Polityka Prywatności


POLITYKA OCHRONY DANYCH OSOBOWYCH
w spółce


Przedsiębiorstwo Wielobranżowe „AUTOS”


Spółka z ograniczoną odpowiedzialnością

1. DEKLARACJA I ZASTOSOWANIE


Zasady, działania, kompetencje i zakresy odpowiedzialności opisane w niniejszej Polityce Ochrony Danych Osobowych, zwanej dalej Polityką obowiązują wszystkich pracowników i współpracowników Administratora danych. Procedury i dokumenty związane z Polityką będą weryfikowane i dostosowywane w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Przeglądy dokumentacji odbywają się nie rzadziej niż raz w roku. Polityka określa środki techniczne i organizacyjne zastosowane przez Administratora Danych dla zapewnienia ochrony danych oraz tryb postępowania w przypadku stwierdzenia naruszenia zabezpieczenia danych w systemie informatycznym lub w kartotekach, albo w sytuacji podejrzenia o takim naruszeniu. Polityka została opracowana zgodnie z wymogami obowiązujących przepisów w zakresie ochrony danych osobowych tj. • Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE 5. Zakres obowiązywania dokumentu. 1) Niniejsza Polityka obowiązuje wszystkich pracowników, współpracowników, a także użytkowników systemów informatycznych mających dostęp do danych przetwarzanych przez Administratora danych 2) Każdy z pracowników ma obowiązek zapoznania się z treścią Polityki. 3) Polityka bezpieczeństwa dotyczy wyposażenia, systemów, urządzeń przetwarzających informacje w formie elektronicznej, papierowej lub jakiejkolwiek innej. 4) Nieprzestrzeganie postanowień zawartych w dokumentacji bezpieczeństwa informacji może skutkować sankcjami w pełnym zakresie dopuszczonym przez stosunek pracy pomiędzy Administratorem danych i pracownikiem oraz obowiązujące przepisy prawa.


2. DEFINICJE

1. Ilekroć w Polityce jest mowa o: 1) Administratorze Danych - rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych tj spółkę: Przedsiębiorstwo Wielobranżowe „AUTOS” spółka z ograniczoną odpowiedzialnością reprezentowana przez Prezesa Zarządu Marka Sałka 2) Osobie wyznaczonej do nadzorowania przestrzegania przepisów z zakresu ochrony danych osobowych, zwaną dalej specjalistą ds. ochrony danych osobowych (Inspektor danych osobowych) – rozumie się przez to osobę nadzorującą przestrzeganie zasad ochrony przetwarzanych danych osobowych i informacji prawem chronionych. Wyznaczenie Inspektora Ochrony Danych opisuje załącznik nr 1 do niniejszej Polityki:Załączniki\Zał01 Powołanie IOD.docx 3) Administratorze Systemu Informatycznego – rozumie się przez to osobę odpowiedzialną za prawidłowe funkcjonowanie sprzętu, oprogramowania i jego konserwację, za techniczno-organizacyjną obsługę systemu teleinformatycznego. Wyznaczenie Administratora systemu informatycznego (ASI) opisuje załącznik nr 2 do niniejszej Polityki:Załączniki\Zał02 Powołanie ASI.odt 4) zbiorze danych – rozumie się przez to każdy uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie, Opis struktury zbiorów danych stanowi załącznik nr 7 do niniejszej Polityki:Załączniki\Zał07 Opis struktury danych.docx Sposób przepływu danych pomiędzy systemami stanowi załącznik nr 8: Załączniki\Zał08 Sposób przepływu danych między systemami.docx 5) kartotece – rozumie się przez to zewidencjonowany, usystematyzowany zbiór wykazów, skoroszytów, wydruków komputerowych i innej dokumentacji gromadzonej w formie papierowej, zawierającej dane osobowe 6) przetwarzaniu danych - rozumie się przez to oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, 7) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 8) bezpieczeństwie danych - zachowanie poufności, integralności i dost­ępności informacji; dodatkowo, mogą być brane pod uwagę­ inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność, Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych stanowi załącznik nr 9 do niniejszej Polityki: Załączniki\Zał09 Określenie środków technicznych i organizacyjnych .docx 9) usuwanie danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 10) użytkownik – rozumie się przez to osobę upoważnioną przez Administratora Danych do przetwarzania informacji i danych osobowych. 11) komórce organizacyjnej – rozumie się przez to każdą wydzieloną organizacyjnie i funkcjonalnie komórkę wewnętrzną, zgodnie z podziałem organizacyjnym przeprowadzonym przez Administratora Danych. 12) pomieszczeniach – rozumie się przez to budynki i pomieszczenia określone przez Administratora Danych, tworzące obszar, w którym przetwarzane są dane osobowe i inne informacje prawem chronione. Obszar przetwarzania danych opisany jest w załączniku nr 3 do niniejszej Polityki: Załączniki\Zał03 Obszar przetwarzania danych.docx 13) Zarządzanie ryzykiem – proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych, przy zachowaniu akceptowalnego poziomu kosztów. 14) Incydent – pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań i zagrażają bezpieczeństwu informacji. 15) Teczce ODO – zbiór dokumentów, instrukcji, regulaminów składający się na politykę ochrony danych osobowych, gromadzonych i nadzorowanych przez inspektora danych osobowych.


