Kontakt

Polityka Prywatności

Zatwierdzona w dniu: 06.03.2025r.

SPIS TREŚCI

I. Podstawowe pojęcia i skróty.
II. Wprowadzenie.
III. Zadania Administratora Danych Osobowych.
IV. Prawa i obowiązki osób przetwarzających dane osobowe.
V. Rejestr Czynności Przetwarzania Danych.
VI. Rejestr Kategorii Przetwarzania Danych.
VII. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności,
integralności i rozliczalności przetwarzania danych.
VIII. Powierzenie, udostępnienie danych osobowych.
IX. Opis zdarzeń naruszających ochronę danych osobowych.
X. Instrukcja postępowania w przypadku zdarzeń naruszających ochronę danych
osobowych.
XI. Postanowienia końcowe.

I.

PODSTAWOWE POJĘCIA I SKRÓTY

Poniższe pojęcia i skróty używane są w Polityce Bezpieczeństwa oraz Instrukcji Zarządzania
Systemem Informatycznym:
Adekwatność danych – przetwarzanie danych osobowych w zakresie niezbędnym ze względu
na cel zbierania danych.
Administrator Danych Osobowych (ADO) – osoba decydująca o celach i środkach
przetwarzania danych osobowych.
Anonimizacja danych osobowych – pozbawienie danych osobowych cech pozwalających na
identyfikację osób fizycznych, których anonimizowane dane dotyczą.
Bezpieczeństwo informacji – zapewnienie poufności, integralności i dostępności przetwarzanych
danych osobowych.
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
Dostępność – gwarancja dostępu do danych osobowych tylko przez osoby upoważnione.
Hasło dostępu – ciąg znaków, unikalnych dla każdego użytkownika eksploatującego sprzęt
komputerowy oraz korzystającego z zasobów informatycznych przetwarzanych i gromadzonych
na serwerze lub w programie sieci informatycznej.
Incydent – każde zdarzenie lub seria zdarzeń, nie będące częścią normalnego działania systemu,
mogące zakłócić przetwarzanie danych lub grozić bezpieczeństwu przetwarzania danych.
Instrukcja Zarządzania – Instrukcja zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych.
Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub
zniszczone w sposób nieautoryzowany (przez osoby nieupoważnione).
Login (identyfikator) – ciąg znaków alfanumerycznych, unikalnych dla każdego użytkownika
korzystającego z zasobów informatycznych przetwarzanych i gromadzonych na serwerze lub w
programie sieci informatycznej.
Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych.
Osoba upoważniona – osoba posiadająca upoważnienie wydane przez ADO lub osobę przez
niego umocowaną i dopuszczona jako Użytkownik do przetwarzania danych osobowych
w systemie informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu.
Osoba nieupoważniona – osoba nie posiadająca upoważnienia do przetworzenia danych
osobowych nadanego przez Administratora Danych Osobowych.
Poufność – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym osobom.
Polityka bezpieczeństwa – Polityka bezpieczeństwa danych osobowych obowiązująca u ADO,
ustanowiona w niniejszym dokumencie.
Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych
takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy
usuwanie, zwłaszcza te, które wykonuje się w systemach informatycznych.
Rejestr Kategorii Przetwarzania Danych- rejestr wszystkich kategorii czynności przetwarzania
dokonywanych w imieniu administratora na podstawie art. 30 ust. 2 RODO.
Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób
jednoznaczny tylko temu, konkretnemu podmiotowi.

Rozporządzenie (RODO) – Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych).
Sieć informatyczna – struktura składająca się z serwerów, stacji roboczych, osprzętu sieciowego,
połączonych ze sobą za pomocą mediów transmisji w celu wymiany danych lub współdzielenia
różnych zasobów.
Stacja robocza – stacjonarny lub przenośny komputer wchodzący w skład systemu
informatycznego, umożliwiający Użytkownikom systemu dostęp do danych osobowych
znajdujących się w systemie.
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedura
przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
System tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym
przetwarzaniem informacji, wyposażenia i środków trwałych w celu przetwarzania danych
osobowych w formie papierowej.
Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000).
Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
Usuwanie danych osobowych – niszczenie danych osobowych lub taka ich modyfikacja, która
nie pozwala na ustalenie tożsamości osoby, której dane dotyczą.
Użytkownik – osoba obsługująca stanowisko komputerowe w zakresie udzielonych uprawnień.
Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych
środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych
osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mające na celu w
szczególności zabezpieczenie danych przed ich udostępnianiem osobom nieupoważnionym.
zabraniem przez osobę nieuprawnioną, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Zbiór danych osobowych – posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony
lub podzielony funkcjonalnie.
Zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na
przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda taka nie może być
domniemana lub dorozumiana z oświadczenia woli o innej treści.
Zniszczenie – trwałe, fizyczne uszkodzenie nośników danych w stopniu uniemożliwiającym ich
późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych
metod.

