logo fundusze

Polityka bezpieczeństwa w zakresie danych osobowych

Łaziska Górne, 19.07.2023 r.

I. [Wstęp]

1.1 Informacje Ogólne

1. Administratorem Danych Osobowych wdrażającym niniejszą Politykę Bezpieczeństwa w zakresie ochrony danych osobowych jest Krajowe Centrum Danych Otwartych sp. z o.o. z siedzibą w Łaziskach Górnych (43-170), ul. Cieszyńska 23G (dalej zwaną również: KCDO lub Spółka).

2. Funkcję Administratora Danych Osobowych w KCDO sprawuje Prezes Zarządu, a jeżeli Prezes Zarządu nie został powołany – Członek Zarządu.

3. Celem niniejszej Polityki jest wdrożenie w Spółce procedur w zakresie ochrony danych osobowych zgodnych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) oraz innymi przepisami prawa w zakresie ochrony danych osobowych.

4. Polityka Bezpieczeństwa odnosi się do danych osobowych przetwarzanych w: zbiorach tradycyjnych, w tym w księgach, wykazach, rejestrach i innych zbiorach ewidencyjnych i systemach informatycznych, również w razie przetwarzania danych poza zbiorem danych osobowych.

5. Pod szczególną ochroną Spółki znajdują się szczególne kategorie danych osobowych (tzw. dane wrażliwe) w rozumieniu motywu 51 oraz art. 9 ust. 1 RODO.

6. KCDO stosuje odpowiednie środki informatyczne, techniczne i organizacyjne, proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych przez KCDO, w szczególności zabezpiecza dane osobowe przed ich udostępnieniem osobom nieupoważnionym, przejęciem przez osobę nieuprawnioną, przetwarzaniem niezgodnym z przepisami prawa oraz ich zmianą, utratą, uszkodzeniem lub zniszczeniem.

1.2. Zasady i Cel Przetwarzania danych osobowych

1. Polityka Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych w KCDO oraz ich zabezpieczenia przed nieuprawnionym dostępem.

2. KCDO przetwarza dane osobowe w szczególności z poszanowaniem zasad:

a) zgodności z prawem, rzetelności i przejrzystości dla osób, których dane dotyczą,

b) ograniczenia celu, co oznacza, że dane osobowe zbierane są przez KCDO w konkretnych, wyraźnych oraz prawnie uzasadnionych celach,

c) minimalizacji danych, co oznacza, że przetwarzanie danych osobowych ograniczone jest do zakresu niezbędnego do celów, w których są przetwarzane,

d) prawidłowości, co oznacza, że wszelkie dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, powinny być niezwłocznie usunięte lub sprostowane,

e) ograniczenia przechowywania, co oznacza, że dane są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres jednak nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,

f) integralności i poufności, co oznacza, że dane przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,

g) rozliczalności, co oznacza, że Administrator Danych Osobowych odpowiada za przestrzeganie zasad przetwarzania danych osobowych, jak również musi być w stanie wykazać ich przestrzeganie.

3. Dane osobowe w KCDO przetwarzane są w celu:

a) realizacji celów spółki KCDO określonych w umowie spółki, z uwzględnieniem realizowanych modeli biznesowych oraz produktów i usług oferowanych przez Spółkę,

b) zapewnienia prawidłowej, zgodnej z prawem polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków zatrudnienia i współpracy nawiązywanych przez KCDO,

c) realizacji innych usprawiedliwionych celów KCDO, z poszanowaniem praw i wolności osób, których dane dotyczą.

4. W przypadkach wskazanych w RODO osoba, której dane osobowe przetwarzane są przez KCDO, otrzyma od KCDO wszystkie informacje wskazane w Artykule 13 ust. 1 i 2 RODO
– w przypadku gdy dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, oraz
w Artykule 14 ust. 1 i 2 RODO – jeżeli KCDO nie pozyskało danych osobowych od osoby, której dane dotyczą (obowiązek informacyjny).

