Polityka Ochrony danych osobowych

Polityka Ochrony Danych Osobowych

wdrożona zgodnie z art. 24.2. Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (zwanego dalej RODO)

onlydarts.com

Łukasz Kamiński

Maj 2018

 

 

§1. Przesłanki dopuszczalności przetwarzania z prawem

  1. Przetwarzanie danych osobowych osób fizycznych odbywa się wyłącznie w przypadku zaistnienia co najmniej jednej z podstaw określonych w art. 6.1. RODO.
  2. Jeżeli podstawą przetwarzania danych osobowych jest zgoda osoby fizycznej, która ukończyła 16 lat, zgoda ta powinna zostać wyrażona na formularzu stanowiącym załącznik nr 1.

§2. Zadośćuczynienie obowiązkowi informacyjnemu

Zgodnie z art. 13 RODO Administrator podczas pozyskiwania danych od osoby, której dane dotyczą, podaje jej wymagane informacje. Wzór zadośćuczynienia obowiązkowi informacyjnemu zawiera załącznik nr 2 do Polityki Ochrony Danych Osobowych.

§3. Procedury nadawania uprawnień do przetwarzania danych osobowych

  1. Zgodnie z art. 28 RODO do przetwarzania danych w imieniu Administratora dopuszcza się podmioty zewnętrzne wyłącznie na podstawie pisemnej umowy o powierzenie przetwarzania danych.
  2. Zgodnie z art. 29 RODO do przetwarzania danych osobowych przez osoby znajdujące się w strukturze wewnętrznej Administratora dopuszcza się wyłącznie osoby fizyczne, które posiadają pisemne upoważnienie Administratora. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik Nr 3.
  3. Wykaz wszystkich osób fizycznych upoważnionych do przetwarzania danych osobowych wymienia ewidencja osób upoważnionych do przetwarzania danych osobowych.

§4. Rejestrowanie czynności przetwarzania

Zgodnie z art. 30 RODO Administrator prowadzi w formie pisemnej, w tym elektronicznej, rejestr czynności przetwarzania danych osobowych, których dokonuje jako administrator tych danych  oraz rejestr kategorii czynności przetwarzania, których dokonuje jako podmiot przetwarzający dane w imieniu innych administratorów.

§ 5. Ryzyko wiążące się z przetwarzaniem

1. Zagrożeniem dla przetwarzanych danych osobowych są następujące błędy ludzkie:
a) świadome:

  • ujawnienie loginu i hasła do systemu informatycznego osobie nieuprawnionej,
  • udostępnianie stanowiska pracy wraz z danymi osobowymi osobie nieuprawnionej,
  • udostępnianie osobie nieuprawnionej programu komputerowego zainstalowanego w systemie,
  • udostępnienie dysku zewnętrznego zawierającego dane osobowe osobie nieuprawnionej,
  • używanie oprogramowania w innym zakresie niż pozwala na to umowa licencyjna,
  • kopiowanie danych na nośniki informacji, kopiowanie na inne systemy celem wyniesienia ich na zewnątrz,
  • samowolne instalowanie i używanie jakiegokolwiek programu komputerowego, w tym również programu do użytku prywatnego,
  • oddanie do naprawy komputera z zachowanymi danymi osobowymi,
  • otwieranie załączników i wiadomości poczty elektronicznej od nieznanych „niezaufanych” nadawców,
  • używanie nośników danych niesprawdzonych niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą,
  • tworzenie kopii zapasowych nie chronionych hasłem i/lub bez odpowiednich zabezpieczeń miejsca ich przechowywania,
  • wyrzucanie dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia uniemożliwiającego ich odtworzenie,
  • pozostawianie otwartych dokumentów na ekranie monitora bez blokady konsoli,
  • ignorowanie nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych;

b) nieświadome:

  • zapominanie o wylogowaniu się z systemu komputerowego przed opuszczeniem pomieszczenia,
  • pozostawianie osób trzecich bez nadzoru w pomieszczeniu, w którym przetwarzane są dane osobowe,
  • pozostawienie zewnętrznych nośników informacji podłączonych do komputera np. pamięć flash, dyskietki i płyty w napędzie,
  • zapisywanie na kartce i pozostawianie hasła w miejscu widocznym dla innych osób,
  • pozostawianie dokumentu, kopii dokumentu zawierającego dane osobowe
    w drukarkach, kserokopiarkach lub w centrach wydruku,
  • pozostawianie kluczy w drzwiach, szafach, biurkach, zostawianie otwartych pomieszczeń, w których przetwarza się dane osobowe.
  1. Zagrożeniem dla przetwarzanych danych osobowych są następujące zdarzenia losowe:
  • zalanie, pożar lub zniszczenie pomieszczenia, w którym są przetwarzane dane osobowe,
  • włamanie do pomieszczenia, w którym są przetwarzane dane osobowe i kradzież lub zniszczenie nośników danych osobowych,
  • zniszczenie, uszkodzenie lub kradzież komputera lub innych nośników danych osobowych..
  1. Ryzyko wystąpienia wszystkich wymienionych wyżej zdarzeń oceniono jako niskie z tego powodu, że wszystkie dane osobowe przetwarzane są w systemie informatycznym osobiście przez Administratora będącego osobą fizyczna, który przywiązuje szczególną wagę do ochrony danych osobowych.
  2. Ponadto zagrożeniem dla przetwarzania danych osobowych jest włamanie hakerskie na stronę internetową onlydarts.com, na skrzynkę e-mail Administratora oraz do komputera Administratora. Ryzyko tego zdarzenia oceniono jako średnie.