II.
WPROWADZENIE

  1. Niniejsza Polityka Bezpieczeństwa Danych Osobowych jest zintegrowanym zbiorem ogólnych
    zasad, procedur, wewnętrznych praw i praktycznych doświadczeń regulujących sposób
    zarządzania, ochrony, użytkowania i przechowywania danych osobowych, gromadzonych
    przez ADO w postaci elektronicznej, oraz w dokumentach, w wersji papierowej.
  2. Polityka Bezpieczeństwa dotyczy wszystkich osób, które przetwarzają dane osobowe u ADO,
    tj. pracowników, współpracowników, stażystów, praktykantów i innych osób mających dostęp
    do danych osobowych.
  3. Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przetwarzanych
    przez ADO na najwyższym poziomie.
  4. ADO realizując Politykę Bezpieczeństwa dokłada najwyższej staranności w celu ochrony
    interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:
    a. przetwarzane zgodnie z prawem;
    b. zbierane dla oznaczonych, zgodnych z prawem celów;
    c. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
    d. przechowywane nie dłużej, niż jest to niezbędne do realizacji celów, dla których zostały
    zebrane;
    e. uzyskane na podstawie zgody osoby, której dane dotyczą w przypadku przetwarzania
    danych osobowych w innych niż określonych prawem celach.
  5. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
    a. poufność danych;
    b. integralność danych;
    c. rozliczalność danych;
    d. integralność systemu;
    e. dostępność informacji;
    f. odpowiednie zarządzanie ryzykiem.
  6. Konieczność opracowania polityki bezpieczeństwa wynika z dostosowania działań ADO do
    przepisów Ustawy oraz RODO.
  7. Cele wyznaczone w Polityce bezpieczeństwa realizowane są poprzez:
    a. stałe doskonalenie oraz rozwijanie organizacyjnych i technicznych środków ochrony
    danych osobowych przetwarzanych zarówno w formie tradycyjnej, jak i elektronicznej;
    b. podejmowanie wszelkich działań niezbędnych do ochrony praw jednostki związanych z
    bezpieczeństwem danych osobowych;
    c. staranny dobór, ocenę i kwalifikację pracowników, osób współpracujących i dostawców
    usług;
    d. dostosowanie odpowiednich urządzeń i oprogramowania wykorzystywanych do
    przetwarzania i zabezpieczenia danych osobowych.
  8. Polityka bezpieczeństwa opisuje procedury zapewnienia bezpieczeństwa przetwarzanych
    danych osobowych oraz postępowanie dla zapobiegania skutkom zagrożeń.
  9. Opisane w Polityce bezpieczeństwa reguły obowiązują wszystkich pracowników, osoby
    współpracujące, oraz inne upoważnione osoby mające kontakt z danymi osobowymi objętymi
    ochroną.
  10. Ze względu na zmieniający się charakter zagrożeń, a także pojawianie się nowych, dotąd
    niespotykanych, zabezpieczenia danych osobowych traktowane są nie jako stan, a ciągły
    proces, wymagający monitorowania, bieżącego doskonalenia, modyfikowania

i dostosowywania rozwiązań technicznych i organizacyjnych do możliwości pojawiania się
nowych kategorii niebezpieczeństw i zagrożeń.
III.

ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH (ADO)

  1. ADO stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych
    osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, jak również
    zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem
    odbywającym się z naruszeniem przepisów prawa, nieuprawnioną zmianą, utratą lub
    uszkodzeniem danych.
  2. W zakresie realizowanych zadań ADO:
    a. prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki
    organizacyjne i techniczne zabezpieczające dane osobowe;
    b. zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały
    wprowadzone do zbioru oraz komu są przekazywane;
    c. nadaje i odwołuje upoważnienia do przetwarzania danych osobowych na podstawie
    wniosku kierownika jednostki organizacyjnej oraz prowadzi ewidencję osób
    uprawnionych do przetwarzania danych osobowych.