1.3. Skróty Używane w Polityce Bezpieczeństwa

Użyte w niniejszej Polityce Bezpieczeństwa sformułowania lub skróty oznaczają:

1. ADO(Administrator Danych Osobowych) – podmiot, który samodzielnie ustala cele oraz sposoby przetwarzania danych w rozumieniu Artykułu 7 pkt. 4) RODO;

2. IOD (Inspektor Ochrony Danych) – osoba wyznaczona przez Administratora Danych Osobowych zgodnie z art. 37 ust. RODO, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO i przepisach krajowych;

3. Administrator Systemu Informatycznego – pracownik lub współpracownik KCDO, wyznaczony oraz upoważniony przez ADO do administrowania oraz zarządzania systemami informatycznymi;

4. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą), przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy bądź jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

5. Przetwarzanie danych– oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

II. [Osoby Odpowiedzialne za Ochronę Danych Osobowych]

2.1. Informacje Ogólne

1. Administrator Danych Osobowych wykonuje obowiązki z zakresu ochrony danych osobowych, które określone są w RODO oraz innych przepisach obowiązującego prawa, na zasadach określonych w niniejszej Polityce.

2.2. Inspektor Danych Osobowych

1. Administrator Danych Osobowych powołuje Inspektora Ochrony Danych w rozumieniu Artykułu 37 ust. 1 RODO. Zadania IOD zostały zdefiniowane w Artykule 39 RODO.

2. Corocznie, nie później niż do dnia 31 stycznia danego roku, IOD przygotowuje pisemne sprawozdanie roczne (za rok poprzedni) z funkcjonowania systemu ochrony danych osobowych i przekazuje je do ADO.

2.3. Administrator Systemu Informatycznego

Administrator Danych Osobowych powołuje Administratora Systemu Informatycznego, do którego zadań należy:

a) bieżący monitoring oraz zapewnienie ciągłości działania systemu informatycznego i baz danych,

b) nadzór nad procesem optymalizacji wydajności systemu informatycznego, instalacja oraz konfiguracja sprzętu sieciowego oraz serwerowego oraz oprogramowania systemowego
i sieciowego,

c) administrowanie oprogramowaniem systemowym, sieciowym i zabezpieczającym dane chronione przed nieupoważnionym dostępem,

d) nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,

e) współpraca z dostawcami usług oraz sprzętu sieciowego i serwerowego,

f) tworzenie kopii zapasowych danych przechowywanych w systemie informatycznym, zarządzanie kopiami awaryjnymi danych osobowych i zasobów umożliwiających ich przetwarzanie, konfiguracja oprogramowania systemowego i sieciowego,

g) monitorowanie poziomu bezpieczeństwa w systemie informatycznym, implementacja mechanizmów bezpieczeństwa w administrowanej infrastrukturze informatycznej oraz monitorowanie działania systemu informatycznego i przekazywanie informacji
o zagrożeniach do ADO i IOD,

h) nadawanie (po zatwierdzeniu ADO) oraz cofanie uprawnień użytkownikom systemu informatycznego zgodnie z wnioskami przełożonego,

i) przeprowadzanie podstawowego szkolenia dla nowo przyjętych pracowników w zakresie korzystania z systemu informatycznego,

j) zapewnienie pomocy użytkownikom przy korzystaniu z systemu informatycznego,

k) zarządzanie licencjami i procedurami ich dotyczącymi,

l) przeciwdziałanie próbom naruszenia bezpieczeństwa informacji i aktywny udział
w reagowaniu na działania naruszające system bezpieczeństwa w zakresie ochrony danych osobowych oraz usuwanie ich skutków;

m) kontrola przestrzegania zasad bezpiecznego przetwarzania danych w systemie informatycznym;

n) czasowe przeglądy i weryfikacja m.in.: sprawności użytkowanego sprzętu, legalności zainstalowanego oprogramowania, rozmieszczenia stacji roboczych w poszczególnych pomieszczeniach, przyznanych uprawnień do baz danych i poprawności instalacji aktualizacji systemowych i aktualizacji sygnatur wirusów programu antywirusowego,

o) czasowe testowanie, mierzenie i ocenianie skuteczności środków technicznych oraz organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Pod nieobecność Administratora Systemu Informatycznego, ADO pisemnym (lub w formie korespondencji e-mail) upoważnieniem wyznacza osobę zastępującą Administratora Systemu Informatycznego.

