Polityka ochrony danych osobowych w firmie JUSTYNA OLEJNIK „LOKATOR” ZARZĄDZANIE I ADMINISTROWANIE NIERUCHOMOŚCIAMI
NIP 9222270294
ul. Śląska 4/5, 30 – 003 KRAKÓW
I Wstęp
- Niniejsza Polityka ochrony danych osobowych (dalej: Polityka ODO lub Polityka) ma na celu ustanowienie ogólnych zasad postępowania z danymi osobowymi w organizacji „LOKATOR” ZARZĄDZANIE I ADMINISTROWANIE NIERUCHOMOŚCIAMI zgodnie z wymogami wynikającymi z przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo).
- Polityka ODO ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany (np. przy wykorzystaniu narzędzi informatycznych) oraz do przetwarzania w sposób inny niż zautomatyzowany (np. zbiory papierowe) danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
- Niniejszy dokument stanowi wykonanie obowiązku, o którym mowa w art. 24 ust. 2 rodo.
- Polityka zawiera:
- Opis zasad ochrony danych osobowych obowiązujących w Organizacji,
- Odwołanie do załączników uszczegóławiających (wzorcowe procedury, instrukcje lub formularze dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych, wymagających doprecyzowania w odrębnych dokumentach)
- Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Kierownik, a także:
- Osoba kompetentna za zakresu IT, której Kierownik powierzył zapewnienia zgodności z prawem ochrony danych osobowych w aspekcie bezpieczeństwa IT – administrator systemów informatycznych (ASI).
- Za stosowanie niniejszej Polityki odpowiedzialni są:
- Kierownik
- Personel Organizacji
- Organizacja zapewnia zgodność postępowania kontrahentów z niniejszą Polityką, jeśli przekazuje dane do tych kontrahentów, występujących w roli procesora/podporocesora.
- Organizacja stosuje niniejszą Politykę przetwarzając dane zarówno w roli administratora jak i procesora
- W przypadku swojej głównej działalności polegającej na zarządzaniu lub administrowaniu nieruchomościami na zlecenie Organizacja:
- występuje w roli procesora, jeśli administrowanie nieruchomością w drodze umowy o zarządzanie nieruchomością wspólną, zleci jej wspólnota mieszkaniowa, mająca organ pozwalający jej operatywnie pełnić rolę administratora danych osobowych (zarząd ustawowy lub zarządcę, powołanego w trybie art. 18 u.w.l.)
- występuje w roli quasi-organu administratora, jeśli funkcję zarządcy powierza jej wspólnota mieszkaniowa (art. 18 ust. 1 u.w.l), w takiej sytuacji dochodzi do powierzenia reprezentacji (art. 33 w zw. z art. 21 ust. 1 u.w.l.) a Organizacja jest jedynym reprezentantem wspólnoty mieszkaniowej.
- Wszelkie decyzje i działania, o których mowa w niniejszej Polityce ODO są dokumentowane w celu zapewnienia zasady rozliczalności zgodnie z art. 5 ust. 2 rodo. Jeżeli dane działanie mające na celu zapewnienie zgodności z przepisami o ochronie danych nie jest odnotowywane w przeznaczonym do tego dokumencie (np. Rejestrze) lub Organizacja nie jest w stanie w inny sposób, zgodnie z zasadą rozliczalności wykazać, że je zrealizowała, Organizacja odnotowuje kto, kiedy, jaką czynność wykonał (np. dnia X osoba Y zamieściła na stronie internetowej klauzulę informacyjną) w dokumencie Wykaz podjętych działań (niedokumentowanych w innych miejscach), stanowiącym Załącznik nr 1 do niniejszej Polityki ODO.
- Niniejsza Polityka ODO oraz jej załączniki i dokumenty z nią powiązane są systematycznie aktualizowane. Przegląd Polityki ODO ma na celu stwierdzenie, czy postanowienia Polityki ODO odpowiadają aktualnej i planowanej działalności Organizacji, ryzyku oraz stanowi prawnemu aktualnemu w momencie dokonywania przeglądu. Zmiany niniejszej Polityki wymagają przeglądu innych dokumentów obowiązujących w Organizacji i dotyczących ochrony danych osobowych. Przeglądu aktualności Polityki ODO dokonuje się w odstępach nie dłuższych niż rok (licząc od przyjęcia niniejszej Polityki ODO).
II Słowniczek
- dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane osobowe to nie tylko dane identyfikacyjne lub kontaktowe jak nazwisko, adres, nr telefonu, ale wszelkie informacje dotyczące tak zidentyfikowanej osoby;
- identyfikacja – ustalenie tożsamości, fizyczne wskazanie osoby, wyodrębnienie jej spośród innych osób, ze względu na unikalny zestaw cech (tożsamość). Do identyfikacji nie jest potrzebne ustalenia imienia i nazwiska, co często nie pozwala samo w sobie na identyfikację (nie jest wystarczające). Na identyfikację pozwala np. ustalenie adresu i wizerunku;
- podmiot danych oznacza osobę, której dane dotyczą;
- dane osobowe wrażliwe – szczególne kategorie danych określone w art. 9 rodo, w tym: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby; jak również dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych, o których mowa w art. 10 rodo.
- dane zwykłe oznaczają dane niebędące danymi wrażliwymi;
- przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
- proces (czynność przetwarzania) oznacza operację lub ciąg operacji (w różnych postaciach począwszy od zebrania) na danych osobowych, mający miejsce w organizacji, przeprowadzany ze względu na określony cel, w szczególności biznesowy, planowany i powtarzalny, wykazujący się odrębnościami w stosunku do innych procesów (na podstawie różnych kryteriów, zwłaszcza: kategoria danych, kategoria podmiotów danych, zakres danych, główna podstawa prawna przetwarzania, cel, kto ma dostęp do danych), na tyle istotnymi z punktu widzenia oceny prawnej, że wymaga osobnego odnotowania i nazwania. Zwykle będzie pokrywał się z procesem biznesowym według teorii zarządzania. Proces składa się zwykle z wielu operacji.
- Właściciel procesu oznacza osobę odpowiedzialną w Organizacji za decydowanie o celach i środkach przetwarzania danych (Właścicielem procesu jest Kierownik);
- Pracownik (obejmuje również zatrudnienie niepracownicze) – osoba działająca z upoważnienia w ramach Organizacji (członek personelu, pracownik, osoba zatrudniona na podstawie umowy cywilnoprawnej lub samozatrudniona jednak świadcząca usługi osobiście bez możliwości korzystania z podwykonawców, w obrębie struktury Organizacji);
- profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
- profilowanie kwalifikowane oznacza formę zautomatyzowanego przetwarzania danych, w wyniku którego dochodzi do podjęcia decyzji przez algorytm (bez kontroli czynnika ludzkiego), wywołującej wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływającej. Chodzi o podjęcie decyzji przez algorytm nieprzewidywalnej przez człowieka, nie jedynie automatyczne powielenie decyzji podjętej przez człowieka;
- zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
- rcpd – rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 rodo;
- rkcpd – rejestr kategorii czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 2 rodo;
- Rejestr – łącznie rejestr czynności przetwarzania danych osobowych (rcpd) i rejestr kategorii czynności przetwarzania danych osobowych (rkcpd)
- administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
- podmiot przetwarzający (procesor) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
- podmiot podprzetwarzający (subprocesor) oznacza podmiot, któremu procesor za zgodą administratora podpowierzył dane do przetwarzania
- naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, oznacza że podatność została wykorzystana przez zagrożenie;
- naruszenie praw lub wolności osoby oznacza bezprawny negatywny skutek, w szczególności w sferze prywatności, a także innych dóbr osobistych, jak również uszczerbek materialny (szkoda) lub niematerialny (krzywda), którego przyczyną jest naruszenie ochrony danych osobowych lub przetwarzanie danych osobowych. Ze względu na możliwość naruszenia praw lub wolności osoby, administrator/podmiot przetwarzający ma obowiązek oceniać i minimalizować ryzyko zarówno po naruszeniu ochrony danych osobowych jak i przed tym naruszeniem na etapie projektowania przetwarzania i przetwarzania. Przetwarzanie które podlega ocenie ryzyka jest przetwarzaniem zgodnym z rodo jeśli spełnia również inne wymogi rodo;
- incydent oznacza zdarzenie w obszarze bezpieczeństwa, które wymaga oceny czy należy je kwalifikować jako naruszenie ochrony danych osobowych, tzn. czy prowadzi do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
- ryzyko oznacza stan rzeczy wynikający ze stosunku negatywnego skutku (naruszenia praw lub wolności osoby, której dane dotyczą) o różnej wadze (dotkliwości, wpływie) do istniejącej niepewności (różne prawdopodobieństwo) jego wystąpienia, ze względu na możliwość wykorzystania podatności przez zagrożenie. Wartość ryzyka wynika z iloczynu wagi oraz prawdopodobieństwa;
- prawdopodobieństwo oznacza jeden z parametrów ryzyka, będący stanem niepewności co do wystąpienia naruszenia praw lub wolności osoby, której dane dotyczą;
- waga oznacza jeden z parametrów ryzyka, określający dotkliwość naruszenia praw lub wolności osoby, której dane dotyczą;
- podatność oznacza słabość, która może być wykorzystana przez zagrożenie, powodując negatywne skutki, np. luka w systemie informatycznym;
- zagrożenie oznacza źródło ryzyka naruszenia praw lub wolności związane z potencjalnym naruszeniem wymogów rodo;
- zabezpieczenie (środek bezpieczeństwa) oznacza środek, którego celem jest zmniejszenie ryzyka poprzez obniżenie prawdopodobieństwa zrealizowania zagrożenia (czyli wykorzystania istniejącej podatności) lub też minimalizację potencjalnych strat związanych ze zrealizowanym zagrożeniem, np. program antywirusowy, drzwi antywłamaniowe, stosowanie procedury bezpieczeństwa.