3. ZGODNOŚĆ Z PRAWEM

1. Administrator zapewnia, że: • dane są legalnie przetwarzane (na podstawie art. 6, 9) • dane osobowe są adekwatne w stosunku do celów przetwarzania • dane osobowe są przetwarzane przez określony konkretny czas (retencja danych) • wobec osób, które przetwarza administrator wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14) wraz ze wskazaniem im praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu) • zapewniono ochronę danych w przypadku powierzenia przetwarzania danych w postaci umów powierzenia z podmiotami przetwarzającymi (art. 28) 2. Potwierdzenie zgodności z prawem przetwarzanych danych osobowych w zbiorach, znajduje się w załączniku Załączniki\Zał04A Rejestr czynności AUTOS.xlsx 3. Klauzule informacyjne i zgód znajdują się w załączniku Załączniki\Zał04B Klauzule informacyjne_AUTOS.docx


4. ZASADY OCHRONY DANYCH OSOBOWYCH


System zarządzania bezpieczeństwem danych osobowych zgodny z wymaganiami niniejszej polityki opiera się­ na nast­ępujących niezaprzeczalnych zasadach ochrony informacji: 1) Zasada znajomości wymagań polityki ochrony danych osobowych. Każdy pracownik powinien zostać zapoznany z regułami oraz z kompletnymi i aktualnymi procedurami ochrony informacji i podpisać stosowne oświadczenie o zapoznaniu si­ę z zasadami obowiązującej polityki; 2) Zasada uprawnionego dostępu. Każdy pracownik stosuje się­ do obowiązujących zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji; 3) Zasada przywilejów koniecznych. Każdy pracownik posiada prawa dost­ępu do danych osobowych, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań; 4) Zasada wiedzy koniecznej. Każdy pracownik posiada wiedzę­ o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań; 5) Zasada usług koniecznych. Systemy informacyjne świadczą tylko takie usługi, które są konieczne do realizacji zadań biznesowych i operacyjnych; 6) Zasada asekuracji. Każdy mechanizm zabezpieczający musi być ubezpieczony drugim, (podobnym). Jako mechanizmy zabezpieczeń dopuszczalne jest stosowanie zabezpieczeń technicznych, jak i organizacyjnych; 7) Zasada świadomości zbiorowej. Wszyscy pracownicy są świadomi konieczności ochrony danych osobowych i aktywnie uczestniczą w tym procesie; 8) Zasada indywidualnej odpowiedzialności. Za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby; 9) Zasada obecności koniecznej. Prawo przebywania w określonych miejscach mają tylko osoby do tego upoważnione; 10) Zasada stałej gotowości. System jest przygotowany na wszelkie zagrożenia. Niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających; 11) Zasada najsłabszego ogniwa. Poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element. Elementy takie są wyznaczane w oparciu o analiz­ę ryzyka; 12) Zasada kompletności. Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje si­ę podejście kompleksowe, uwzgl­ędniające wszystkie stopnie i ogniwa ogólnie poj­ętego procesu przetwarzania informacji; 13) Zasada ewolucji. Każdy system musi ciągle dostosowywać mechanizmy wewn­ętrzne do zmieniających się­ warunków zewn­ętrznych; 14) Zasada odpowiedniości. Używane mechanizmy muszą być adekwatne do sytuacji. 15) Zasada świadomej konwersacji. Nie zawsze i wsz­ędzie trzeba mówić, co się­ wie, ale zawsze i wsz­ędzie trzeba wiedzieć co, gdzie i do kogo się­ mówi.