2.4. Osoby Upoważnione do Przetwarzania Danych Osobowych

1. Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych zobowiązana jest do ich ochrony w sposób zgodny z RODO, innymi aktami prawnymi
i wewnętrznymi regulacjami obowiązującymi w KCDO.

2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia.

3. Każdy pracownik/współpracownik KCDO zobowiązany jest:

a) przestrzegać zasad zachowania bezpieczeństwa i w należyty sposób chronić przed niedozwoloną zmianą, nieupoważnionym dostępem, rozpowszechnianiem, uszkodzeniem lub zniszczeniem dokumentów lub nośników zawierających dane, przetwarzanych zarówno w formie elektronicznej jak i papierowej;

b) niezwłocznie informować ADO o wszelkich incydentach w zakresie ochrony danych osobowych oraz bezpieczeństwa systemu informatycznego i wykonywać polecenia ADO
w zakresie ochrony informacji oraz bezpieczeństwa systemu informatycznego, na zasadach określonych w Załączniku nr 1 do niniejszej Polityki Bezpieczeństwa;

c) zachować otrzymane indywidualne identyfikatory i hasła w ścisłej tajemnicy;

d) wszędzie gdzie jest to możliwe – stosować pseudonimizację danych osobowych.

4. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych oraz wzór upoważnienia i oświadczenia osoby upoważnionej o zachowaniu poufności stanowią Załącznik nr 2 i Załącznik nr 3 do niniejszej Polityki Bezpieczeństwa.

5. ADO może również udzielić stosownych upoważnień swojemu zastępcy i na wypadek nieobecności osoby upoważnionej, z zachowaniem zasad przewidzianych w RODO i niniejszej Polityce Bezpieczeństwa.

2.5. Zasady Postępowania Osób Upoważnionych

1. Zabrania się:

a) zapisywania identyfikatorów oraz haseł do systemu informatycznego w miejscach, które umożliwiłyby osobom trzecim zapoznanie się z nimi;

b) udostępniania stanowisk roboczych oraz istniejących na nich danych (w postaci elektronicznej, jak i wydruków) osobom nieupoważnionym;

c)trwałego lub czasowego kopiowania programów komputerowych;

d)przenoszenia programów komputerowych z własnego stanowiska roboczego na inne stanowisko;

e) udostępniania osobom postronnym programów komputerowych należących do Spółki oraz udzielania dostępu do wewnętrznej sieci Spółki oraz danych w niej zawartych

f) przechowywania bez zgody ADO na prywatnych nośnikach wymiennych (płyty CD/DVD/Blu-ray, pendrive, dyski przenośne, telefony, karty pamięci, itp.) danych firmy
i danych osobowych będących w posiadaniu KCDO;

g) wynoszenia poza siedzibę KCDO danych firmy i danych osobowych w formie elektronicznej lub papierowej bez pisemnej wydanej przez ADO. Powyższe jest dopuszczalne bez zgody ADO, jeśli jest to związane z bezpośrednim wykonaniem czynności służbowej lub uzgodnioną z ADO pracą zdalną, a dane w formie elektronicznej znajdują się na urządzeniu odpowiednio zabezpieczonym lub zaszyfrowanym.

2. W celu zwiększenia bezpieczeństwa danych oraz sieci komputerowej, każdy użytkownik ma obowiązek usunięcia danych osobowych z nośników, które przeznaczane są do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych oraz do trwałego usuwania danych z nośników, które przeznaczone są do likwidacji.