- weryfikacja tożsamości – proces sprawdzania tożsamości (sprawdzenia czy deklarowana tożsamość jest zgodna ze stanem faktycznym) podmiotu danych, który może obejmować cyfrową identyfikację osoby, której dane dotyczą, na przykład poprzez mechanizm uwierzytelniania (motyw 57 rodo). Weryfikacja tożsamości powinna odpowiadać sposobowi identyfikacji danych i nie może naruszać zasad przetwarzania danych w tym bezpieczeństwa informacji oraz minimalizacji danych. Do celu weryfikacji tożsamości można wykorzystać metodę pytań bezpośrednich (istotne, aby były to pytania na które odpowiedź z dużym prawdopodobieństwem zna tylko wnioskujący) w których wnioskodawca udzieli poprawnych informacji w co najmniej dwóch zapytaniach.
- odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
- strona trzecia oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które
z upoważnienia administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe; - zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
- ASI – osoba kompetentna za zakresu IT, której Kierownik powierzył zapewnienia zgodności z prawem ochrony danych osobowych w aspekcie bezpieczeństwa – administrator systemów informatycznych;
- Specjalista ds. ochrony danych osobowych – osoba kompetentna w zakresie prawa i praktyk ochrony danych osobowych, która doradza Organizacji w tym zakresie;
- Kierownik – oznacza przedsiębiorcę kierującego Organizacją;
- PUODO Prezes Urzędu Ochrony Danych Osobowych;
- rodo Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- UODO ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000) albo Urząd Ochrony Danych Osobowych.
III Zasady przetwarzania danych osobowych
- Przetwarzanie Danych osobowych odbywa się zgodnie z zasadą:
- legalności – dane są przetwarzane przy spełnieniu wszystkich wymogów prawa, w tym w szczególności posiadania jednej z podstaw prawnych przetwarzania;
- rzetelności – dane są przetwarzane przy dopełnieniu zgodności z prawem na każdym etapie przetwarzania;
- przejrzystości – charakter operacji przetwarzania danych musi być jasny dla osób, których dane dotyczą. Zasada legalności, rzetelności i przejrzystości przetwarzania jest realizowana przez:
- weryfikację podstawy prawnej przetwarzania dla każdego procesu dokonywanej w ramach oceny procesu, przed wpisaniem procesu przetwarzania do Rejestru;
- realizację wymogów w zakresie pozyskiwania i wycofywania zgody;
- realizację wymogów w zakresie obowiązków informacyjnych;
- przeprowadzanie – na poziomie rcpd – testu uzasadnionego interesu, w tym testu równowagi, gdy podstawą przetwarzania jest art. 6 ust. 1 lit. f rodo – Wzór testu równowagi stanowi Załącznik nr 2 do niniejszej Polityki – chyba że cel jest typowy, powszechnie opierany na tej przesłance, za aprobatą doktryny, orzecznictwa i organu nadzorczego;
- weryfikowanie podstawy udostępnienia danych (np. jeżeli dane są udostępniane w oparciu o uzasadniony interes administratora danych), w przypadku, gdy fakt ten nie jest odnotowany na poziomie rcpd ani w innym miejscu, ponieważ nie dotyczy procesu prowadzonego w sposób stały – Rejestr udostępnień stanowi Załącznik nr 3 do niniejszej Polityki, decyzję w tej sprawie podejmuje Kierownik;
- oparcie transferu danych do państwa trzeciego lub organizacji międzynarodowej o jedną z następujących podstaw (jeżeli transfer byłby dokonywany):
- decyzję Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (art. 45 rodo);
- zapewnienia odpowiednich zabezpieczeń (art. 46 rodo), m.in. zgodnie z art. 46 ust. 2 lit. c) rodo standardowe klauzule umowne (SCC);
- przesłanki wskazane w art. 49 rodo.
- Weryfikacji podstaw transferu, w tym ewentualnego obowiązku uzyskania zezwolenia organu nadzorczego dokonuje się w ramach oceny procesu przed wpisaniem go do rcpd.
- ograniczenia celu – dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Po osiągnięciu celu dane należy usunąć chyba, że istnieje inny cel oraz inna podstawa prawna do ich dalszego przetwarzania. Cel przetwarzania danych może ulec zmianie, jednak zawsze musi być określony i związany z podstawą prawną przetwarzania. Zasada ograniczenia celu przetwarzania jest realizowana przez:
- identyfikowanie i odrębnie ujawnianie celów przetwarzania dla każdego procesu jest dokonywane w ramach oceny procesu, przed wpisaniem procesu przetwarzania do rcpd;
- przypisywanie podstaw prawnych przetwarzania danych osobowych odrębnie w odniesieniu do każdego zidentyfikowanego celu przetwarzania danych;
- ujawnienie każdego odrębnego celu przetwarzania w treści obowiązku informacyjnego;
- jeżeli podstawą przetwarzania danych jest zgoda – zgoda dotyczy wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom – a zgoda ma być podstawą legalizującą przetwarzanie danych – zbierana jest odrębna zgoda na każdy z tych celów;
- przetwarzanie przez pracowników danych wyłącznie w celach ujawnionych w Rejestrze.
- minimalizacji danych – dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne przy realizacji celów, w których są przetwarzane. Należy przetwarzać wyłącznie te dane osobowe, które są niezbędne do osiągnięcia zamierzonego celu. Przetwarzanie danych osobowych „na zapas”, niezwiązanych z realizacją celu, nie jest dozwolone. Należy wdrożyć odpowiednie procesy, procedury oraz postępowania kontrolne, mające na celu zapewnienie, że przetwarzanie danych spełnia niniejszy warunek. Zasada minimalizacji danych jest realizowana przez:
- weryfikowanie przed wpisaniem procesu do Rejestru czy zakres danych spełnia wymogi minimalizacji danych,
- odnoszenie minimalnego zakresu danych do każdego celu przetwarzania;
- uwzględnienie przepisów szczególnych lub wdrażające rodo (np. w zakresie prawa pracy) ograniczających lub wyraźnie wskazujących dopuszczalny zakres przetwarzania danych osobowych,
- brak zbierania danych „za zapas” bez określonego celu,
- stosowanie ograniczenia dostępu do danych osobowych: prawnego (oświadczenia o zachowaniu poufności, zakresy upoważnień), fizycznego (zamykanie pomieszczeń) i logicznego (ograniczenia uprawnień do systemów informatycznych i zasobów, w których przetwarzane są dane osobowe, nadawanie dostępów zgodnych z zakresem obowiązków).
- prawidłowości – dane są prawidłowe i w razie potrzeby uaktualniane; należy podejmować wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Zasada prawidłowości jest realizowana przez:
- zbieranie danych osobowych ze źródeł wiarygodnych, które zapewniają poprawność danych,
- zapewnienie możliwości sprostowania danych,
- poddawanie danych regularnym przeglądom pod względem ich aktualności. W szczególności weryfikuje się czy wszelkie obiektywne okoliczności wskazujące na brak aktualności są na bieżąco i niezwłocznie uwzględniane.
- ograniczenia przechowywania – dane są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Należy wdrażać odpowiednie procesy, procedury oraz postępowania kontrolne, mające na celu zapewnienie, że przetwarzanie danych spełnia niniejszy warunek. Szczegółowe terminy usuwania danych osobowych określa Tabela retencji danych osobowych – Załącznik nr 4. Zasada ograniczenia przechowywania jest realizowana poprzez następujące czynności:
- w rcpd wskazuje się okresy przechowywania danych osobowych, w odniesieniu do każdego z celów przetwarzania. Okresy przechowywania danych są wskazywane także w stosowanych w Organizacji klauzulach informacyjnych.
- Organizacja zobowiązana jest przetwarzać dane w ramach procesu przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Organizacja będzie się usuwać dane osobowe w okresach wskazanych w rcpd. By ułatwić usuwanie danych we wskazanych okresach, należy oznaczać dane, które są zbieranie w ramach poszczególnych procesów latami (foldery na skrzynce mailowej z podziałem na korespondencję dotyczącą umów i inną korespondencję, segregatory z dokumentami wg roczników). Jeżeli współpraca z danym podmiotem danych zostanie zakończona należy oddzielić jego dane od pozostałych danych i oznaczyć okres po którym dane zostaną usunięte;
- Kierownik – w ramach sprawdzeń planowanych lub doraźnych – weryfikuje czy dane osobowe są systematycznie usuwane zgodnie z okresami retencji wskazanymi w rcpd;
- Kierownik jest odpowiedzialny za przekazania pracownikom przetwarzającym dane okresów w jakich należy usuwać dane. W ramach okresowych przeglądów należy weryfikować także usuwanie danych przez te osoby.