IV.

PRAWA I OBOWIĄZKI ORAZ ODPOWIEDZIALNOŚĆ OSÓB PRZETWARZAJĄCYCH

DANE OSOBOWE

  1. Każdy użytkownik zobowiązany jest do utrzymania właściwego poziomu bezpieczeństwa
    w zakresie swoich obowiązków i uprawnień.
  2. Każdy użytkownik zobowiązany jest do przestrzegania polityki „czystego biurka”, co oznacza,
    że:
    a. po zakończonej pracy wszystkie nośniki danych zawierające dane osobowe oraz
    dokumenty w formie tradycyjnej muszą być schowane do zamykanej szafy;
    b. każdy pracownik zobowiązany jest do przechowywania na biurku tylko tych
    dokumentów, które są pracownikowi niezbędne w danym momencie pracy do
    wykonania bieżących zadań;
    c. na biurku nie mogą znajdować się napoje w pojemnikach grożących rozlaniem płynu;
    d. w trakcie pracy, w razie wejścia osoby nieupoważnionej do pomieszczenia, w którym
    przetwarzane są dane osobowe, dokumenty muszą być ułożone w sposób
    uniemożliwiający ujawnienie danych osobowych;
    e. pracownik zobowiązany jest do niszczenia dokumentów niepotrzebnych w taki sposób, aby nie
    było możliwe odtworzenie zawartych w nich informacji, np. w niszczarce
    f. po zakończonej pracy na biurku mogą znajdować się jedynie telefon i przybory biurowe,
    takie jak: zszywacz, dziurkacz, długopis
  3. Każdy użytkownik zobowiązany jest do przestrzegania polityki „czystego ekranu”, co oznacza,
    że w przypadku przebywania osoby nieupoważnionej w pomieszczeniu, w którym
    przetwarzane są dane osobowe, monitor musi być odwrócony w sposób uniemożliwiający
    odczytanie danych lub zabezpieczony wygaszaczem ekranu.
  4. Każdy użytkownik zobowiązany jest do prowadzenia rozmów, w tym telefonicznych w taki
    sposób, aby informacje dotyczące danych osobowych nie zostały przekazane osobom
    nieupoważnionym.
  5. Każdy użytkownik składa oświadczenie zgodnie ze wzorem określonym w załączniku nr 9 do
    niniejszej Polityki Bezpieczeństw, w którym:
    a. potwierdza zapoznanie się z Ustawą, Rozporządzeniem, Polityką Bezpieczeństwa oraz
    Instrukcją Zarządzania Systemem Informatycznym.
    b. zobowiązuje się do zapewnienia ochrony przetwarzanych przez niego danych
    osobowych.
  6. Osoby przetwarzające dane osobowe przy użyciu komputerów przenośnych zobowiązane są
    do przestrzegania dodatkowo następujących zasad:
    a. podczas transportu, przechowywania i użytkowania komputera przenośnego konieczne
    jest zachowanie szczególnej ostrożności;
    b. dane osobowe zlokalizowane na dyskach komputerów przenośnych podlegają ochronie
    kryptograficznej;
    c. pozostawienie komputera przenośnego bez nadzoru w samochodzie, przechowalni,
    bagażu itp. jest niedozwolone;
    d. Korzystający z komputera przenośnego zobowiązany jest do takiego użytkowania, aby
    uniemożliwić wgląd w wyświetlane na monitorze dane przez osoby nieupoważnione;
    e. udostępnianie komputera przenośnego osobom nieupoważnionym jest zabronione.
  7. Każdy użytkownik, również po zakończeniu współpracy z ADO, zobowiązany jest do ochrony
    wszelkich informacji dotyczących przetwarzanych danych osobowych, funkcjonowania
    systemów czy urządzeń służących do przetwarzania danych osobowych i sposobów
    zabezpieczania danych.
  8. Przetwarzanie danych osobowych w sposób sprzeczny z Polityką Bezpieczeństwa jest
    niedozwolone.
  9. Użytkownicy, którzy nie zastosują się do zasad wynikających z Polityki Bezpieczeństwa,
    Instrukcji Zarządzania, Ustawy i Rozporządzenia, mogą ponosić w uzasadnionych
    przypadkach odpowiedzialność wynikającą z przepisów prawa.
  10. Przypadki nieuzasadnionego niezastosowania się przez pracownika do wskazanych w punkcie
    9 aktów potraktowane mogą zostać potraktowane jako ciężkie naruszenie podstawowych
    obowiązków pracowniczych.