3. O ile Administrator Danych lub inna upoważniona osoba nie postanowi inaczej, pracownik/współpracownik KCDO może używać stacji roboczej KCDO do celów prywatnych (dotyczy to również przypadków, gdy do celów służbowych używany jest sprzęt prywatny), jednakże w każdym wypadku zobowiązany jest przestrzegać postanowień niniejszej Polityki Bezpieczeństwa, jak również stosować inne środki mające na celu zachowanie bezpieczeństwo danych znajdujących się na powierzonych urządzeniach.

III. [Środki organizacyjne i Techniczne Zabezpieczenia Danych Osobowych]

W celu realizacji założeń niniejszej Polityki Bezpieczeństwa, w KCDO wdrożone zostały następujące środki organizacyjne i techniczne zabezpieczenia danych osobowych:

3.1. Zasady Postępowania Osób Upoważnionych

1. wdrożono Politykę Bezpieczeństwa, zawierającą również procedurę postępowania w sytuacji naruszenia ochrony danych osobowych;

2. opracowano i bieżąco prowadzi się rejestr czynności przetwarzania oraz rejestr kategorii czynności;

3. wyznaczono Inspektora Ochrony Danych oraz Administratora Systemu Informatycznego;

4. do przetwarzania danych dopuszczone są wyłącznie osoby posiadające upoważnienia nadane przez ADO lub osobę przez niego upoważnioną;

5. osoby mające dostęp do danych osobowych zostały zapoznane z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;

6. osoby upoważnione do przetwarzania danych zobowiązane są do zachowania ich w tajemnicy;

7. w miejscu przetwarzania danych utrwalonych w formie papierowej pracownicy oraz współpracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza w szczególności nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym dostęp do nich osobom nieuprawnionym oraz wygaszanie ekranów monitorów w razie chwilowego odejścia od stacji roboczej. Za realizację powyższej zasady odpowiedzialny jest na swoim stanowisku każdy z pracowników;

8. niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe odbywa się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek lub poprzez obsługę podmiotu zewnętrznego w zakresie niszczenia dokumentów;

9. obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy KCDO, chroniony jest alarmem;

10. urządzenia służące do przetwarzania danych osobowych oraz dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w KCDO w zamykanych elektronicznym kluczem pomieszczeniach,

11. w umowach z kontrahentami KCDO zawierane są zapisy mające na celu właściwe zabezpieczenie kwestii poufności informacji,

12. zasady odnośnie realizacji praw osób, których dane osobowe dotyczą określone w RODO, takie jak prawo dostępu do danych, prawo do przenoszenia danych, prawo wniesienia sprzeciwu czy prawo do bycia zapomnianym, określone są w odpowiednich politykach prywatności lub klauzulach informacyjnych,

13 pracownicy oraz współpracownicy KCDO odbywają cykliczne szkolenia w zakresie bezpieczeństwa danych osobowych, nie rzadziej niż raz na pół roku,

14. procedury określone w niniejszej Polityce Bezpieczeństwa i inne zasady postępowania odnośnie
w zakresie bezpieczeństwa systemu informatycznego oraz bezpieczeństwa danych, w tym dane dostępu oraz zakresy upoważnień do przetwarzania danych, weryfikowane są w poszczególnych obszarach struktury organizacyjnej nie rzadziej niż raz na pół roku.