- jeżeli dane przetwarzane są w systemie informatycznym i w systemie odnotowano w odniesieniu do nich ograniczenie przetwarzania, nie usuwa się tych danych w wyznaczonych okresach retencji.
- jeżeli do pracownika zostałaby skierowany wniosek o usunięcie danych przez podmiot danych (np. przez pracownika kontrahenta czy przez klienta), pracownik nie podejmuje samodzielnie decyzji o usunięciu danych, a jest zobowiązany do przekazania wniosku do Kierownika.
- integralności i poufności – dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zasada integralności i poufności jest realizowana przez:
- przeprowadzanie oceny ryzyka w zakresie bezpieczeństwa;
- stosowanie środków bezpieczeństwa (zasada czystego biurka, czystego pomieszczenia itp.);
- stosowanie środków bezpieczeństwa opisanych w Instrukcji zarządzania systemami;
- nadawanie upoważnień do przetwarzania danych;
- odbieranie oświadczeń o zachowaniu danych w poufności.
- rozliczalności – należy przestrzegać powyższych zasad oraz należy zapewnić możliwość wykazania zgodności z przepisami rodo.
IV Podstawy przetwarzania danych
Dane zwykłe
- Przetwarzanie danych należy oprzeć na jednej z niżej wymienionych podstaw:
- zgoda (art. 6 ust. 1 lit. a rodo) – osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- umowa (art. 6 ust. 1 lit. b rodo) – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- obowiązek prawny (art. 6 ust. 1 lit. c rodo) – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Przesłanka ta samodzielnie nie stanowi podstawy przetwarzania. Będzie nią konkretny przepis prawa, określający zakres przetwarzania i wyznaczający ramy niezbędności;
- ochrona żywotnych interesów osoby, której dane dotyczą (art. 6 ust. 1 lit. d rodo) – przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Chodzi tu o interesy, które mają znaczenie dla życia podmiotu danych lub innej osoby fizycznej;
- wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e rodo) – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
- prawnie uzasadnione interesy (art. 6 ust. 1 lit. f rodo) – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. Organizacja dokonuje procesu ważenia realizowanych przez siebie interesów i osoby, której dane dotyczą przy pomocy tzw. testu równowagi.
Dane szczególnych kategorii
- Przetwarzania szczególnych kategorii danych osobowych tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, jest co do zasady zabronione. Wyjątek stanowią następujące okoliczności:
- osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie jej danych w konkretnych celach;
- przetwarzanie jest konieczne do realizacji praw i obowiązków administratora w dziedzinie np. prawa pracy, zabezpieczenia społecznego czy ochrony socjalnej;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby fizycznej, której dane dotyczą lub innej osoby fizycznej;
- przetwarzania dokonuje się w ramach wykonywania niezarobkowej działalności o celach politycznych, światopoglądowych, religijnych lub związkowych;
- dane osobowe zostaną upublicznienie w sposób oczywisty przez osobę, której dotyczą;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym;
- przetwarzanie jest niezbędne do realizacji celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Wyroki skazujące
- Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (np. środki zabezpieczające, art. 93a k.k.) wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem.
V Informowanie osoby której dane dotyczą
- Organizacja z własnej inicjatywy informuje osoby, których dane przetwarza o warunkach tego przetwarzania, stosownie do art. 13 i 14 rodo.
- Organizacja może spełnić obowiązek informacyjny w sposób warstwowy, tj. przedstawiając osobie, której dane dotyczą skróconą informację nt. przetwarzania jej danych osobowych, z odesłaniem (np. przez link) do pełnej treści klauzuli.
- Organizacja informuje osobę od której bezpośrednio zbiera dane osobowe, podczas tego zbierania, chyba że osoba której dane dotyczą dysponuje już tymi informacjami.
- Organizacja informuje osobę, której dane dotyczą, o tym że zebrała jej dane osobowe z innego źródła niż od niej (np. ze źródeł publicznych, od innego administratora):
- Najpóźniej w ciągu miesiąca od zebrania danych;
- Jeżeli dane mają być przeznaczone do kontaktu z osobą, przy pierwszym takim kontakcie
- Jeżeli dane mają być ujawnione innemu odbiorcy, najpóźniej przy pierwszym ujawnieniu,
Chyba że:
- osoba, której dane dotyczą, dysponuje już tymi informacjami;
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku lub o ile obowiązek informacyjny, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach Organizacja podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie, np. na swojej stronie internetowej;
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem;
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej, w tym ustawowym obowiązkiem zachowania tajemnicy.
- Jeśli Organizacja występuje w roli procesora spełnia obowiązek informacyjny w imieniu administratora (zleceniodawcy) w zakresie wynikającym z umowy powierzenia.
- Główny dokument, za pomocą którego Organizacja wypełnia obowiązki informacyjne, stanowi Polityka prywatności zamieszczona na stronie internetowej, która kieruje zindywidualizowane klauzule informacyjne do poszczególnych kategorii osób, których dane dotyczą.
VI Prawa osób, których dane dotyczą
Lista praw
- Osobie, której dane dotyczą przysługuje prawo, wymagające jej inicjatywy, do:
- Wycofania zgody (art. 7 ust. 3)
- Żądania dostępu do danych (w tym uzyskania kopii danych) (art. 15)
- Sprostowania i uzupełnienie danych (art. 16)
- Usunięcia danych (bycia zapomnianym) (art. 17)
- Ograniczenia przetwarzania (art. 18)
- Przenoszenia danych (art. 20)
- Sprzeciwu (art. 21)
Identyfikacja wnioskodawcy
- Organizacja ma obowiązek realizować prawa podmiotów danych, jednak ze względu na zasadę poufności, musi mieć pewność co do tożsamości osoby, której żądanie zrealizuje, aby nie udostępnić informacji nieuprawnionemu.
- Weryfikacji tożsamości może nastąpić np. przez zadanie pytań kontrolnych.
Brak szczególnej formy niemożliwość identyfikacji
- Organizacja realizuje żądanie bez względu na formę jego złożenia.
- Jeśli jednak Organizacja nie jest w stanie zidentyfikować osoby, będzie mogła odmówić spełnienia żądania, z wyjątkiem prawa do sprzeciwu (art. 11 ust. 2).
- Należy poinformować osobę, jeśli identyfikacja jest możliwa po dostarczeniu przez nią dodatkowych informacji.
Wycofanie zgody
- Osoba, której dane dotyczą może w każdej chwili wycofać zgodę na przetwarzanie jej danych osobowych.
- Organizacja zapewnia aby wycofanie zgody było pod każdym względem równie łatwe jak jej udzielenie.
- Wycofanie zgody, która była jedyną podstawą przetwarzania, powoduje że Organizacja nie może dalej przetwarzać danych w dotychczasowym celu.
- Wszelkie dane należy usunąć, z wyjątkiem danych zapewniających rozliczalność, przechowywanych dla celów dowodowych:
- Imię i nazwisko osoby
- Datę i cel uzyskania zgody
- Datę wycofania zgody
Prawo dostępu i kopia danych
- Osobie przysługuje prawo uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich, w szczególności przez uzyskanie ich kopii, a także informacji o których mowa w art. 15 lit. a-h rodo:
- cele przetwarzania;
- kategorie danych osobowych;
- informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
- w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 rodo, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 rodo, związanych z przekazaniem.
- Kopia danych nie jest równoznaczna z kopią dokumentu, który je zawiera.
- Udzielone informacje nie mogą naruszać praw osób trzecich, wnioskodawca może otrzymać tylko dane, które jego dotyczą (pośród nich mogą być dane innych osób, jeśli go dotyczą).
- Należy skrupulatnie zweryfikować zakres żądanych danych.
- Kolejne kopie danych mogą być wydawane za opłatą, stanowiącą zwrot kosztów np. pracy pracownika.
- Kopia może mieć dowolną formę, jeśli wniosek jest elektroniczny należy preferować elektroniczną, chyba że podmiot danych wyraźnie wskaże inną.
Sprostowanie i uzupełnienie danych
- Osoba ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.
- Samodzielnie dostrzeżona nieprawidłowość również powinna być sprostowana, bez wniosku podmiotu danych, na podstawie art. 5 ust. 1 lit. d rodo.
- W razie wątpliwości administrator nie jest związany żądaniem i może wymagać dowodów uzasadniających nieprawidłowość danych.
- Danymi osobowymi są również dane wywnioskowane, stanowiące opinię nie zaś same fakty – te również podlegają sprostowaniu.
- Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
- O pozostawieniu (np. dalszym przechowywaniu) również sprostowanych danych, decydują konkretne okoliczności, w tym treść żądania podmiotu danych. Uprzednia treść danych może być niezbędna np. dla celów dowodowych.
