwarzane dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
I. Przetwarzanie danych klienta w celu wykonania umowy pośrednictwa
- Zakres przetwarzanych danych:
a) Dane identyfikacyjne
- Nazwisko
- Imię,
- PESEL
- Nr dowodu osobistego
- Firma
- NIP
- Regon
- Krs/Wpis
b) Adres:
- Ulica
- Kod
- Miejscowość
- Województwo
- Adres www
c) Dane kontaktowe
- Telefon
- Faks
- GSM
- Cel przetwarzania: Wykonanie umowy pośrednictwa przez pośrednika, przez który rozumie się działanie celem doprowadzenia do zawarcia umowy dotyczącej nieruchomości przez stronę umowy pośrednictwa.
- Podstawa przetwarzania: Norma art. 6 ust. 1 lit. b Rozporządzenia. Przetwarzanie jest niezbędne do wykonania umowy pośrednictwa w obrocie nieruchomościami.
- Kategoria osób, której dotyczą przetwarzane dane: osoby fizyczne będące stroną umowy pośrednictwa zawartej z administratorem ( klient ).
- Kategorie odbiorców, którym dane zostaną ujawnione:
- podmioty potencjalnie zainteresowane nieruchomością oferowaną przez klienta lub oferenci nieruchomości, którymi zainteresowany jest klient;
- podmioty związane z administratorem umową zlecenia lub umową agencyjną prowadzące działalność gospodarczą, będące podmiotami przetwarzającymi;
- osoby fizyczne działające w strukturze organizacyjnej administratora ( m.in. pracownicy i zleceniobiorcy ), dysponujące upoważnieniem i poleceniem przetwarzania udzielonymi na zasadzie art. 29 Rozporządzenia;
- pośrednicy w obrocie nieruchomościami prowadzący odrębne przedsiębiorstwa współpracujący z administratorem w celu wykonania umowy. Podmiotom tym nie są ujawniane dane o obywatelstwie.
6. Czasowy zakres przetwarzania: Czas trwania umowy pośrednictwa oraz czas potrzebny do wykonania zobowiązania wynikających z umowy
pośrednictwa oraz zobowiązań publiczno-prawnych z umową związanych.
7. Operacje przetwarzania:
- Utrwalenie danych osobowych w drodze zawarcia umowy.
- Organizowanie danych osobowych oraz minimalizacja danych zawartych w umowie do celu dalszego przetwarzania przez przeniesienie wybranych danych zawartych w umowie na kartę danych klienta.
- Przechowywanie danych do chwili ich usunięcia lub zniszczenia.
- Ujawnienie danych osobom fizycznym znajdującym się w strukturze organizacyjnej administratora i mającym upoważnienie do przetwarzania tych danych w myśl art. 29 Rozporządzenia.
- Ujawnienie danych podmiotom związanym z administratorem umową zlecenia lub umową agencyjną prowadzącym działalność gospodarczą, będącymi podmiotami przetwarzającymi w myśl art. 28 Rozporządzenia i mającym upoważnienie do przetwarzania danych w myśl art. 29 Rozporządzenia.
- Ujawnienie danych pośrednikom w obrocie nieruchomościami prowadzącym odrębne przedsiębiorstwa, którzy współpracują z administratorem w celu wykonania umowy;
- Przeglądanie danych celem znalezienia nieruchomości odpowiadającej potrzebom klienta lub oferenta zainteresowanego oferowaną przez klienta nieruchomością;
- Ujawnienie danych potencjalnym zainteresowanym nieruchomością oferowaną przez klienta lub oferentom nieruchomości, którymi zainteresowany jest klient;
- Przekazywanie danych osobowych klienta organowi właściwemu do wydania dokumentów o których mowa w art. 181a ustawy o gospodarce nieruchomościami t z dnia 14 grudnia 2017 r. (Dz.U. z 2018 r. poz. 121)tj.