V.

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

  1. ADO prowadzi Rejestr Czynności Przetwarzania Danych Osobowych.
  2. W Rejestrze zamieszcza się m. in. następujące informacje:
    a. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich
    współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora
    oraz inspektora ochrony danych;
    b. cele przetwarzania;
    c. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
    d. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
    e. planowane terminy usunięcia poszczególnych kategorii danych;
    f. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
  3. Rejestr czynności przetwarzania danych osobowych prowadzony jest w formie pisemnej oraz
    elektronicznej i uaktualniany na bieżąco przez ADO.
  4. Rejestr Czynności Przetwarzania Danych Osobowych określa zakres danych osobowych, do
    których przetwarzania został upoważniony pracownik ADO. Powyższy zakres jest zależny od
    stanowiska, na którym zatrudniony jest pracownik ADO.
  5. ADO zapoznaje pracownika z Rejestrem Czynności Przetwarzania Danych Osobowych
    wyłącznie w zakresie czynności przetwarzania danych, do których pracownik ADO jest
    upoważniony do przetwarzania.

VI.

REJESTR KATEGORII PRZETWARZANIA DANYCH

  1. ADO prowadzi Rejestr Kategorii Przetwarzania Danych.
  2. W Rejestrze zamieszcza się m.in. następujące informacje:
    a. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich
    współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora
    oraz inspektora ochrony danych;
    b. kategorie przetwarzań;
    c. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (jeżeli jest to
    możliwe);
    d. nazwy państw trzecich lub organizacji międzynarodowych, do których dane są
    przekazywane;
    e. dokumentacja odpowiednich zabezpieczeń danych osobowych przekazywanych na
    podstawie art. 49 ust. 1 akapit drugi RODO.
  3. Rejestr Kategorii Przetwarzania Danych prowadzony jest w formie pisemnej oraz
    elektronicznej i uaktualniany na bieżąco przez ADO.
    VII.

ŚRODKI TECHNICZNE I ORGANIZACYKNE NIEZBĘDNE DLA ZAPEWNIENIA
POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANIA DANYCH

  1. ADO stosuje odpowiednie środki informatyczne, techniczne, zapewniające ochronę
    przetwarzanych danych osobowych, które są odpowiednie do stopnia zagrożeń oraz kategorii
    danych objętych ochroną.
  2. ADO stosuje następujące środki techniczne:
    a. przetwarzanie danych osobowych następuje w pomieszczeniach odpowiednio
    zabezpieczonych i przystosowanych do przetwarzania;
    b. pomieszczenia zabezpieczone są systemem monitorującym i alarmowym;
    c. pomieszczenia wyposażone są w szafki, dające gwarancje bezpieczeństwa
    dokumentacji i nośników danych;
    d. dokumentacja bieżąca i archiwalna przechowywana jest w obszarach przetwarzania
    danych osobowych w szafach zamykanych na zamki.
  3. ADO stosuje następujące środki organizacyjne:
    a. opracowuje i wdraża Politykę Bezpieczeństwa;
    b. opracowuje i wdraża Instrukcję Zarządzania Systemem Informatycznym;
    c. zapoznaje każdą osobę, przed przystąpieniem do pracy przy przetwarzaniu danych
    osobowych, z przepisami dotyczącymi ochrony danych osobowych;