Usunięcie danych, prawo do bycia zapomnianym
- Osoba ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
Przesłanki
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
- osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub sprzeciw dotyczy przetwarzania w celu marketingu;
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego;
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa
- Jeżeli Organizacja upubliczniła dane osobowe, a ma obowiązek usunąć te dane, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Odmowa usunięcia
- Jednakże administrator nie podejmuje czynności zmierzających do usunięcia danych, w zakresie w jakim przetwarzanie jest niezbędne:
- do korzystania z prawa do wolności wypowiedzi i informacji;
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa;
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych o ile prawdopodobne jest, że prawo do usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
- do ustalenia, dochodzenia lub obrony roszczeń.
- Organizacja ze szczególną roztropnością podchodzi do kwestii usuwania danych, aby nie usunąć bezpowrotnie danych niezbędnych do istniejących legalnych celów. Usunięcie danych może polegać na pozostawieniu pewnego minimalnego zakresu danych dla celów dowodowych.
- Usunięcie danych bezwzględnie wymaga decyzji Kierownika.
Ograniczenie przetwarzania
- Osoba może żądać od administratora ograniczenia przetwarzania.
- Ograniczenie przetwarzania polega na czasowej rezygnacji z wszelkich operacji na danych z wyjątkiem przechowywania. Polega na ograniczeniu do przechowywania.
- Powodem jest zwykle zabezpieczenie danych dla innych celów, albo na czas niepewności co do dalszych losów danych.
Metody
- Ograniczenie może polegać na zastosowaniu metody takiej jak:
- czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania,
- uniemożliwienie użytkownikom dostępu do wybranych danych, lub
- czasowe usunięcie opublikowanych danych ze strony internetowej.
- W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane.
- Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie.
- Prawo to nie jest bezwzględne, jego przesłanki podlegają badaniu przez administratora.
- Administrator może zwrócić się do podmiotu danych o wyjaśnienia lub dowody w celu podjęcia decyzji co do realizacji.
Przesłanki
- Żądanie należy spełnić jeśli:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 rodo wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Przetwarzanie mimo ograniczenia
- Jeśli żądanie ograniczenia zostało spełnione, administrator może jednak przetwarzać dane na inne sposoby niż przechowywanie:
- za zgodą osoby, której dane dotyczą np. na konkretną operację, lub
- w celu ustalenia, dochodzenia lub obrony roszczeń, także osoby trzeciej, np. w odpowiedzi na wezwanie organów władzy sądowniczej, pomimo że prawidłowość danych nie została jeszcze sprawdzona, lub
- w celu ochrony praw innej osoby fizycznej lub prawnej, lub
- z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
Informowanie odbiorców i o odbiorcach
- Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
Prawo do przeniesienia danych
- Osoba, której dane dotyczą, ma prawo:
- otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony aktualnego administratora,
- żądać przesłania tych danych przez administratora bezpośrednio do kolejnego administratora.
Przesłanki
- Powyższe przysługuje jeżeli spełnione są łącznie następujące przesłanki:
- przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy;
- przetwarzanie odbywa się w sposób zautomatyzowany;
- osoba sama dostarczyła dane administratorowi, co obejmuje również obserwację osoby za pomocą systemów informatycznych.
Sprzeciw
- Osoba może wnieść sprzeciw wobec przetwarzania opartego na przesłance:
- niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią
Przesłanki skuteczności sprzeciwu
- Sprzeciw jest skuteczny, co oznacza że administrator traci podstawę legalizacyjną i musi usunąć dane jeśli łącznie spełnione są następujące przesłanki:
- podmiot danych powoła się na swoją szczególną sytuację, oraz
- sytuacja ta powoduje, że interesy podmiotu danych przeważają nad interesami administratora, oraz
- administrator nie ma podstaw do ustalenia, dochodzenia lub obrony roszczeń, przetwarzanie nie odbywa się w tym celu.
- W takiej sytuacji Organizacja ponawia tzw. test równowagi, tym razem uwzględniając specyficzną sytuację na jaką powołuje się podmiot danych.
- Analiza dokumentowana jest we Wzorze testu równowagi, który stanowi Załącznik nr 2 do niniejszej Polityki.
Bezwzględna skuteczność sprzeciwu
- Sprzeciw podmiotu danych jest bezwzględnie skuteczny i nie wymaga analizy, jeśli dotyczy marketingu bezpośredniego.
Postępowanie z żądaniem
- Organizacja bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Organizacja informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
- Występując w roli procesora:
- Organizacja pomaga administratorowi w realizacji praw podmiotów danych, zgodnie z art. 28 ust. 3 lit. e rodo. W takiej sytuacji Organizacja niezwłocznie przekazuje administratorowi żądanie osoby, której dane dotyczą.
- Organizacja samodzielnie zajmuje się wnioskiem chyba że administrator niezwłocznie oświadczy, że zamierza zająć się sprawą.
- O załatwieniu wniosku organizacja niezwłocznie informuje administratora.
- Jeśli na skutek treści żądania, Organizacja poweźmie wątpliwości co do legalności zleconego przetwarzania, wstrzymuje (ogranicza do przechowywania) przetwarzanie (odpowiednie operacje) do czasu wyjaśnienia sprawy z administratorem.
- Rejestr realizacji praw podmiotów danych stanowi Załącznik nr 5, dla Organizacji w roli administratora, oraz Załącznik nr 5a, dla Organizacji w roli procesora.
- Realizację żądania obsługuje Właściciel procesu, chyba że obsługę tę zleci pracownikowi.
- Właściciel procesu prowadzi niezbędną korespondencję z podmiotem danych (lub administratorem jeśli w konkretnym przypadku Organizacja działa jako procesor) i zbiera materiał niezbędny do podjęcia decyzji w sprawie realizacji praw podmiotu danych.
- W razie wątpliwości Właściciel procesu lub wyznaczony pracownik zwracają się o konsultację do Specjalisty ds. ochrony danych.
- Rejestr realizacji praw podmiotów danych wypełnia Właściciel procesu, jednak może upoważnić do jego wypełnienia pracownika, dokonując jedynie okresowych sprawdzeń.
- W razie potrzeby, jeśli spełnienie żądania wymaga podjęcia zaawansowanych działań w systemach informatycznych, Właściciel procesu lub wyznaczony pracownik współpracują z ASI.
VII Obowiązki Organizacji
Zapewnienie zgodności z rodo
- Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Organizacja wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rodo i aby móc to wykazać.
- Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Organizacja wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
- Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Sposoby zapewnienia bezpieczeństwa IT oraz ciągłość działania opisane są w Instrukcji Zarządzania Systemami, stanowiącej Załącznik nr 6
Podział ról
- Organizacja przyjmuje następujący podział ról w zakresie realizacji Polityki ODO:
- Kierownik będący jednocześnie Właścicielem procesu;
- Właściciel procesu;
-
- Dodatkowe role:
- IOD -> jeżeli zostałby powołany. W tym przypadku należy zweryfikować treść Polityki ODO.
- Pracownik IT (ASI)
Kompetencje Kierownika
- Kierownik jest odpowiedzialny za przetwarzanie i ochronę danych osobowych zgodnie z przepisami prawa.
- Do kompetencji Kierownika należy w szczególności:
- decydowanie o celach i środkach przetwarzania danych,
- podjęcie decyzji co do potrzeby wyznaczenia IOD,
- określenie celów i strategii ochrony danych osobowych,
- podział zadań i obowiązków związanych z organizacją ochrony danych osobowych,
- realizacje innych kompetencji wynikających z przepisów o ochronie danych osobowych, załączników do Polityki ODO lub dokumentów z nią powiązanych.
Obowiązki Kierownika
- Do obowiązków Kierownika należy:
- zapewnienie szkoleń dla pracowników w zakresie przepisów o ochronie danych osobowych oraz zagrożeń związanych z przetwarzaniem danych osobowych,
- przyjmowanie i zatwierdzanie niezbędnych, wymaganych przez przepisy prawa dokumentów regulujących ochronę danych osobowych w Organizacji,
- zapewnienie wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa oraz zapewnienie zgodności z przepisami rodo,
- realizacje innych zadań wynikających z przepisów o ochronie danych osobowych, załączników do Polityki ODO lub dokumentów z nią powiązanych, w imieniu Organizacji,
- nadawanie upoważnień dla pracowników lub wyznaczenie osoby odpowiedzialnej (z wyłączeniem IOD) do wydawania upoważnień do przetwarzania danych osobowych w imieniu Organizacji.
- Ponadto Kierownik:
- odpowiada za koordynowanie i wykonywanie działań z zakresu ochrony danych w Organizacji opisanych w niniejszej Polityce ODO oraz załącznikach,
- zapewnia funkcjonowanie Systemu ochrony danych osobowych w Organizacji,
- odpowiada za obsługę naruszeń ochrony danych,
- odpowiada za realizację żądań podmiotów danych,
- odpowiada za ocenę zinwentaryzowanych procesów przetwarzania,
- prowadzi rejestry wskazane w niniejszej Polityce ODO, w szczególności Rejestr i odpowiada za jego aktualność i poprawność,
- przeprowadza ocenę ryzyka i ocenę skutków dla ochrony danych,
- przypomina pracownikom o obowiązku usuwania danych w terminach wskazanych w Rejestrze,
- podejmuje decyzję na wniosek pracownika o usunięciu danych,
- weryfikuje czy dane osobowe są usuwane w okresach wskazanych w Rejestrze,
- jest wspierany przez upoważnionego pracownika IT (ASI) w zakresie realizacji czynności związanych z bezpieczeństwem IT.