3.2. Zasady Postępowania Osób Upoważnionych

1. wewnętrzną sieć komputerową zabezpieczono przez odseparowanie od sieci publicznej za pomocą systemu typu firewall;

2. stanowiska komputerowe wyposażono w ochronę antywirusową lub inne analogiczne zabezpieczenie;

3. komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania;

4. wprowadzono system podwójnej weryfikacji logowania do konta pocztowego oraz innych danych umieszczonych na dysku Google;

5. dane osobowe są co do zasady przechowywane lokalnie na stacjach roboczych, oraz w chmurze zlokalizowanej w Europejskim Obszarze Gospodarczym;

6. w możliwie szerokim zakresie stosuje się pseudonimizację danych osobowych,

7. pliki zawierające dane osobowe przesyłane są pocztą elektroniczną w formie załącznika, którego otworzenie wymaga hasła;

8. dostępna w KCDO sieć Wi-Fi jest zabezpieczona hasłem, które może być udostępniane wyłącznie pracownikom i współpracownikom. Dodatkowa sieć Wi-Fi może zostać udostępniona innym osobom z zachowaniem dodatkowych zasad bezpieczeństwa określonych przez ASI.

IV. [Postępowanie w Przypadku Stwierdzenia Naruszenia Bezpieczeństwa Informatycznego]
 
1. W razie stwierdzenia przez użytkownika możliwości naruszenia zabezpieczeń systemu informatycznego, na które mogą wskazywać m.in.:

a) ślady włamania lub prób włamania do obszaru, w którym znajdują się poszczególne elementy systemu np. serwery, stacje robocze lub urządzenia sieciowe,

b) stan stacji roboczej (problemy z uruchomieniem, rozkręcona obudowa),

c) fizyczne zniszczenie lub podejrzenie zniszczenia elementów systemu informatycznego na skutek przypadkowych lub celowych działań albo zaistnienia działania siły wyższej,

d) błędy w funkcjonowaniu systemu (np. komunikaty informujące o niespójności, błędach w danych, brak dostępu do funkcji programu, nieprawidłowości w wykonywanych operacjach),

e) znaczne spowolnienie działania systemu informatycznego,

f) pojawienie się niestandardowych komunikatów generowanych przez system informatyczny,

jest on zobowiązany natychmiast powiadomić o tym ADO oraz ASI.

2. Administrator Systemu Informatycznego lub osoba upoważniona powinna w pierwszej kolejności:

a) zapisać informacje dotyczące zdarzenia, w tym dokładny czas wystąpienia incydentu, czas odnotowania incydentu, lokalizacji incydentu oraz sporządzić opis incydentu,

b) zabezpieczyć miejsce zdarzenia przed ingerencją osób trzecich, aż do jego pełnego wyjaśnienia lub udokumentować jego stan za pomocą np. zdjęć czy notatki,

c) niezwłocznie podjąć odpowiednie kroki w celu: (i) powstrzymania lub ograniczenia dostępu do systemu oraz danych osoby niepowołanej, (ii) zminimalizowania okoliczności mogących sprzyjać dalszemu powstawaniu szkód oraz (iii) zabezpieczenia systemu przed usunięciem śladów ingerencji osoby niepowołanej,

d) na bieżąco wygenerować i wydrukować (jeżeli zasoby systemu na to pozwalają) wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą oraz podpisem,

e) przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, w szczególności do określenia skali zniszczeń i metody dostępu do systemu osoby niepowołanej,

f) przywrócić normalny stan działania systemu.

3. Po wyeliminowaniu zagrożenia Administrator Systemu Informatycznego lub osoba upoważniona przez ADO ma obowiązek dokonać analizy stanu systemu informatycznego, w tym również sprawdzić stan urządzeń wykorzystywanych do przetwarzania danych osobowych, zawartość zbioru danych osobowych, sposób działania programów, jakość komunikacji w sieci telekomunikacyjnej, obecność wirusów komputerowych oraz innego złośliwego oprogramowania.

V. [Postępowanie w Przypadku Stwierdzenia Naruszenia Ochrony Danych Osobowych]

1. Osoba, która powzięła informację o zdarzeniu mogącym świadczyć o wystąpieniu przypadku naruszenia danych osobowych, bezpieczeństwa informacji lub ryzyka wystąpienia takich sytuacji, zobowiązana jest do natychmiastowego poinformowania o tym fakcie ADO lub osobę przez niego upoważnioną.