d. regularnie szkoli osoby przetwarzające dane osobowe w zakresie bezpiecznej obsługi
urządzeń i programów związanych z przetwarzaniem i ochroną danych osobowych;
e. zobowiązuje osoby przetwarzające dane osobowe do przestrzegania zasad ochrony
danych osobowych;
f. kontroluje otwieranie i zamykanie pomieszczeń; pierwsza osoba rozpoczynająca pracę
otwiera pomieszczenia, ostatnia – zamyka i uzbraja alarm;
g. kontroluje, aby w czasie pracy pomieszczenia nie pozostawały bez nadzoru,
a w szczególności, aby w miejscu przetwarzania danych osobowych nie przebywały
osoby nieupoważnione;
h. przyjmuje pisemne oświadczenie osoby upoważnionej do przetwarzania danych
osobowych, że została zapoznana z przepisami dotyczącymi ochrony danych
osobowych, Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem
Informatycznym oraz że zobowiązuje się do ich przestrzegania;
i. nadzoruje przestrzeganie wszelkich wewnętrznych regulaminów i instrukcji dotyczących
bezpieczeństwa ludzi i zasobów informacyjnych oraz indywidualnych zakresów zadań
osób zatrudnionych przy przetwarzaniu danych osobowych, w tym dokumentów
zawartych w Polityce Bezpieczeństwa.
VIII.

POWIERZENIE, UDOSTĘPNIENIE PRZETWARZANIA DANYCH OSOBOWYCH

  1. ADO na podstawie umowy zawartej w formie pisemnej powierza podmiotom zewnętrznym
    przetwarzanie danych osobowych w zakresie objętym umową.
  2. Umowy o powierzenie przetwarzania danych osobowych zgodne są z wymogami określonymi
    w art. 28 ust. 3 RODO.
  3. Wykaz podmiotów, którym powierzono przetwarzanie danych osobowych znajduje się
    w Załączniku nr 3 do Polityki Bezpieczeństwa.
  4. Dane osobowe przetwarzane przez ADO mogą być udostępnione podmiotowi, którego dane
    dotyczą lub innym podmiotom przez niego upoważnionym.
  5. Ponadto dane osobowe mogą być udostępnione innym podmiotom jedynie w celu realizacji
    umowy zawartej pomiędzy ADO, a osobą, której dane dotyczą lub podmiotom upoważnionym
    ustawowo.

IX.

OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONE DANYCH OSOBWYCH

  1. Potencjalne, najbardziej prawdopodobne zagrożenie dla bezpieczeństwa przetwarzanych
    danych osobowych, mogąc wystąpić u ADO:
    a. Zagrożenia losowe zewnętrzne:
    i. pożar;
    ii. włamanie;
    iii. zalanie;
    iv. powódź;
    v. katastrofa budowlana.
    b. Zagrożenia losowe wewnętrzne:
    i. awarie sprzętowe
    ii. błędy oprogramowania

c. Zagrożenia zamierzone, mające na celu nieautoryzowane przetwarzanie danych
osobowych, takie jak:
i. atak hakerski;
ii. ujawnienie hasła i loginu;
iii. podszycie się pod użytkownika;
iv. użycie złośliwego oprogramowania;
v. włamania do systemu;
vi. kradzież danych;
vii. uszkodzenie zabezpieczeń fizycznych, np. włamanie.
d. Zagrożenia związane z działaniami użytkownika, które w sposób przypadkowy lub
umyślny mogą doprowadzić do nieautoryzowanego przetwarzania danych osobowych,
m.in.:
i. udostępnianie stanowisk pracy osobom nieupoważnionym;
ii. niewłaściwa konstrukcja haseł;
iii. niewłaściwe zabezpieczenie haseł;
iv. nieautoryzowane kopiowanie danych osobowych;
v. utrata nośnika zawierającego dane osobowe;
vi. nieodpowiednie, niekompletne niszczenie nośników danych (karta papieru,
dysk);
vii. pozostawienie nośników zewnętrznych w komputerze (np. pendrive);
viii. używanie nośników danych udostępnionych przez osoby postronne;
ix. otwieranie załączników do fałszywych e-maili;
x. niestosowanie operacji ukrycia adresu e-mail odbiorcy podczas seryjnego
wysyłania poczty elektronicznej (opcja DW lub UDW);
xi. samowolne instalowanie przez użytkowników oprogramowania nieznanego
pochodzenia;
xii. niewłaściwe ustawianie monitora komputerowego, umożliwiające osobom
nieupoważnionym wgląd w przetwarzane dane osobowe;
xiii. pozostawienie dokumentów w ogólnodostępnych miejscach (np. w drukarce,
kserokopiarce);
xiv. pozostawienie kluczy w drzwiach do pomieszczeń, stanowiących obszar
przetwarzania danych osobowych lub w szafkach, gdzie znajdują się dane
osobowe;
xv. naruszenie dyscypliny pracy w zakresie przestrzegania procedur
bezpieczeństwa informacji (niewylogowanie się z systemu, pozostawienie
dokumentów na biurku);
xvi. nieprawidłowość w zakresie zabezpieczenia miejsc przechowywania danych
osobowych.