- Jeżeli Polityka ODO wskazuje określony wymóg bez przesądzania kto jest odpowiedzialny za jego realizację należy przyjąć, że odpowiedzialny jest Kierownik. Kierownik rozstrzyga także spory
i wątpliwości co do zakresu obowiązków pracowników Organizacji.
Obowiązek powołania IOD
- Kierownik ma obowiązek powołać w Organizacji Inspektora Ochrony Danych, zawsze, gdy:
- jej główna działalność polegać będzie na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób na dużą skalę lub
- jej główna działalność polegać będzie na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. IOD musi spełniać wymogi rodo. Spełnienie wymogów należy dokumentować.
- Po analizie przesłanek powołania IOD, Kierownik stwierdza, że w świetle rodo Organizacja nie ma takiego obowiązku.
Obowiązki pracowników
- Pracownik zobowiązany jest:
- do działania wyłącznie na polecenie Organizacji;
- przestrzegania wszystkich polityk i procedur dotyczących przetwarzania danych osobowych przyjętych w Organizacji, w szczególności niniejszej Polityki ODO i jej rozdziału dotyczącego naruszeń;
- zapewnienia ochrony danych osobowych przetwarzanych w Organizacji, a w szczególności zapewnienia ich bezpieczeństwa przed udostępnianiem osobom trzecim i nieuprawnionym, zabraniem, uszkodzeniem;
- nietworzenia kopii przetwarzanych danych osobowych, chyba, że jest to niezbędne do realizacji obowiązków pracowniczych;
- zachowania w tajemnicy, także po zaprzestaniu wykonywania prac, wszelkich danych osobowych oraz informacji dotyczących funkcjonowania systemów służących do przetwarzania danych osobowych oraz innych środków technicznych i organizacyjnych;
- wykorzystywania danych osobowych wyłącznie w zakresie udzielonego upoważnienia, wyłącznie na potrzeby i w zakresie realizowanych zadań na rzecz Organizacji i wyłącznie w okresie zatrudnienia w Organizacji (w szczególności zakazane jest wykorzystywane do własnych celów kontaktów pozyskanych w ramach realizowanych czynności na rzecz Organizacji (np. kontaktów do pracowników kontrahentów lub klientów Organizacji);
- niewykorzystywania przetwarzanych danych osobowych do celów prywatnych;
- zachowania w tajemnicy hasła i sposobu dostępu do systemów informatycznych, również po upływie jego ważności;
- zwrócenia po zakończeniu wykonywania pracy na rzecz Organizacji wszelkich uzyskanych danych lub dostępów;
- natychmiastowego zgłaszania Kierownikowi podejrzenia lub faktu naruszenia zabezpieczenia fizycznego pomieszczenia, bezpieczeństwa danych lub systemów informatycznych – zgłaszanie naruszeń;
- Natychmiastowe zgłaszanie Kierownikowi (Właścicielowi procesu) wszelkich żądań (wniosków) o realizację praw podmiotów danych.
Obowiązki Właściciela procesu (Kierownika)
- Właściciel procesu, niezależnie od obowiązków, które realizuje jako Kierownik, zobowiązany jest:
- przetwarzać dane osobowe wyłącznie w ramach procesów wpisanych do Rejestru, weryfikując na bieżąco zgodność faktycznego przetwarzania z opisem procesu m.in. :
- cele przetwarzania danych;
- podstawę prawną przetwarzania danych;
- zakres przetwarzanych danych;
- spełnienie obowiązku informacyjnego;
- zebranie zgód – jeżeli jest to niezbędne;
- czas przetwarzania danych;
- poprawność danych;
- zarządzać zgodami na przetwarzanie danych osobowych, jeżeli zgoda jest podstawą przetwarzania danych w oparciu o zapis w Rejestrze;
- Zmianą procesu jest każda zmiana parametru wpisanego do następujących ewidencji:
- Rejestru;
- Ewidencji umów powierzenia;
- Formularza oceny ryzka.
Obowiązki osób upoważnionych do przetwarzania danych w Organizacji (cały personel)
- Organizacja w szczególności stosuje poniżej wymienione środki i dba aby osoby upoważnione do przetwarzania danych były zobowiązane do:
- zapoznania się z obowiązującymi przepisami prawa z zakresu ochrony danych osobowych oraz dokumentacją dotyczącą ochrony danych osobowych;
- przechodzenia okresowych szkoleń z obszaru ochrony danych osobowych;
- przetwarzania danych osobowych wyłącznie w celu i zakresie wynikającym z nałożonych obowiązków służbowych;
- zachowania wyjątkowej staranności przy przetwarzaniu danych osobowych, w szczególności danych wrażliwych w celu ochrony interesów osób, których dane dotyczą;
- stosowania określonych procedur i środków przetwarzania oraz zabezpieczania danych osobowych;
- zachowania w poufności danych osobowych;
- zabezpieczenia danych osobowych przed: ich utratą, uszkodzeniem lub zniszczeniem, zmianą lub ich udostępnieniem osobom nieupoważnionym;
- dopilnowania, aby przebywanie osób nieupoważnionych w pomieszczeniach, w których przetwarzane są dane osobowe, miało miejsce wyłącznie w obecności osoby upoważnionej;
- dopilnowania, aby przeznaczone do usunięcia dokumenty, zawierające dane osobowe niszczone były w stopniu uniemożliwiającym ich odczytanie – zabronione jest wyrzucanie dokumentów do koszy na śmieci bez ich właściwej anonimizacji;
- przestrzegania procedur właściwego użytkowania systemów informatycznych, w których przetwarza się dane osobowe, w tym do nieujawniania innym użytkownikom swoich loginów i haseł;
- zachowania należytej staranności podczas przekazywania danych osobowych drogą telefoniczną (konieczność właściwej identyfikacji rozmówcy, konieczność ustalenia, czy rozmówca jest uprawniony do pozyskania danych osobowych, przekazywanie jedynie niezbędnych informacji);
- przesyłania danych osobowych za pomocą sieci Internet jedyne z użyciem metod kryptograficznych (szyfrowanie danych, kanały bezpiecznej transmisji);
- niewysyłania za pomocą wiadomości e-mail danych osobowych na prywatne adresy, niekopiowanie danych na inne nośniki bez uzasadnionej potrzeby;
- zachowania należytej ostrożności przy transporcie dokumentów oraz nośników informatycznych, zawierających dane osobowe, poza obszarem przetwarzania;
- niepozostawiania dokumentów, zawierających dane osobowe na urządzeniach wielofunkcyjnych (drukowanie, kopiowanie);
- nieopuszczania stanowiska bez zabezpieczenia dokumentów papierowych, zawierających dane osobowe (zasada „czystego biurka”) oraz bez zabezpieczania dostępu do danych przetwarzanych w systemie informatycznym (zasada „czystego ekranu”), blokowania ekranu (skrót WIN+L);
- informowania o podejrzanym zdarzeniu dotyczącym danych osobowych;
- zaprzestania przetwarzania danych osobowych po ustaniu stosunku zatrudnienia.
Privacy by design
- Organizacja, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń.
Privacy by default
- Organizacja wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
- W celu spełnienia wymogów określonych w ust. 18 oraz ust. 19 powyżej Organizacja dokonuje regularnych przeglądów (co najmniej raz w roku) już funkcjonujących procesów, także tych powierzonych do zleceniobiorców (procesorów), bowiem charakter, zakres i kontekst operacji przetwarzania, a także ryzyko mogą się zmieniać w toku przetwarzania, zaś przed wprowadzeniem nowego procesu przetwarzania danych (ewentualnie nowej operacji w ramach procesu):
- Wypełnia Kartę procesu, stanowiącą Załącznik nr 7, analizując jego poszczególne aspekty (parametry)
- Przeprowadza analizę ryzyka co do procesu (operacji)
- Przeprowadza analizę zgodności procesu (operacji) z niniejszą Polityką
- Wprowadza proces do rcpd bądź rkcpd
- Podejście o którym mowa powyżej w ust. 20 Organizacja stosuje również do procesów prowadzonych w charakterze procesora.
- Wymogi privacy by design oraz privacy by default realizuje Kierownik.
Powierzenie przetwarzania danych a upoważnienie
- Jeśli Organizacja potrzebuje skorzystać z usług innego podmiotu i będzie się to wiązało z ujawnieniem temu podmiotowi danych osobowych przetwarzanych przez Organizację, w ten sposób że dane te wyjdą poza infrastrukturę Organizacji, konieczne jest zawarcie z takim podmiotem umowy powierzenia o treści określonej w art. 28 rodo.
- Do powierzenia może dojść tylko w ramach procesów wpisanych do Rejestru.