§6. Środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych na nośnikach papierowych

Zgodnie z art. 32 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia wprowadza się następujące środki techniczne i organizacyjne, aby przetwarzanie danych osobowych w formie tradycyjnej (papierowej) odbywało się zgodnie z prawem:

  • dane osobowe przetwarzane i gromadzone przy użyciu tradycyjnych środków pisarskich na nośnikach papierowych (w segregatorach) przechowywane są w pomieszczeniu zabezpieczonym przed niepożądanym dostępem osób nieupoważnionych do przetwarzania danych osobowych. Pomieszczenie to jest zamykane na atestowany zamek otwierany kluczem.
  • osoba nieupoważniona do przetwarzania danych osobowych może przebywać w wymienionym wyżej pomieszczeniu tylko w obecności osoby upoważnionej, która zobowiązana jest do czuwania, aby osoba nieupoważniona nie miała dostępu do danych osobowych znajdujących się w segregatorach i innych rejestrach papierowych przechowywanych w tym pomieszczeniu;
  • jeżeli w wyżej wymienionym pomieszczeniu znajduje się osoba nieupoważniona do przetwarzania danych osobowych, obowiązkiem osoby upoważnionej jest zasłonięcie nośnika papierowego, tak, aby osoba nieupoważniona nie miała dostępu do danych osobowych zgromadzonych na tym nośniku;
  • osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do przechowywania na biurku tylko tych dokumentów, które są jej niezbędne do pracy w danym momencie („zasada czystego biurka”);
  • osoba upoważniona do przetwarzania danych osobowych zobowiązana jest niszczyć w niszczarce dokumenty zawierające dane osobowe, które nie będą jej już potrzebne do dalszej pracy i które nie podlegają archiwizacji;
  • osoba upoważniona do przetwarzania danych osobowych opuszczająca czasowo wyżej wymienione pomieszczenie zobowiązana jest bezwzględnie do zamykania go na klucz i do czuwania, aby klucz nie dostał się w ręce osoby nieupoważnionej;
  • segregatory, w których gromadzone są nośniki papierowe zawierające dane osobowe, są opisane w taki sposób, aby nie można było na podstawie tego opisu przypisać ich konkretnej osobie fizycznej bez użycia dodatkowej informacji;
  • dane na nośnikach papierowych są przekazywane wyłącznie biuru rachunkowemu, z którym jest podpisana umowa o powierzenie przetwarzania danych osobowych. Biuro to – zgodnie z art. 28.1. RODO – zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

§7. Środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych w formie elektronicznej

Zgodnie z art. 32 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia  wprowadza się następujące środki techniczne i organizacyjne, aby przetwarzanie danych osobowych w systemie informatycznym odbywało się zgodnie z prawem:

  1. system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń, obejmują one kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną, oraz kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych;
  2. stosuje się mechanizmy kontroli dostępu do danych osobowych, wprowadzając w tym systemie, rejestrowany dla każdego użytkownika odrębny identyfikator – dostęp do danych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia przez wprowadzenie hasła;
  3. dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przed utratą spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych; kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem i usuwa niezwłocznie po ustaniu ich użyteczności;
  4. urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji pozbawia się wcześniej zapisów tych danych; w przypadku, gdy nie jest to możliwe, uszkadza się je w sposób uniemożliwiający ich odczytanie;
  5. osoba upoważniona do przetwarzania danych osobowych użytkująca komputer przenośny zawierający dane osobowe zobowiązana jest do zachowania  szczególnej ostrożności podczas jego transportu i przechowywania poza obszarem przetwarzania danych osobowych po odpowiednio uzyskanej zgodzie;
  6. szczegółowe zasady, procedury postępowania i środki bezpieczeństwa podczas przetwarzania  i gromadzenia danych osobowych w formie elektronicznej zawarte są w Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, stanowiącej załącznik nr 4.

§8. Postępowanie w przypadku naruszenia ochrony danych osobowych

  1. Zgodnie z art. 33 RODO, Administrator niezwłocznie, nie później jednak niż w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych, chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  2. Zgodnie z art. 34 RODO, Administrator niezwłocznie osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
  3. Wysokie ryzyko naruszenia praw lub wolności osób fizycznych dotyczy w szczególności następujących sytuacji:
  • kradzieży tożsamości,
  • straty finansowej,
  • naruszenia dobrego imienia,
  • naruszenia poufności danych chronionych tajemnicą zawodową,
  • utraty przysługujących osobom praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi,
  • ujawnienia danych wrażliwych.

§9. Przekazywanie danych osobowych poza Unię Europejską

Przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej następuje wyłącznie na zasadach określonych w art. 44-50 RODO.