2. O naruszeniu ochrony danych osobowych mogą świadczyć symptomy występujące
w szczególności w następujących obszarach:

a) w obrębie pomieszczeń, szafek lub miejsc przechowywania: (i) ślady włamania lub prób włamania do pomieszczeń, w których odbywa się przetwarzanie danych, w szczególności do serwerowni oraz miejsca gdzie przechowuje są nośniki kopii zapasowych, (ii) włamanie lub próby włamania do szafek, w których przechowywane są, w postaci elektronicznej lub papierowej, nośniki danych osobowych;

b) w obrębie sprzętu informatycznego: (i) kradzież komputera, w którym przechowywane są dane osobowe, (ii) rozkręcona obudowa komputera;

c) w obrębie systemu informatycznego i aplikacji: (i) brak możliwości uruchomienia aplikacji pozwalającej na dostęp do danych osobowych, (ii) brak możliwości zalogowania się do tej aplikacji mimo wykorzystania prawidłowego identyfikatora i hasła, (iii) ograniczone,
w stosunku do normalnej sytuacji, uprawnienia użytkownika w strukturze aplikacji (na przykład brak możliwości wykonania pewnych operacji normalnie dostępnych), (iv) poszerzone uprawnienia w obrębie aplikacji w stosunku do dotychczas przyznanych (na przykład wgląd do szerszego zakresu danych), (v) inny zakres lub różnice w zawartości zbioru danych osobowych dostępnych dla użytkownika (np. ich całkowity lub częściowy brak lub nadmiar);

d) zagubienie bądź kradzież przenośnego nośnika danych;

e) zgłoszenie przypadku naruszenia danych osobowych otrzymanych od osoby trzeciej.

3) Po otrzymaniu zgłoszenia określonego w ust. 1, ADO wyznacza właściwą osobę w celu stwierdzenia, czy rzeczywiście doszło do naruszenia ochrony danych osobowych, sprawdzenia okoliczności zdarzenia oraz wyjaśnienia jego przyczyn, w szczególności, gdy zdarzenie było związane z celowym działaniem pracownika bądź osób trzecich oraz podjęcie stosownych kroków zaradczych.

4. Osoba upoważniona przez ADO określa, na podstawie zebranych informacji, przyczyny zaistnienia incydentu i przekazuje te informacje ADO i IOD. Jeśli incydent był spowodowany celowym działaniem, ADO może poinformować organy uprawnione do ścigania przestępstw
o fakcie celowego naruszenia bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym KCDO.

5. Osoba wyznaczona przez ADO prowadzi rejestr incydentów.

VI. [Budynek i Pomieszczenia, w których wykonywane są Operacje Przetwarzania Danych Osobowych]

1. Z zastrzeżeniem ust. 3 poniżej oraz punktu 3.2 ust. 5, wszelkie dane osobowe przetwarzane są przez KCDO w budynku zlokalizowanym przy ul. Cieszyńskiej 23G w Łaziskach Górnych. Dane osobowe przetwarzane w formie papierowej przechowywane są w oddzielnych pomieszczeniach zamykanych na elektroniczny klucz, do którego dostęp mają tylko osoby upoważnione.

2. W uzasadnionych przypadkach możliwe jest przetwarzanie danych osobowych poza wyznaczonym obszarem (np. na urządzeniach przenośnych), z zachowaniem ostrożności podczas transportu danych, przechowywania oraz użytkowania (m.in. zastosowanie środków ochrony kryptograficznej dla danych, które znajdują się na komputerach przenośnych).

3. Dane osobowe przetwarzane są przez KCDO również w chmurze zlokalizowanej w Europejskim Obszarze Gospodarczym.

4. W sytuacjach określonych w RODO, KCDO zawiera umowę dotyczącą powierzenia przetwarzania danych z podmiotem trzecim.

VII. [Retencja Danych]

1. Dla każdego rozpoznanego procesu przetwarzania danych osobowych (czynności przetwarzania) należy określić okres, przez który dane osobowe, przetwarzane w ramach danego procesu, będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.