- Przed powierzeniem przetwarzania danych osobowych Organizacja sprawdza, czy podmiot przetwarzający (procesor/podprocesor) gwarantuje odpowiednie środki techniczne i organizacyjne zapewniające zgodność przetwarzania z rodo w tym bezpieczeństwo przetwarzania.
- W ramach każdego powierzenia Organizacja, jako pierwszy procesor, ustala wszystkie podmioty podprzetwarzające w głąb, uczestniczące w przetwarzaniu i prowadzi ich listę będącą elementem umowy powierzenia.
- Ankieta audytowa procesora/podprocesora stanowi Załącznik nr 8.
- Ankiety można nie przeprowadzać w przypadku usługodawców powszechnie znanych, o ugruntowanej renomie, zwłaszcza z branży informatycznej, dostawców rozwiązań typu poczta
e-mail, których zgodność z rodo stanowi wiedzę powszechnie znaną (fakty notoryjne). - Zarówno procesor/podprocesor jak i osoby działające z upoważnienia Organizacji lub procesora/podprocesora przetwarzają dane na polecenie administratora (Organizacji), przy czym polecenie to stanowi również umowa główna (np. o świadczenie usług) jak i umowa powierzenia. Niezależnie od tego Organizacja może wydawać polecenia szczegółowe, ewentualnie przekazywać takie polecenia podprocesorowi, jeśli sama działa na polecenie jako procesor.
- Zarówno upoważnienie jak i powierzenie legalizują ujawnienie danych przez Organizację.
- Organizacja stosuje instytucję powierzenia, jeśli dane osobowe wychodzą poza jej infrastrukturę, do innego podmiotu (zleceniobiorcy). Jeśli zaś zleceniobiorca działa pod nadzorem Organizacji, na jej sprzęcie, wystarczające jest upoważnienie (np. informatyk doraźnie dopuszczony do czynności serwisowych w siedzibie Organizacji, pracownik).
- Wzór Upoważnienia stanowi Załącznik nr 9
- Rejestr osób upoważnionych stanowi Załącznik nr 10
- Nie zawiera się umowy powierzenia, jeśli usługodawca ma status odrębnego administratora, co ma miejsce w szczególności, gdy usługodawca reprezentuje zawód zaufania publicznego lub zawód regulowany, a więc upoważnienie do przetwarzania danych wywodzi z ustawy, która opisuje cele i sposoby przetwarzania przez niego danych osobowych (np. adwokaci, radcy prawni, biegli rewidenci, notariusze).
- Organizacja udostępnia dane osobowe odbiorcy, jeśli ten wykaże podstawę prawną do przetwarzania danych.
Rejestr czynności przetwarzania – inwentaryzacja procesów
- Rejestr jest centralnym punktem zarządzania zgodnością w zakresie ochrony danych osobowych. W ramach Rejestru Organizacja inwentaryzuje i ocenia zinwentaryzowane procesy przetwarzania.
- Organizacja prowadzi rejestr czynności przetwarzania (rcpd), który zawiera co najmniej:
- imię i nazwisko lub nazwę oraz dane kontaktowe Organizacji oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela Organizacji oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rodo.
- Ponadto Organizacja określa inne parametry rejestru, aby maksymalnie skutecznie zarządzać ochroną danych osobowych w Organizacji.
- Rozbudowany, ponad minimum wynikające z rodo Rejestr, współtworzy formularz oceny ryzyka, dostarczając informacji niezbędnych do prawidłowego przeprowadzenia tej oceny – charakter, zakres i kontekst przetwarzania.
- Rejestr Czynności Przetwarzania stanowi Załącznik nr 11
- Dla sytuacji kiedy Organizacja występuje w roli podmiotu przetwarzającego (procesora) prowadzi rejestr kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 rodo.
- Aby zapewnić administratorowi (zleceniodawcy) możliwość wykazania zgodności z rodo, Organizacja w roli procesora prowadzi rkcpd, co do ilości parametrów opisujących proces, w tożsamym rozmiarze co rcpd.
- Rejestr Kategorii Czynności Przetwarzania stanowi Załącznik nr 12
Zgłaszanie naruszeń przez Organizację
- W przypadku naruszenia ochrony danych osobowych (wykorzystania podatności przez zagrożenie), Organizacja bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (parametr prawdopodobieństwa jest na poziomie małe, przez co również poziom ryzyka nie przekracza niskiego).
- Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
- O zgłoszeniu decyduje wyłącznie ocena co do prawdopodobieństwa (wyższe niż małe) naruszenia praw lub wolności osób fizycznych, bez względu na to jak dotkliwe jest to naruszenie. Czyli ocenie podlega wyłącznie prawdopodobieństwo nie zaś waga ryzyka.
- Zgłoszenie, o którym mowa powyżej, musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
- opisywać środki zastosowane lub proponowane przez Organizację w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
- Wzór zgłoszenia naruszenia stanowi Załącznik nr 13
- Zgłoszenia można dokonać także elektronicznie, zgodnie z instrukcją na stronie UODO: https://uodo.gov.pl/pl/134/233
Zgłoszenie administratorowi
- Jeżeli Organizacja występuje w roli podmiotu przetwarzającego:
- po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. W takim wypadku Organizacja nie ocenia czy naruszenie ochrony danych osobowych może spowodować naruszenie praw i wolności osób, których dane dotyczą z prawdopodobieństwem wyższym od małego, pozostawiając tę ocenę administratorowi.
- Ze względu na zasoby i możliwości Administratora jakim jest wspólnota mieszkaniowa Organizacja, w razie braku niezwłocznego oświadczenia Administratora, że zamierza samodzielnie zająć się sprawą, postępuje z naruszeniem jak z własnym, przedstawiając wyniki analizy Administratorowi do ostatecznej decyzji w zakresie zgłoszenia naruszenia do UODO lub zawiadomienia osób, których dane dotyczą.
- Organizacja dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
- Sposób oceny ryzyka wynikającego z naruszenia ochrony danych osobowych, opisany jest w procedurze obsługi naruszeń.
- Procedura obsługi naruszeń stanowi Załącznik nr 14
- Wzór Rejestru naruszeń stanowi Załącznik nr 14 a.
- Jeśli naruszenie dotyczy danych przetwarzanych przez Organizację w charakterze procesora, należy wpisać zdarzenie do Rejestru naruszeń z zaznaczeniem roli Organizacji i dokładnego czasu stwierdzenia naruszenia i przekazania informacji o nim do administratora.
Zawiadomienie osoby, której dane dotyczą
- Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Organizacja, występując w roli administratora, bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
- Dla dokonania zawiadomienia potrzebna jest ocena nie tylko prawdopodobieństwa wystąpienia negatywnych skutków, ale również ocena ich wagi.
- Zawiadomieniu podlega naruszenie, które może mieć znaczące negatywne skutki.
- Wzór zawiadomienia stanowi Załącznik nr 15
- Zawiadomienie, o którym mowa, nie jest wymagane, w następujących przypadkach:
- Organizacja wdrożyła odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym;
- Organizacja zastosowała następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
- wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
- O tym, że doszło do naruszenia ochrony danych osobowych mogą świadczyć, w szczególności:
- kradzież lub zgubienie dokumentów zawierających dane osobowe;
- kradzież lub zgubienie nośników zawierających dane osobowe (np. płyty z wynikami badań);
- nieuprawniona modyfikacja lub kopiowanie danych osobowych;
- nieuprawnione niszczenie dokumentów lub usuwanie rekordów w systemie informatycznym, w zakresie w jakim zawierają dane osobowe;
- nieuprawniony dostęp do systemu informatycznego, w którym przetwarzane są dane osobowe, w szczególności atak hakerski;
- utrata dostępu do danych osobowych, trwała lub czasowa np. z powodu awarii serwera, awarii połączeń telefonicznych;
- nieuprawniony dostęp do pomieszczenia, w którym przetwarzane są dane osobowe;
- wgląd przez osobę nieuprawnioną w treść informacji (zawierającej dane osobowe) wyświetlanej na ekranie komputera lub zawartą w dokumencie papierowym;
- przekazanie danych osobowych osobom nieuprawnionym (np. wysłanie przesyłki lub wiadomości e-mail na zły adres);
- działanie wirusa komputerowego mającego wpływ na dane osobowe;
- pozostawienie danych osobowych w ogólnodostępnym miejscu,
- utrata klucza deszyfrującego lub danych do logowania do systemu, w którym przetwarzane są dane osobowe;
- podszycie się pod cudze dane osobowe i np. wysłanie emaila podając się za inną osobę;
- wydanie dokumentacji innej osobie niż uprawniona;
- rozesłanie listy dystrybucyjnej do innych osób niż powinny być powiadomione;
- zdarzenie losowe np. pożar w pomieszczeniu, w którym przetwarzane są dane osobowe, zalanie.
VIII Ocena (analiza) ryzyka i ocena skutków dla ochrony danych
Podejście oparte na ryzyku
- Organizacja stosuje podejście oparty na ryzyku.
- Organizacja stale ocenia ryzyko wynikające z przetwarzania danych osobowych pod względem prawdopodobieństwa wystąpienia i wagi (dotkliwości) skutków (naruszenia praw lub wolności), dla osoby której dane dotyczą.