- Przekazanie danych osobowych do kancelarii notarialnej
- Zniszczenie karty klienta;
8. Opis przetwarzania: Procedura obejmuje przetwarzanie danych osobowych osoby będącej stroną umowy pośrednictwa w obrocie nieruchomościami w celu wykonania tej umowy przez pośrednika. Dane osobowe w postaci imienia i nazwiska osoby fizycznej, adresu oferowanej nieruchomości ( o ile osoba fizyczna oferuje nieruchomość ), numeru księgi wieczystej, numeru telefonu, adresu e-mail, zebrane zostają w drodze zawarcia umowy wraz z innymi danymi określonymi w odrębnej procedurze. Dane przetwarzane zgodnie z niniejszą procedurą przeniesione zostają następnie z dokumentu umowy na kartę klienta/kartę obiektu. Karta klienta/karta obiektu jest dokumentem zawierającym dane, które potrzebne są do wykonania umowy przez pośrednika, czyli podejmowania czynności zmierzających do zawarcia umowy dotyczącej nieruchomości. Karty klienta/karty obiektu przechowywane są w zabezpieczonej półce mieszczącej się w lokalu przedsiębiorstwa administratora, do której dostęp mają wyłącznie osoby dysponujące poleceniem przetwarzania danych objętych procedurą w celu wykonania umowy. Dane ujawniane są podmiotom potencjalnie zainteresowanym ofertą i będącym stroną umowy z pośrednikiem. Po wykonaniu umowy przez pośrednika lub ustaleniu braku możliwości jej wykonania karta umowy ulega zniszczeniu.
Dane przetwarzane są częściowo automatycznie z wykorzystaniem środków elektronicznych przez prowadzenie korespondencji z klientami.
- Wstępna ewaluacja ryzyka: Przetwarzanie może powodować niskie ryzyko naruszenia praw lub wolności osoby fizycznej, której dane dotyczą. Zakres przetwarzanych danych wyklucza, by osoba, której dane są przetwarzane, mogła doznać w wyniku nieuprawnionego dostępu do danych lub sprzecznego z procedurą ich wykorzystania szkody majątkowej lub istotnej krzywdy. Możliwa do powstania krzywda polega na naruszeniu prywatności klienta w drodze czynności marketingowych. Prawdopodobieństwo wystąpienia ryzyka jest niskie ze względu na ograniczony krąg podmiotów, którym ujawnione zostają dane osobowe. Administrator dysponuje możliwością ustalenia ogółu podmiotów, którym ujawniono dane osobowe. Dane o których mowa w art. 9 Rozporządzenia ( obywatelstwo ) przetwarzane są wyłącznie w przypadku osób, które wyraziły zgodę na ich przetwarzanie w celu wykonania umowy. Zebranie tych danych następuje wyłącznie, gdy ze względu na rodzaj poszukiwanej nieruchomości obywatelstwo ma znaczenie dla możności jej nabycia. Przetwarzane dane są proporcjonalne do osiągnięcia celu, czyli wykonania umowy. Nie są podejmowane inne niż konieczne do osiągnięcia celu czynności przetwarzania. Przetwarzanie odbywa się przez czas trwania umowy. Przetwarzanie danych po upływie czasu na który umowa została zawarta możliwe jest, gdy na pośredniku ciąży obowiązek świadczenia wynikający ze stosunku umownego, oraz czas potrzebny do wykonania zobowiązania wynikających z umowy pośrednictwa oraz zobowiązań publiczno-prawnych z umową związanych.
- Ocena skutków planowanych operacji przetwarzania: Nie wymagana zgodnie z art. 35 ust. 1 Rozporządzenia.
- Charakterystyka środków technicznych i organizacyjnych zastosowanych w celu zapewnienia stopnia bezpieczeństwa odpowiadający ryzyku:
- Przetwarzanie następuje wyłącznie przez osoby, które dysponują stosownymi poleceniami przetwarzania i upoważnieniami. Podmioty przetwarzające są stroną umów zawartych z pośrednikiem.
- Dane zabezpieczone są przez umieszczenie dokumentów je zawierających w zamykanej półce, znajdującej się w lokalu przedsiębiorstwa w miejscu utrudniającym nieuprawnione powielenie.
- Dane przetwarzanie są wyłącznie z wykorzystaniem odpowiednio zabezpieczonych urządzeń elektronicznych.
§8.
Politykę bezpieczeństwa stosuje się w szczególności do:
- Danych osobowych przetwarzanych w systemie:
- LocumNet Desktop Online (NSoft),
- Microsoft Office
- Data Faktury (PolData).
2. Wszystkich informacji dotyczących danych osobowych klientów i pracowników
3. Odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia np. biuro rachunkowe,
serwisy internetowe OnLine, specjalistyczna przychodnia lekarska, etc./,4
4. Informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych
osobowych,
5. Rejestru osób trzecich /np. pracownicy/ mających upoważnienia administratora danych osobowych do przetwarzania danych osobowych,
6. Innych dokumentów zawierających dane osobowe.
§9.
- Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich pracowników, kandydatów na pracowników, stażystów, agentów i współpracowników Eurolocum.pl oraz innych osób mających dostęp do informacji podlegających ochronie.
- Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy, kandydaci na pracowników, stażyści, agenci i współpracownicy Eurolocum.pl oraz inne osób mające dostęp do informacji podlegających ochronie.
Rozdział 4
Wykaz zbiorów danych osobowych
§10.
- Dane osobowe gromadzone są w zbiorach:
- Elektroniczny system obsługi biura nieruchomości LocumNet Online (firmy NSoft) zainstalowany na komputerach osobistych właściciela i pracowników
- Serwisy internetowe świadczące specjalistyczne usługi w zakresie publikacji i promowania ofert nieruchomości (Umowy powierzenia)
- Elektroniczny program do fakturowania Data Faktury (firmy PolData)
- Teczki i segregatory prowadzone dla obiektów (nieruchomości) będących przedmiotem wykonywania usług pośrednictwa, zawierające dane obiektowe i osobowe.
- Teczki i segregatory zawierające kopie faktur i dokumentów księgowych wystawianych klientom Eurolocum.pl (Umowa powierzenia)
- Ewidencja osób upoważnionych do przetwarzania danych osobowych,
- Akta osobowe pracowników, (Umowa powierzenia)
- Listy płac pracowników, (Umowa powierzenia)
- Deklaracje ubezpieczeniowe pracowników, (Umowa powierzenia)
- Deklaracje i kartoteki ZUS pracowników, (Umowa powierzenia)
- Deklaracje podatkowe pracowników, (Umowa powierzenia)
- Umowy cywilno-prawne,
- Umowy zawierane z kontrahentami i dostawcami usług
- Dokumenty archiwalne,
§11.
Zbiory danych osobowych wymienione w § 10 ust. 1 gromadzone są i przetwarzane w sposób elektroniczny i tradycyjny.
Rozdział 5
Wykaz budynków, pomieszczeń, w których wykonywane są operacje przetwarzania danych osobowych
§12.
- Dane osobowe przetwarzane są w budynku, mieszczącym się w Kielcach przy ulicy Sienkiewicza nr 9 lok. 1
1. | pomieszczenia, w których przetwarzane są dane osobowe | Sekretariat
Gabinet |
2. | pomieszczenia, w których znajdują się komputery stanowiące element systemu informatycznego | Sekretariat
Gabinet |
3. | Pomieszczenia, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe) | Sekretariat
Gabinet |
4. | pomieszczenia, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery) | Archiwum |
5. | pomieszczenia archiwum | Szafa wnękowa w gabinecie,
pawlacz |
- Lokal zabezpieczony jest przed nieuprawnionym wejściem bądź wtargnięciem, systemem bezpieczeństwa wynikającym z zawartej umowy z profesjonalną firmą świadczącą usługi ochrony osób i mienia, działającą na podstawie koncesji, w sposób następujący:
- elektroniczny całodobowy monitoring radiowy, załączany i wyłączany hasłem,
- alarm antynapadowy służący do wezwania ekipy bezpośredniej ochrony fizycznej.
- Teren ulicy Sienkiewicza przy którym znajduje się biuro znajduje się pod całodobowym wizyjnym monitoringiem miejskim. W polu widzenia kilku kamer wysokiej rozdzielczości zainstalowanych w pobliżu, znajduje się wejście do bramy budynku oraz okna i balkon lokalu Eurolocum.pl.
- Dane osobowe przetwarzane są lokalu biurowym zlokalizowanym na terenie targowiska przy ulicy Seminaryjskiej 31 w Kielcach. W lokalu tym znajduje się także archiwum. Lokal zabezpieczony jest antywłamaniowo, chroniony całodobowym monitoringiem. Ochraniany jest także bezpośrednią ochrona fizyczną z systemem antynapadowym
Rozdział 6
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
§13.
