Osoby odpowiedzialne za przetwarzanie danych
§ 3.
1. Za przetwarzanie danych osobowych oraz ich ochronę zgodnie z przepisami RODO, UODO, przepisami ustaw sektorowych oraz Polityki, odpowiadają:
a) Administrator,
b) Inspektor ochrony danych,
c) Administrator systemu informatycznego, d) kierownicy komórek organizacyjnych,
e) osoby upoważnione do przetwarzania danych osobowych.
S t r o n a 9 | 44
2. Jeżeli w Organizacji nie wyznaczono Inspektora, to postanowienia odnoszące się do Inspektora stosuje się odpowiednio do osoby, której przydzielono obowiązki z zakresu ochrony danych osobowych.
3. Jeżeli w Organizacji nie wyznaczono Administratora systemu informatycznego, to postanowienia odnoszące się do ASI stosuje się odpowiednio do osoby, której przydzielono obowiązki związane z opieką nad systemem informatycznym, jego administracją i zarządzaniem środowiskiem IT w Organizacji.
4. Jeżeli w Organizacji nie wyznaczono osoby, o której mowa w ust. 2 lub 3 powyżej, to zadania i obowiązki w tym zakresie realizuje Administrator.
Obowiązki Administratora
§ 4.
1. Administrator w procesie przetwarzania danych osobowych jest odpowiedzialny za:
1) zapewnienie odpowiednich środków organizacyjnych i technicznych celem przetwarzania danych osobowych zgodnie z określonymi w RODO zasadami przetwarzania danych osobowych,
2) wdrożenie odpowiednich procedur ochrony danych osobowych, 3) stosowanie zatwierdzonych kodeksów postępowania lub
zatwierdzonych mechanizmów certyfikacji, jako elementu dla stwierdzenia przestrzegania przez Firmę ciążących na nim obowiązków, w przypadku gdy uzna to za konieczne,
4) zapewnienie środków umożliwiających prawidłową realizację praw osób, których dane dotyczą,
5) prowadzenie rejestru czynności przetwarzania danych osobowych, 6) prowadzenie rejestru kategorii przetwarzania dokonywanych w
imieniu innego administratora, 7) współpracę z organem nadzorczym,
8) wdrożenie odpowiednich środków organizacyjnych i technicznych, aby zapewnić stopień bezpieczeństwa odpowiadający istniejącemu ryzyku naruszenia praw lub wolności osób, których dane dotyczą, 9) zawiadomienie o naruszeniu ochrony danych osobowych właściwego
organu nadzorczego, a w przypadku, gdy zajdą ku temu odpowiednie przesłanki, zgłoszenie osobie, której dane dotyczą,
S t r o n a 10 | 44
10) rejestrowanie wszelkich naruszeń ochrony danych osobowych, w tym dokumentowanie okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych,
11) zapewnienie odpowiednich środków w celu dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, w sytuacji gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w tym, w przypadku gdy zajdą ku temu odpowiednie przesłanki, konsultację z organem nadzorczym,
12) nadawanie upoważnień do przetwarzania danych osobowych oraz prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
13) zapewnienie legalności przekazywania danych osobowych do podmiotów trzecich,
14) zapewnienie, że Inspektor jest właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych oraz wspieranie IOD w wypełnianiu jego zadań poprzez zapewnienie niezbędnych zasobów do wykonywania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania,
15) zagwarantowanie by Inspektor nie działał pod wpływem presji i nie otrzymywał instrukcji dotyczących wykonywania swoich zadań, a także publikację danych kontaktowych IOD oraz zawiadomienie o nich organu nadzorczego.
2. Do obowiązków Administratora należy w szczególności:
1) zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:
a) została pozyskana zgoda osoby, której dane dotyczą lub została spełniona inna przesłanka dopuszczająca przetwarzanie danych osobowych,
b) został spełniony obowiązek informacyjny wobec osoby, której dane dotyczą,
c) dane były przetwarzane zgodnie z obowiązującymi przepisami prawa, dobrymi praktykami oraz normami społecznymi,
d) dane zbierane były w oznaczonym, zgodnym z prawem celu, e) dane były merytorycznie poprawne oraz zakres danych był
adekwatny do celu zbierania,
S t r o n a 11 | 44
f) dane były przetwarzane z ograniczeniem czasowym.
2) prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych.