- Ryzyko oznacza stan rzeczy wynikający ze stosunku negatywnego skutku (naruszenia praw lub wolności osoby, której dane dotyczą) o różnej wadze (dotkliwości) do istniejącej niepewności (różne prawdopodobieństwo) jego wystąpienia, ze względu na możliwość wykorzystania podatności przez zagrożenie. Wartość ryzyka wynika z iloczynu wagi oraz prawdopodobieństwa.
Ocena na etapie przetwarzania a po wystąpieniu naruszenia ODO
- Na etapie przetwarzania, ocena prawdopodobieństwa naruszenia praw i wolności osoby, uwzględnia też prawdopodobieństwo materializacji zagrożenia i jest bardziej abstrakcyjna niż ocena ryzyka już po naruszeniu ochrony danych osobowych (materializacji zagrożenia), ponieważ Organizacja nie zna wszystkich okoliczności indywidualizujących towarzyszących konkretnemu zdarzeniu.
Poziomy prawdopodobieństwa skutku
- Organizacja uwzględnia następujące poziomy prawdopodobieństwa wystąpienia skutku (naruszenia praw lub wolności):
1 – bardzo małe – naruszenie praw lub wolności (skutek) występuje rzadziej niż raz w roku w jednej firmie na 1000 podobnych do administratora
2 – małe – skutek występuje kilka razy w roku w kilku firmach na 1000 podobnych do administratora
3 – średnie – skutek występuje kilkadziesiąt razy w roku w kilkudziesięciu firmach na 1000 podobnych do administratora
4 – duże – skutek występuje 100 do 300 razy w roku w 100 do 300 firmach na 1000 podobnych do administratora
5 – bardzo duże – skutek występuje ponad 300 razy w roku w ponad 300 firmach na 1000 podobnych do administratora
Poziomy wagi skutku
- Organizacja uwzględnia następujące poziomy wagi naruszenia praw lub wolności (skutku):
1 – bardzo niska – osoba, której dane dotyczą nie odczuje wpływu
2 – niska – osoba zetknie się z niewielką liczbą niedogodności, które bez problemu może przezwyciężyć (np. strata czasu, irytacja).
3 – średnia – osoba, której dane dotyczą napotka znaczące niedogodności, które będzie w stanie przezwyciężyć pomimo pewnych trudności (dodatkowe koszty, odmowa dostępu do usług biznesowych, strach, brak zrozumienia, stres, drobne fizyczne dolegliwości itp.).
4 – wysoka – osoba, której dane dotyczą napotka znaczące konsekwencje, które powinna móc przezwyciężyć pomimo poważnych trudności (sprzeniewierzenie funduszy, czarna lista banków, uszkodzenie mienia, utrata zatrudnienia, wezwanie do sądu, pogorszenie stanu zdrowia itp.).
5 – bardzo wysoka – osoba, której dane dotyczą napotka znaczące, a nawet nieodwracalne konsekwencje, których nie może przezwyciężyć (niepokoje finansowe, takie jak niezdolność do spłaty zadłużenia lub niezdolność do pracy, długoterminowe dolegliwości psychiczne lub fizyczne itp.), a nawet nieodwracalne konsekwencje w zakresie życia i zdrowia.
Typowe zagrożenia i skutki (naruszenia praw)
- Zgodnie z motywem 75 rodo, Organizacja poddaje ocenie pod względem prawdopodobieństwa i wagi negatywnych skutków w szczególności następujące sytuacje:
- jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
- jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
- jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych;
- jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
- jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
Matryca ryzyka
| | | Waga |
| | | Bardzo niska | Niska | Średnia | Wysoka | Bardzo wysoka |
| | | 1 | 2 | 3 | 4 | 5 |
Prawdopodobieństwo | Bardzo duże | 5 | 5 | 10 | 15 | 20 | 25 |
Duże | 4 | 4 | 8 | 12 | 16 | 20 |
Średnie | 3 | 3 | 6 | 9 | 12 | 15 |
Małe | 2 | 2 | 4 | 6 | 8 | 10 |
Bardzo małe | 1 | 1 | 2 | 3 | 4 | 5 |
- Kombinację prawdopodobieństwa i wagi, która stanowi o poziome ryzyka, przedstawia poniższa matryca:
- Przyjmując założenia co do poziomu ryzyka, Organizacja uznała za trafną sugestię brytyjskiego organu nadzorczego, Information Commissioner’s Office (ICO), że małe prawdopodobieństwo zawsze skutkuje niskim ryzykiem, ponieważ nie tylko w obszarze danych osobowych, ale w każdej innej sytuacji życiowej, jednostki akceptują nawet najwyższą dotkliwość skutku, jeśli prawdopodobieństwo jego wystąpienia jest małe (np. akceptacja śmiertelnego skutku prowadzenia pojazdów, ze względu na małe prawdopodobieństwo jego wystąpienia). Z przepisów rodo wynika ponadto, że ryzyko (bez precyzowania jego wagi) jest akceptowalne o ile prawdopodobieństwo jest małe, np. zgodnie z art. 33 rodo naruszenia ochrony danych nie trzeba nawet zgłaszać organowi nadzorczemu, ani tym bardziej zawiadamiać osoby, której naruszenie ochrony danych dotyczy, jeśli „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”.
Postępowanie z ryzykiem
- W zależności od ustalonego poziomu ryzyka możliwe działania Organizacji polegać będą na:
- 1-8 niskie – akceptowalne, nie wymaga podjęcia działań redukujących
- 9-11 średnie – częściowo akceptowalne, działania redukujące mogą zostać przesunięte w czasie, ale wymaga okresowego monitorowania
- 12-19 wysokie – nieakceptowalne, jeśli towarzyszy mu duże prawdopodobieństwo, wymaga oceny skutków dla ochrony danych. Jeśli w wyniku procedury oceny skutków, prawdopodobieństwa ryzyka nie da się zredukować poniżej poziomu dużego prawdopodobieństwa, należy przeprowadzić uprzednie konsultacje. Jeśli prawdopodobieństwo da się zredukować, ale waga ryzyka powoduje, że ogólny poziom ryzyka pozostaje wysoki, działania redukujące mogą zostać przesunięte w czasie, ale ryzyko wymaga stałego
- 20-25 bardzo wysokie – tym bardziej nieakceptowalne, wymaga niezwłocznych działań redukujących albo zaprzestania przetwarzania
- Z punktu widzenia skutków prawnych jakie przewiduje rodo, kluczowe są 3 miary: niskie (małe), średnie, wysokie (duże), skrajne miary jedynie dopełniają obraz ryzyka.
Przykładowe środki bezpieczeństwa
- Przykładowe zabezpieczenia, które adekwatnie do ryzyka może stosować Organizacja:
- Techniczne:
- Zarówno serwery jak i stacje robocze są zabezpieczane oprogramowaniem antywirusowym oraz zaporą typu firewall.
- Przenośne nośniki danych oraz inne urządzenia po konserwacji lub naprawie poza siedzibą Organizacji, przed rozpoczęciem pracy w systemie informatycznym Organizacji są sprawdzane za pomocą aktualnego oprogramowania antywirusowego.
- W Organizacji okresowo (nie rzadziej niż raz na rok) prowadzona jest kontrola legalności oprogramowania.
- Możliwość instalacji i dezinstalacji mają użytkownicy wyłącznie z uprawnieniami administratora.
- W jednostce sporządzane są kopie zapasowe wg. harmonogramu zatwierdzonego przez Organizację. Częstotliwość sporządzania kopii zapasowych zapewnia możliwość ciągłości działania w razie wystąpienia utraty danych w systemie informatycznym.
- Poprawność sporządzania kopii zapasowych jest okresowo weryfikowana.
- Miejsce przechowywania kopii zapasowych jest zabezpieczone przed dostępem osób nieuprawnionych, zaś nośniki, na których zostały wykonane kopie, zabezpieczone są przez działaniem szkodliwych czynników (np. zalanie, pożar, działanie silnego pola elektromagnetycznego).
- Sieć wewnętrzna Organizacji zabezpieczona jest w sposób uniemożliwiający włącznie urządzeń innych niż te autoryzowane przez Organizację.
- Sieć wewnętrzna na styku z siecią publiczną Internet jest zabezpieczona aplikacją / urządzeniem typu firewall.
- Usługi sieciowe, które nie są wykorzystywane lub uznane za niebezpieczne są zablokowane lub wyłączane.
- Systemy operacyjne i wykorzystywane aplikacje są aktualizowane do najnowszych, bezpiecznych i stabilnych wersji.
- Wewnętrzna sieć jest w razie potrzeby podzielona na mniejsze logiczne sieci bez możliwości wzajemnego przenikania się.
- Urządzenia sieciowe chronione są hasłem.
- Dostęp do systemu informatycznego mają wyłącznie osoby uprawnione przez Organizację.
- Dostęp do systemu odbywa za pomocą unikalnego loginu nadawanego wyłącznie jednemu użytkownikowi.
- System operacyjny, po okresie bezczynności o czasie jej trwania nie dłuższym niż 5 minut przechodzi w stan nieaktywny blokując dostęp do urządzenia. Powrót do stanu aktywności wymaga podania hasła.