5. ODPOWIEDZIALNOŚĆ ZA OCHRONĘ DANYCH OSOBOWYCH

1. Za bezpieczeństwo danych osobowych odpowiedzialni są użytkownicy. W szczególności odpowiadają oni za przestrzeganie zasad bezpieczeństwa wynikających z niniejszej Polityki oraz zgłaszanie incydentów i wykonywanie zaleceń Inspektora Danych Osobowych. 2. We wszystkich umowach, które mogą dotyczyć przetwarzania danych w jednostce, należy uwzględnić zapisy zobowiązujące drugą stronę do przestrzegania odpowiednich zapisów Polityki Ochrony Danych Osobowych. 3. Za nadzór nad przestrzeganiem postanowień Polityki odpowiada Inspektor danych osobowych. Opis i przydział obowiązków inspektora opisuje załącznik nr 1 do niniejszej Polityki. 4. Za przestrzeganie zasad ochrony i bezpieczeństwa danych osobowych oraz zachowaniu ich w tajemnicy odpowiedzialni są upoważnieni użytkownicy. 5. Wzór oświadczenia o zachowaniu tajemnicy danych osobowych stanowi załącznik nr 05A i 05B do niniejszej Polityki: Załączniki\Zał05A Oświadczenie o poufności.docx Załączniki\Zał05B Oświadczenie o poufności dla osób przebywających w pomieszczeniach po godzinach pracy.docx

6. REGULAMIN OCHRONY DANYCH OSOBOWYCH

Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania. Patrz załącznik Załączniki\Zał10 Regulamin Ochrony Danych Osobowych.docx Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, patrz Załączniki\Zał05A Oświadczenie o poufności.docx

7. SZKOLENIA

1. Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO 2. Za przeprowadzenie szkolenia odpowiada Administrator 3. W przypadku przeprowadzenia szkolenia wewnętrznego z zasad ochrony danych osobowych wskazane jest udokumentowanie odbycia tego szkolenia za pomocą listy obecności. 4. Materiały szkoleniowe z przeprowadzonych szkoleń znajdują się w katalogu ..\PROCEDURY I INSTRUKCJE\Szkolenia 5. Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, patrz Załączniki\Zał05A Oświadczenie o poufności.docxZałączniki\Zał05B Oświadczenie o poufności dla osób przebywających w pomieszczeniach po godzinach pracy.docx