3) dopuszczanie do przetwarzania danych wyłącznie osoby posiadającej upoważnienie lub/i przeszkolonej z zakresu ochrony danych osobowych, wydawanie i zarządzanie upoważnieniami, którego wzór stanowi Załącznik nr 2 do Polityki, oraz prowadzenie i aktualizacja ewidencji osób upoważnionych do przetwarzania danych osobowych, stanowiącej Załącznik nr 3a do Polityki, jak również prowadzenie i aktualizacja ewidencji przydziału kluczy do poszczególnych pomieszczeń stanowiącej Załącznik nr 3b do Polityki.
4) nadzorowanie i dbanie o zgodne z prawem przekazywanie danych osobowych (udostępnianie i powierzanie).
5) respektowanie prawa osób, których dane dotyczą, a w szczególności prawa do uzyskania informacji o:
a) Administratorze i jego danych kontaktowych, b) danych kontaktowych Inspektora,
c) celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania,
d) prawnie uzasadnionych interesach realizowanych przez Administratora lub przez osoby trzecie,
e) odbiorcach danych osobowych lub o kategoriach odbiorców, f) zamiarze przekazania danych osobowych do państwa trzeciego
lub organizacji międzynarodowej,
g) okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
h) prawie żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
i) prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
j) prawie wniesienia skargi do organu nadzorczego,
S t r o n a 12 | 44
k) tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są konsekwencje niepodania danych,
l) zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
m) innym celu przetwarzania danych, jeżeli Administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane,
n) źródle pochodzenia danych osobowych.
6) respektowanie praw osób, których dane dotyczą w zakresie:
a) uprawnienia do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące,
b) uzyskania dostępu do danych osobowych oraz informacji, c) prawa do uzyskania kopii,
d) prawa do sprostowania i uzupełnienia danych, e) prawa do usunięcia danych,
f) prawa do ograniczenia przetwarzania, g) prawa do przenoszenia danych,
h) prawa do wniesienia sprzeciwu wobec przetwarzania dotyczących ich danych osobowych,
i) prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
7) przeprowadzanie regularnych wewnętrznych audytów przestrzegania przepisów dotyczących ochrony danych osobowych.
8) zapewnienie prawidłowej eksploatacji systemu, zgodnej z celami przetwarzania danych osobowych.
9) szkolenie użytkowników systemu informatycznego w zakresie procedur i instrukcji zapewniających ochronę danych osobowych.
10) wyjaśnianie wszystkich zgłoszonych nieprawidłowości i incydentów.
11) wykonywanie przeglądu, konserwacji oraz uaktualnienia systemów służących do przetwarzania danych.
S t r o n a 13 | 44
12) zapewnienie bezpieczeństwa w sieci komputerowej.
13) nadawanie, zmiany lub pozbawianie uprawnień dostępu do systemu informatycznego użytkowników.
14) nadzorowanie ochrony antywirusowej.
15) wykonywanie kopii bezpieczeństwa.
3. Administrator wyznacza Inspektora, o ile obowiązek jego wyznaczenia wynika z powszechnie obowiązujących przepisów lub gdy uzna to za konieczne z innych przyczyn, przy uwzględnieniu zasad ochrony danych osobowych oraz z poszanowaniem zapewnienia adekwatnego stopnia ochrony danych osobowych w Organizacji.
4. Administrator wyznacza Administratora systemu informatycznego, o ile uzna to za konieczne.
5. Administrator nadzoruje działania Inspektora ochrony danych oraz Administratora systemu informatycznego.
6. Administrator każdorazowo dokonuje ostatecznej akceptacji najważniejszych z perspektywy organizacji działań Inspektora ochrony danych oraz Administratora systemu informatycznego, w które zaangażowane są podmioty trzecie, przy zachowaniu i poszanowaniu pełnej niezależności Inspektora.
Weryfikacja obowiązku wyznaczenia Inspektora
§ 5.
1. Administrator zobowiązany jest do wyznaczenia Inspektora zawsze w sytuacji, gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, przy czym rekomendowane jest powołanie Inspektora również w sytuacji, gdy prywatne jednostki realizują zadania w interesie publicznym lub sprawując władzę publiczną;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych
S t r o n a 14 | 44
osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
2. Na dzień sporządzenia Polityki Administrator nie jest zobowiązany do wyznaczenia Inspektora w związku z brakiem aktualizacji przesłanek wskazanych w ust. 1 powyżej. Szczegółowy raport weryfikujący istnienie obowiązku wyznaczenia Inspektora stanowi Załącznik nr 4.