Lp. | Zbiór danych | Dział/ jednostka organizacyjna | Program | Lokalizacja bazy danych | Miejsce przetwarzania danych |
1. | Klienci,
Pracownicy |
Kancelaria Doradcy Rynku Nieruchomości
Eurolocum.pl |
LocumNet Online | 25-350 Kielce
Sienkiewicza 9/1 |
|
2. | Klienci | Kancelaria Doradcy Rynku Nieruchomości
Eurolocum.pl |
Data Faktury
PolData |
Dyski HDD | Kielce Sienkiewicza 9/1 |
3. | Najemcy, Dzierżawcy,
Pracownicy, Usługodawcy |
Targowisko Miejskie | Data Faktury.
MS Office |
Dyski HDD | Kielce,
Seminaryjska 31 |
4. | Pracownicy, Klienci, Najemcy, Dzierżawcy | Biuro Rachunkowe | Kielce
Wesoła 47/49 |
||
5. | Klienci, Pracownicy | Zewnętrzny Dostawca oprogramowania | LocumNet
Online |
02-305 Warszawa
Al. Jerozolimskie 142B |
|
6. | Klienci, Obiekty, Pracownicy | Kancelaria Doradcy Rynku Nieruchomości
Eurolocum.pl |
Data Storage Software
SEAGATE (Dysk sieciowy) |
25-350 Kielce
Sienkiewicza 9/1 |
Rozdział 7
Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych
§14.
Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych dla programów i systemów stosowanych w Organizacji przedstawia się w sposób następujący:
- LocumNet Online (NSoft)
Adres:
a) Ulica b) Kod c) Miejscowość d) Województwo (pole wyboru) e) Adres www Dane kontaktowe a) Telefon b) Faks c) GSM d) E-mail
|
Dane identyfikacyjne
a) Nazwisko b) Imię, c) PESEL d) Nr dowodu osobistego e) Firma f) NIP g) Regon h) Krs/Wpis
|
- Data Faktury (PolData)
Adres:
a) Ulica b) Kod c) Miejscowość d) Województwo e) Państwo Dane kontaktowe e) Telefon f) E-mail
|
Dane identyfikacyjne
a) Nazwisko b) Imię, c) PESEL d) Firma e) NIP f) Regon g) KRS
|
Rozdział 8
Sposób przepływu danych między poszczególnymi systemami, współpracy systemów informatycznych ze zbiorami danych
§15.
Przepływ danych pomiędzy poszczególnymi systemami
Program 1 | Przepływ | Program 2 | Przepływ danych |
LocumNet Online | <-> | Data Faktury (PolData) | Dane osobowe do fakturowania |
LocumNet Online – Dysk HDD komputera | <-> | LocumNet Online – Serwer NSoft | Dane adresowe i osobowe klientów |
Data Faktury (PolData)
via MS Outlook (Poczta szyfrowana) |
<-> | Biuro Rachunkowe | Plik JPK-VAT z danymi osobowymi klientów |
<-> | …… | brak | |
…… | <-> | …… | brak |
…… | <-> | …… | brak |
Rozdział 9
Środki organizacyjne i techniczne zabezpieczenia danych osobowych
§16.
I. Zabezpieczenia organizacyjne
- Opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych,
- Sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Eurolocum.pl,
- Stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych,
- Opracowano i bieżąco prowadzi się rejestr czynności przetwarzania
- Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną,
- Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
- Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
- Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
- dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
II. Zabezpieczenia techniczne
- Wewnętrzną sieć komputerowa zabezpieczona jest przed nieuprawnionym dostępem szeregiem profesjonalnych rozwiązań, wiodącej światowej firmy:
- Ochrona plików w czasie rzeczywistym
- System zapobiegania włamaniom działający na hoście (HIPS)
- Ochrona przed atakami typu „phishing”
- Zapora
- Ochrona przed botnetami
- Ochrona przed atakami z sieci (IDS)
- Stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową, antyspamową i zaporę
- Komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła,
Rozdział 10
Zadania administratora danych osobowych lub inspektora ochrony danych (jeśli został powołany)
§17.
Do najważniejszych obowiązków administratora danych osobowych ADO należy:
- Organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
- Zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
- Przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych – w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
- Wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
- Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- Prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
- Nadzór nad bezpieczeństwem danych osobowych,
- Kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- Inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
Rozdział 11
Postanowienia końcowe
§18.
- Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
- Za przeprowadzenie szkolenia odpowiada administrator danych osobowych lub inspektor ochrony danych osobowych.
- Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi u administratora danych osobowych,
- Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.
Kielce dnia 24 maja 2018 roku