2. Kryteria ustalania okresu, o których mowa w ust. 1 mogą być określane w poniższy sposób:

a) przez okres wymagany przepisami prawa,

b) do czasu zakończenia realizacji umowy i przedawnienia roszczeń,

c) do czasu wycofania zgody lub zgłoszenia sprzeciwu,

d) przez okres ustalony przez administratora danych.

3. Każdy nowy proces przetwarzania danych osobowych będzie bez zbędnej zwłoki zgłaszany do ADO oraz IOD, wraz z informacją o zakładanym czasie przetwarzania danych w danym procesie.

4. Informacje co do ustalonego czasu, przez który dane osobowe będą przechowywane, lub kryteria ustalania tego okresu, będą umieszczane w klauzulach informacyjnych podczas realizacji procesu zbierania danych osobowych, zarówno bezpośrednio od osoby, której dane dotyczą (zgodnie z art. 13 RODO) oraz w sytuacji zbierania danych z innych źródeł (zgodnie z art. 14 RODO).

5. Dane o nowym procesie przetwarzania danych osobowych lub zmianie odnośnie rozpoznanych procesów przetwarzania danych będą następnie umieszczane w rejestrze czynności przetwarzania.

6. Osoby odpowiedzialne organizacyjnie za obszar, w którym realizowany jest dany proces zbierania danych osobowych, będą odpowiedzialne za realizację wymogów wskazanych w ust. 4 i 5 powyżej.

7. Pracownik lub współpracownik mający dostęp do danych osobowych będzie odpowiedzialny za bieżące wykonywanie polityki w zakresie retencji danych i po uzgodnieniu z przełożonym.

8. W przypadku zakończenia ustalonego czasu retencji danych osobowych w danym procesie, osoba, o której mowa w ust. 6 powyżej, podejmie niezbędne działania w celu usunięcia danych z nośników elektronicznych lub dokumentacji papierowej (w przypadku danych zawartych na nośnikach elektronicznych – z udziałem lub po uzgodnieniu z Administratorem Systemu Informatycznego).

9. W razie wątpliwości, działania określone powyżej zostaną skonsultowane z Inspektorem Ochrony Danych.

10. Administrator Ochrony Danych lub osoba przez niego wskazana okresowo monitoruje realizację wymogów dotyczących usuwania lub anonimizacji danych

VIII. [Postanowienia Końcowe]

1. Wszyscy pracownicy oraz współpracownicy KCDO są zobowiązani do zapoznania się z treścią niniejszej Polityki Bezpieczeństwa.

2. ADO podejmuje działania mające na celu cykliczną, nie rzadziej niż raz w roku, weryfikację stosowanych procedur i zabezpieczeń poprzez przeprowadzenie stosownego audytu, w tym audytu wewnętrznego.

3. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych w wersji papierowej powinien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.

4. Zakres szkolenia, o którym mowa powyżej będzie obejmować zaznajomienie użytkownika z regulacjami dotyczącymi ochrony danych osobowych, niniejszą Polityką Bezpieczeństwa oraz innymi dokumentami obowiązującymi w tym zakresie w KCDO. Szkolenie zostanie zakończone podpisaniem przez osobę uczestniczącą w szkoleniu oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu, jak również zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych.

5. Polityka Bezpieczeństwa wchodzi w życie z dniem 15.01.2021 r.

6. Załączniki stanowią integralną część niniejszej Polityki Bezpieczeństwa.

IX. [Załączniki]

Załącznik nr 1 – Zasady postępowania w razie incydentów w zakresie bezpieczeństwa systemu informatycznego oraz przypadków naruszeń danych osobowych

Załącznik nr 2 – Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych

Załącznik nr 3 – Wzór upoważnienia i oświadczenia osoby upoważnionej o zachowaniu poufności