3. W wypadku gdy weryfikacja obowiązku wyznaczenia Inspektora prowadzi do negatywnych wniosków powyższe nie stoi na przeszkodzie fakultatywnego wyznaczenia Inspektora.
4. W wypadku gdy weryfikacja obowiązku wyznaczenia Inspektora nie prowadzi do jednoznacznych wniosków Administrator winien wyznaczyć Inspektora.
5. Administrator zobowiązany jest do przeprowadzenia czynności weryfikujących istnienie obowiązku wyznaczenia Inspektora co 12 miesięcy, z zastrzeżeniem dokonania weryfikacji w czasie krótszym, w szczególności w przypadku wydania nowych wytycznych przez organ nadzorczy lub Europejską Radę Ochrony Danych.
6. Administrator zobowiązany jest do opublikowania danych kontaktowych Inspektora (adres e-mail lub/i numer telefonu) na stronie internetowej Firmy oraz podania ich do wiadomości pracowników/współpracowników (imię, nazwisko, adres e-mail, numer telefonu).
Obowiązki Inspektora
§ 6.
1. Inspektor ochrony danych jest wyznaczany przez Administratora na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania swoich zadań.
2. Administrator może wyznaczyć zastępców Inspektora oraz inne osoby, które wchodzą w skład Zespołu Inspektora i wspomagają wykonywanie zadań monitorowania ochrony danych w Firmie.
3. Do podstawowych zadań Inspektora ochrony danych należy:
a) informowanie o obowiązkach wynikających z RODO oraz innych właściwych przepisów Unii lub państw członkowskich o ochronie danych osobowych oraz doradzanie w tym zakresie,
b) monitorowanie przestrzegania RODO oraz innych właściwych przepisów Unii lub państw członkowskich o ochronie danych osobowych,
S t r o n a 15 | 44
c) monitorowanie przestrzegania wdrożonych procedur ochrony danych osobowych,
d) doradztwo w zakresie podziału obowiązków, przykładowo pomiędzy Administratorem a podmiotem przetwarzającym lub pomiędzy pracownikami Administratora,
e) działania zwiększające świadomość pracowników Administratora w zakresie obowiązków wynikających z RODO lub przyjętych procedur, f) szkolenia dla pracowników Administratora uczestniczących w
operacjach przetwarzania danych,
g) przeprowadzanie audytów w zakresie przestrzegania RODO i wdrożonych procedur ochrony danych osobowych,
h) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania,
i) współpraca z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych,
j) pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO,
k) monitorowanie zmian przepisów z zakresu ochrony danych osobowych, wydania nowych lub modyfikacji dotychczasowych wytycznych organu nadzorczego lub Europejskiej Rady Ochrony Danych.
Obowiązki Administratora systemu
§ 7.
1. Funkcję Administratora systemu pełni osoba wyznaczona przez Administratora.
2. Administrator systemu informatycznego w szczególności:
a) zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z pozycji Administratora;
b) przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe;
S t r o n a 16 | 44
c) na wniosek właściwej osoby oraz po zaakceptowaniu przez Administratora, przydziela każdemu użytkownikowi identyfikator i hasło do systemu informatycznego oraz na polecenie Administratora dokonuje ewentualnych modyfikacji uprawnień;
d) nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;
e) podejmuje działania w zakresie ustalenia i kontroli identyfikatorów dostępu do systemu informatycznego;
f) wyrejestrowuje użytkowników na polecenie Administratora;
g) w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje Administratora oraz Inspektora o naruszeniu i współpracuje z nim przy usuwaniu skutków naruszenia;
h) nadzoruje wykonywanie napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe, sprawuje nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego;
i) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji;
j) identyfikuje i analizuje zagrożenia oraz ocenia ryzyka, na które może być narażone przetwarzanie danych osobowych w systemie informatycznym;
k) inicjuje i nadzoruje wdrażanie nowych narzędzi, procedur organizacyjnych oraz sposobów zarządzania systemem informatycznym, które mają doprowadzić do wzmocnienia bezpieczeństwa przy przetwarzaniu danych osobowych,
l) dokonuje cyklicznych przeglądów aktualności i stosowania procedur z zakresu przetwarzania danych w systemie informatycznym,
m) współpracuje z Inspektorem ochrony danych w zakresie bezpieczeństwa i zasad przetwarzania danych osobowych w systemie informatycznym,
n) uwzględnia zasady ochrony danych w fazie projektowania („privacy by design”) oraz domyślnej ochrony danych („privacy by default”) przy planowaniu realizacji nowych procesów związanych z
S t r o n a 17 | 44
przetwarzaniem danych osobowych, w tym w szczególności nowych systemów informatycznych służących do przetwarzania danych osobowych.