- Stacje robocze oraz serwer posiadają urządzenia UPS, które w razie przerw w dostawach zasilania, pozwalają na bezpieczne zarchiwizowanie danych i zamknięcie systemów.
- W Organizacji wprowadzono blokadę portów USB.
- Naprawy oraz konserwacje sprzętu służącego do przetwarzania danych osobowych obywają się wyłącznie na podstawie zawartych umów, w których precyzyjnie określono zadania, odpowiedzialności oraz zawarto zobowiązanie podmiotu realizującego usługę do zachowania poufności.
- Umowy zawarte na naprawę, konserwację sprzętu, dostęp do sieci Internet zawierają określenie maksymalnego czasu na naprawę sprzętu oraz przywrócenie dostępu do sieci, które pozwoli Organizacji na dostępność do danych bez uszczerbku dla podmiotów danych.
- Przenośne nośniki danych są ewidencjonowane przez Organizację i mogą być wynoszone poza teren obszaru przetwarzania wyłącznie po otrzymaniu na to zgody od Organizacji oraz wyłącznie w formie zaszyfrowanej.
- Dokładność i możliwość korelacji rejestrów zdarzeń, których zapisy mogą służyć jako dowody w postępowaniu w przypadku wykrycia naruszenia bezpieczeństwa jest zapewniona przez właściwe ustawienie zegarów urządzeń teleinformatycznych.
- Instalacja okablowania poprowadzona jest w sposób uniemożliwiający dostęp osobom nieuprawnionym oraz uniemożliwiającym uszkodzenie okablowania.
- W Organizacji prowadzona jest kompletne i aktualna dokumentacja połączeń fizycznych i logicznych w celu zmniejszenia prawdopodobieństwa błędu.
- W Organizacji wdrożono system poczty elektronicznej, który zapewnia ochronę przed szkodliwym oprogramowanie rozpowszechnianym za pomocą poczty elektronicznej, ochronę antywirusową, ochronę antyspamową, możliwość użycia dostępnych technik kryptograficznych do ochrony poufności i integralności wiadomości poczty elektronicznej.
- Organizacyjne:
- Dane osobowe są przetwarzane wyłącznie przez osoby upoważnione przez Organizację.
- Przed dopuszczeniem do pełnienia obowiązków służbowych, pracownicy przechodzą obowiązkowe szkolenie z zakresu ochrony danych osobowych.
- Pracownicy przetwarzający dane osobowe podlegają obowiązkowym, okresowym szkoleniom z zakresu ochrony danych osobowych.
- W Organizacji opracowano i wdrożono wewnętrzną procedurę ochrony danych osobowych.
- Dokumenty zawierające dane osobowe mogą być przechowywane wyłącznie w zamykanych na klucz szafach.
Ocena skutków dla ochrony danych
Wysokie ryzyko z parametrem prawdopodobieństwa na poziomie: duże – ogólna przesłanka
- Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Organizacja przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
Główny cel DPIA
- Głównym celem procedury oceny skutków dla ochrony danych, wbrew jej nazwie, jest nie ocena skutków, ponieważ ta musi być dokonana już na etapie ogólnej analizy ryzyka (pierwszego stopnia), ale ocena możliwości wdrożenia dodatkowych środków, które sprowadzą zidentyfikowane ryzyko do akceptowalnego poziomu.
Domniemanie wysokiego ryzyka
- Ocena skutków dla ochrony danych, jest wymagana w szczególności w przypadku:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, lub
- systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
- Lista operacji wymagających dokonania oceny skutków dla ochrony danych została przedstawiona przez PUODO pod adresem: https://uodo.gov.pl/424
Konieczne elementy DPIA
- Ocena zawiera co najmniej:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, oraz
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rodo, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Uprzednie konsultacje
- Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a Organizacja wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym stosownie do przepisu art. 36 rodo.
- Formularz oceny ryzyka (I stopnia) wraz z oceną skutków dla ochrony danych stanowi Załącznik nr 16
- Organizacja ocenia ryzyko wszelkich procesów jakie prowadzi zarówno w roli administratora jak i procesora. W przypadku powierzonych procesów, aby spełnić wymogi rodo w zakresie pomocy administratorowi – analiza ryzyka Organizacji stanowi kluczowy element analizy ryzyka administratora (zleceniodawcy).
Obszar prywatności (ogólnej zgodności z rodo)
- Organizacja ocenia ryzyko w aspekcie prywatności (art. 24 rodo – ogólnie pojęta zgodność z rodo). Organizacja posiada polityki, które zapewniają zgodność z rodo, stąd co do poszczególnych procesów nie powtarza w całości ich postanowień, a jedynie zwraca uwagę na zagadnienia najbardziej newralgiczne, czyli jaki sposób realizacji postanowień rodo może być ryzykowny i jak temu zaradzić, w celu zredukowania ryzyka do minimalnego poziomu; jak udoskonalić przyjęte polityki skoro w konkretnym procesie ze względu na jego specyficzne tło (charakter, zakres, kontekst i cele) istnieje ryzyko niezgodności z rodo.
Obszar bezpieczeństwa
- Organizacja osobno ocenia ryzyko w obszarze bezpieczeństwa, w tym cyberbezpieczeństwa (art. 5 ust. 1 lit. f w zw. z art. 32 rodo), co do poufności, integralności oraz dostępności danych.
- Element zarządzania ryzykiem w obszarze cyberbezpieczeństwa stanowi Instrukcja Zarządzania Systemami.
- Rozważając zagrożenia dla obszaru prywatności i bezpieczeństwa Organizacja korzysta z Wykazu przykładowych zagrożeń – Załącznik nr 16a
Sposób oceny przyjęty przez Organizację
- Organizacja przeprowadza analizę ryzyka I stopnia, uwzględniając wymogi oceny skutków dla ochrony danych co do systematycznego opisu operacji, bowiem bez tego trudno mówić o ocenie ryzyka.
- Wobec tego ocena skutków dla ochrony danych jest jedynie kontynuacją oceny ryzyka, polegającą na dokonaniu kolejnej iteracji, która uzupełnia ją o:
- Uzasadnienie proporcjonalności i niezbędności operacji – art. 35 ust. 7 pkt b rodo
- Wskazanie środków redukujących wysokie ryzyko – art. 35 ust. 7 pkt d rodo
- Organizacja wydziela dwie operacje występujące w większości procesów, tj. przechowywanie i przesyłanie danych osobowych w systemach IT i wobec tych operacji dokonuje osobnej oceny ryzyka według modelu ENISY, pod kątem aktywów IT uczestniczących w tych operacjach, biorąc pod uwagę proces o największym zakresie danych, tak aby ustalić wymogi co do bezpieczeństwa IT na najwyższym poziomie.
- Analizę tę przeprowadza według formularza Przechowywanie i przesyłanie w systemach IT – ocena ryzyka – Załącznik nr 17, korzystając z zestawu proponowanych zabezpieczeń Środki bezpieczeństwa ogólne – Załącznik nr 16b a w razie potrzeby również Środki bezpieczeństwa IT wg zagrożeń – Załącznik nr 16c
IX Postanowienia końcowe
- Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi, administracyjnymi i cywilnymi.
- Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony danych osobowych, obowiązujących Organizację, może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością na podstawie przepisów prawa pracy.
- Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy rodo oraz UODO.
- Pracownicy i współpracownicy Organizacji zobowiązani są do bezwzględnego stosowania zasad określonych w Polityce.
Załączniki:
- Załącznik nr 1 – Wykaz podjętych działań
- Załącznik nr 2 – Wzór testu równowagi
- Załącznik nr 3 – Rejestr udostępnień
- Załącznik nr 4 – Tabela retencji danych osobowych
- Załącznik nr 5 – Rejestr realizacji praw podmiotów danych administratora
- Załącznik nr 5a – Rejestr realizacji praw podmiotów danych procesora
- Załącznik nr 6 – Instrukcja Zarządzania Systemami
- Załącznik nr 7 – Karta procesu
- Załącznik nr 8 – Ankieta audytowa procesora
- Załącznik nr 9 – Wzór upoważnienia do przetwarzania danych
- Załącznik nr 10 – Rejestr osób upoważnionych
- Załącznik nr 11 – Rejestr Czynności Przetwarzania
- Załącznik nr 12 – Rejestr Kategorii Czynności Przetwarzania
- Załącznik nr 13 – Wzór zgłoszenia naruszenia ochrony danych osobowych
- Załącznik nr 14 – Procedura obsługi naruszeń
- Załącznik nr 14a – Rejestr naruszeń
- Załącznik nr 14b – Wykaz przykładowych naruszeń wraz z adekwatną reakcją
- Załącznik nr 15 – Wzór zawiadomienia osoby o naruszeniu
- Załącznik nr 16 – Formularz oceny ryzyka
- Załącznik nr 16a – Wykaz przykładowych zagrożeń
- Załącznik nr 16b – Środki bezpieczeństwa ogólne
- Załącznik nr 16c – Środki bezpieczeństwa IT wg zagrożeń
- Załącznik nr 17 – Przechowywanie i przesyłanie w systemach IT – ocena ryzyka