8. AUDYTY

Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Celem audytów wewnętrznych jest ocena, czy system ochrony danych osobowych jest skutecznie wdrożony i funkcjonuje zgodnie z wymaganiami RODO. Audyty prowadzone są w sposób obiektywny i bezstronny. Przestrzegana jest zasada, że audytorzy nie audytują własnej pracy. 1. Administrator jest odpowiedzialny za planowanie i przeprowadzanie audytów wewnętrznych z roczną częstotliwością. 2. Administrator opracowuje programy audytów biorąc pod uwagę ważność procesów przetwarzania oraz audytowanych obszarów, jak też wyniki wcześniejszych audytów. Określa on kryteria audytu, jego cel, zakres i ewentualnie metody. 3. Administrator wyznacza audytora do przeprowadzenia audytu. 4. Audytor jest zobowiązany do przygotowania się do przeprowadzenia audytu, zapoznając się z opisem audytowanego obszaru, stosowanych procedur i wyników poprzednich audytów. 5. Audytor realizuje działania audytowe mające na celu uzyskanie obiektywnych dowodów potwierdzających poprawność realizowanych zadań, procedur, polityk, zabezpieczeń, celów, spełniania wymagań RODO. 6. W przypadku stwierdzenia uchybień mających wpływ na skuteczność działania systemu ochrony danych zgodnego z RODO, audytor identyfikuje tzw. uchybienia lub spostrzeżenia 7. Wynik audytu zostaje udokumentowany przez audytora i przekazany Administratorowi. 8. Administrator dokonuje przeglądu i analizy wyniku audytu oraz decyduje o inicjowaniu działań korygujących, w przypadku zaistnienia poważnych uchybień.

9. WYKAZ ZABEZPIECZEŃ

1. Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych, patrz załącznik Zał09 Określenie środków technicznych i organizacyjnych.docx 2. W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne. 3. Wykaz jest aktualizowany po każdej analizie ryzyka.

10. POROZUMIENIA I KONTAKTY ZE STRONAMI ZEWNĘTRZNYMI.

W przypadku zawierania umów z firmami zewn­ętrznymi mającymi wpływ na funkcjonowanie kluczowych elementów systemu ochrony danych osobowych zalecane jest zawarcie umowy powierzenia i określenie w niej nast­ępujących elementów: 1. przedmiot przetwarzania, 2. czas trwania przetwarzania, 3. charakter i cel przetwarzania, 4. rodzaj danych osobowych, 5. kategorię osób, których dane dotyczą, 6. obowiązki i prawa administratora, 7. obowiązki podmiotu przetwarzającego. Jednocześnie, umowa lub inny instrument prawny będą musiały stanowić w szczególności, że podmiot przetwarzający: 1) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora; 2) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 3) wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych (środki te mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwa­rzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków); 4) pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (a więc wspiera w realizacji uprawnień osoby o charakterze informacyjnym, korekcyjnym i zakazowym); 5) pomaga administratorowi w zabezpieczaniu danych, zgłaszaniu naruszeń organowi nadzorczemu, zawiadamianiu osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych; 6) po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwraca wszelkie dane osobowe na jego rzecz oraz usuwa wszelkie ich istniejące kopie; 7) umożliwia przeprowadzanie audytów i przyczynia się do nich. Wzór umowy powierzenia danych osobowych..\PROCEDURY I INSTRUKCJE\Umowy powierzenia\umowa_powierzenia_zgodna_z_RODO_Autos.docx

11. OBOWIĄZKI PRACOWNIKÓW

1. Każdy pracownik przy wykonywaniu swoich obowiązków służbowych jest zobowi­ązany do przestrzegania postanowień niniejszej Polityki oraz postanowień innych części dokumentacji bezpieczeństwa informacji, a także poleceń dotyczących bezpieczeństwa otrzymywanych od Specjalisty odo oraz Administratora systemu informatycznego (ASI) (ASI). 2. Inspektor danych osobowych nadzoruje przestrzeganie zasad i przepisów z zakresu ochrony danych osobowych. 3. Każdy z pracowników jest zobowi­ązany do uczestniczenia w organizowanych szkoleniach z zakresu ochrony danych osobowych. Inspektor danych osobowych oraz ASI są zobowi­ązani do utrzymywania i podnoszenia poziomu wiedzy dotyczącej ochrony danych osobowych. 4. Każdy pracownik jest zobowiązany do podj­ęcia bezpośrednich działań dla zapobiegania incydentom lub minimalizowania skutków incydentów w miarę­ swoich możliwości i kompetencji, w razie potrzeby zawiadamiając przełożonych lub Specjalistę odo. W razie potrzeby o zgłoszeniu incydentu Policji decyduje Administrator Danych.