Obowiązki kierowników komórek organizacyjnych
§ 8.
1. Kierownicy komórek organizacyjnych są odpowiedzialni za zarządzanie procesami przetwarzania danych osobowych w swoich komórkach. Do obowiązków kierowników należy:
a) zarządzanie czynnościami przetwarzania danych osobowych w ramach zadań, realizowanych przez swoje KO;
b) występowanie z wnioskami do Administratora lub ASI o nadanie, zmianę lub cofnięcie uprawnień pracownikom do określonych zasobów danych osobowych przetwarzanych w systemie informatycznym, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych;
c) zapoznanie podległych pracowników i innych osób (np.
współpracowników) z zasadami przetwarzania i ochrony danych w podległej KO;
d) wypełnianie obowiązków dotyczących zabezpieczenia obszaru przetwarzanych danych osobowych w podległej KO;
e) zgłaszanie do Inspektora zamiaru rozpoczęcia nowego procesu przetwarzania danych osobowych lub zmiany w czynnościach przetwarzania danych realizowanych w KO;
f) w przypadku zbierania danych osobowych, konsultowanie z Inspektorem podstaw prawnych przetwarzania danych osobowych, w tym zbierania i archiwizowanie zgód osób na przetwarzanie ich danych osobowych w wymaganych przypadkach;
g) ustalanie w porozumieniu z ASI zasad tworzenia kopii zapasowych plików z danymi osobowymi, znajdującymi się na stacjach roboczych użytkowników w podległej KO.
Osoby upoważnione
§ 9.
1. Osoba upoważniona do przetwarzania danych osobowych może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez Administratora i tylko w celu wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych przypisany jest do
S t r o n a 18 | 44
niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, rozwiązanie innej umowy łączącej tę osobę z Firmą, powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych.
2. Osoby upoważnione pisemnie oświadczają, że zobowiązują się do zachowania tajemnicy danych osobowych oraz do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa i przestrzegania procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia w Firmie, cały okres obowiązywania innej umowy łączącej użytkownika z Firmą, a także po ustaniu stosunku pracy, rozwiązaniu innej umowy łączącej osobę upoważnioną z Firmą.
3. Naruszenie przez osoby upoważnione lub osoby nieposiadające upoważnienia, będące pracownikami Firmy, procedur bezpiecznego przetwarzania tych danych, w szczególności świadome udostępnienie danych osobie niepowołanej, lub przetwarzania danych wobec braku podstaw, jest ciężkim naruszeniem obowiązków pracowniczych i może być podstawą rozwiązania stosunku pracy bez wypowiedzenia.
4. Osoby upoważnione zobowiązują się do:
a) zapoznania się z przepisami prawa w zakresie ochrony danych osobowych, w tym przepisami Polityki służącymi do przetwarzania danych osobowych;
b) stosowania określonych przez Administratora procedur oraz wytycznych mających na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych;
c) odpowiedniego zabezpieczenia danych przed ich udostępnianiem osobom nieupoważnionym;
d) informowania Administratora niezwłocznie od powzięcia wiedzy o wszelkich podejrzeniach naruszenia lub stwierdzonych naruszeniach oraz wadach systemu przetwarzającego dane osobowe – informacja winna zostać przekazana na adres poczty elektronicznej Administratora.
5. Specjalista do spraw kadrowych jest odpowiedzialny za:
a) przygotowanie upoważnienia do przetwarzania danych osobowych wraz z umową o pracę/zlecenia/dzieło;
b) przechowywanie nadanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy danych
S t r o n a 19 | 44
osobowych i sposobów ich zabezpieczania wraz z aktami osobowymi pracowników lub umowami cywilnoprawnymi;
c) prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych.
Rozdział III Podstawowe zasady, które powinny przestrzegać osoby