X.

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ

DANYCH OSOBOWYH

  1. Każda osoba przetwarzająca dane osobowe, w przypadku podejrzenia naruszenia
    zabezpieczenia danych osobowych, powinna niezwłocznie powiadomić o tym ADO.
  2. ADO po otrzymaniu powiadomienia:

a. sprawdza stan urządzeń wykorzystywanych do przetwarzania danych osobowych;
b. sprawdza sposób działania programów, w tym obecność wirusów komputerowych;
c. sprawdza jakość komunikacji w sieci telekomunikacyjnej;
d. sprawdza zawartość zbioru danych osobowych;
e. analizuje metody pracy osób upoważnionych do przetwarzania danych osobowych.

  1. W przypadku stwierdzenia naruszenia zabezpieczenia danych ADO;
    a. podejmuje niezbędne działania mające na celu uniemożliwienie dalszego ich naruszenia
    (odłączenie wadliwych urządzeń, zablokowanie dostępu do sieci telekomunikacyjnej,
    programów oraz zbiorów danych);
    b. powstrzymuje lub ogranicza dostęp osoby nieupoważnionej do danych osobowych
    poprzez fizyczne odłączenie urządzeń i segmentów sieci, które mogłyby
    umożliwić dostęp do bazy danych osoby nieupoważnionej, wylogowanie użytkownika
    podejrzewanego o naruszenie zabezpieczenia ochrony danych, zmianę hasła itp.;
    c. zabezpiecza i utrwala informacje, które mogą stanowić pomocy przy ustaleniu przyczyn
    naruszenia;
    d. bez zbędnej zwłoki przywraca prawidłowy stan działania systemu;
    e. dokonuje analizy zabezpieczeń wraz z oszacowaniem rozmiaru szkód powstałych na
    skutek naruszenia;
    f. dokonuje szczegółowej analizy i podejmuje niezbędne działania w celu wyeliminowania
    naruszeń zabezpieczeń danych w przyszłości.
  2. W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki, w miarę
    możliwości nie później jednak niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je
    organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało
    ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego
    organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  3. ADO prowadzi rejestr zgłoszeń naruszeń.
  4. Zgłoszenie naruszenia zawiera następujące informacje:
    a. charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i
    przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę
    wpisów danych osobowych, których dotyczy naruszenie;
    b. imię i nazwisko oraz dane kontaktowe ADO lub oznaczenie innego punktu
    kontaktowego, od którego można uzyskać więcej informacji;
    c. możliwe konsekwencje naruszenia ochrony danych osobowych;
    d. środki zastosowane lub proponowane przez administratora w celu zaradzenia
    naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki
    w celu zminimalizowania jego ewentualnych negatywnych skutków.
  5. ADO dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności
    naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  6. ADO może udzielić pełnomocnictwa innej osobie, również zatrudnionej w zakładzie pracy
    ADO, w zakresie przeprowadzenia procedury związanej z naruszeniem przetwarzania danych
    osobowych, pod warunkiem braku konfliktu interesu strony, w której doszło do naruszenia.

XI.

POSTANOWIENIA KOŃCOWE

  1. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu
    mogą być potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych, w

szczególności przez osobę, która po stwierdzeniu naruszenia zabezpieczenia systemu
informatycznego lub uzasadnionego domniemania takiego naruszenia nie poinformowała o tym
fakcie ADO.

  1. Wdrożenie Polityki Bezpieczeństwa odbywa się poprzez:
    a. zapoznanie pracowników i współpracowników oraz inne osoby upoważnione do
    przetwarzania danych osobowych z treścią Polityki Bezpieczeństwa;
    b. okresowe szkolenia z zakresu ochrony danych osobowych.