12. ZASADY PRZYZNAWANIA DOSTĘPU

1. Przyznawanie zakresu uprawnień powinno być w ścisłym związku z zakresem obowi­ązków danego pracownika. 2. Zarządzanie dost­ępem na etapie nadawania, zmiany i cofania praw dost­ępu pracowników w obszarze przetwarzania danych oraz do systemów informatycznych powinno się­ odbywać na wniosek przełożonych wykazanych w załączniku 9. 3. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby upoważnione. W imieniu administratora danych upoważnienia do przetwarzania danych może nadawać osoba posiadająca pełnomocnictwo w tym zakresie nadane przez administratora danych. Wzór upoważnienia do przetwarzania danych stanowi załącznik Zał06 Upoważnienie.docxdo niniejszej Polityki. 4. W imieniu Administratora danych zakres upoważnienia do przetwarzania danych zgodny z zakresem służbowych obowiązków użytkownika określa bezpośredni przełożony użytkownika. 5. Na podstawie odpowiedniego ticketu pracownik działu IT zakłada upoważnionemu użytkownikowi konto w systemie z adekwatnym poziomem uprawnień. 6. W zarz­ądzaniu dost­ępem obowiązuje zasada, że dost­ęp użytkownika powinien opierać si­ę na spełnieniu zasady rozliczalności oraz zasady niezaprzeczalności. W przypadku systemów informatycznych obowiązują nastę­pujące wymagania: 1) wymóg jednoznacznej identyfikacji pracownika - tj. w systemach informatycznych każdy użytkownik pracuje wyłącznie na swoim indywidualnym koncie, nie są stosowane konta anonimowe lub współdzielone poza wyjątkami, gdzie z przyczyn technicznych nie ma innej możliwości, 2) wymóg uwierzytelnienia pracownika przy korzystaniu z systemu informatycznego, 3) autoryzacji przyznania praw dost­ępu do systemów informatycznych..

13. POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości. 1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego (lub jeśli jest powołany – Inspektora Ochrony Danych) 2. Do typowych podatności bezpieczeństwa danych osobowych należą: a. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów b. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych c. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek) 3. Do typowych incydentów bezpieczeństwa danych osobowych należą: a. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności) b. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki użytkowników np. wysłanie maila do niewłaściwej osoby lub informatyków, utrata / zagubienie danych np. pendrive z danymi osobowymi) c. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania) 4. W przypadku stwierdzenia wystąpienia incydentu, Administrator (lub w przypadku powołania – IOD) prowadzi postępowanie wyjaśniające w toku, którego: a. ustala zakres i przyczyny incydentu oraz jego ewentualne skutki b. inicjuje ewentualne działania dyscyplinarne c. działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu d. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia 5. Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze –patrz załącznik Zał11 Formularz rejestracji incydentu Autos.xlsx 6. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych 7. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

14. POSTANOWIENIA KOŃCOWE

1. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie. 2. Osoby uprawnione do przetwarzania danych osobowych są zobowiązani zapoznać się z treścią Polityki 3. Użytkownik zobowiązany jest złożyć oświadczenie o tym, iż został zaznajomiony z przepisami ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych, z niniejszą Polityką, a także zobowiązać się do ich przestrzegania. 4. Wzór oświadczenia potwierdzającego zaznajomienie użytkownika z przepisami w zakresie ochrony danych osobowych oraz z dokumentacją obowiązującą u Administratora Danych, a także o zobowiązaniu się do ich przestrzegania, stanowi załącznik nr 5 do niniejszej Polityki. 5. Oświadczenia przechowywane są w aktach osobowych lub w Teczce ODO.

ODDZIAŁY


Oddziały XLS
Pobierz