polityka prywatności

Polityka Ochrony

Danych Osobowych

ZGM Sp. z o. o. w Skierniewicach

ul. Rawska 33

96-100 Skierniewice

 

Celem Polityki Ochrony Danych jest zapewnienie ochrony danych osobowych przetwarzanych przez ZGM .

 

Polityka określa obowiązki Administratora danych osobowych w zakresie zabezpieczenia danych osobowych, o których mowa w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako „RODO” oraz ramowe podejście ZGM do realizacji obowiązków wynikających z RODO.

 

Polityka określa reguły dotyczące procedur zapewnienia bezpieczeństwa danych osobowych w postaci tradycyjnej (papierowej) oraz zawarte w systemach informatycznych Administratora danych osobowych.

 

Integralną częścią niniejszej polityki jest Instrukcja określająca sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „Instrukcją Zarządzania Systemem Informatycznym” oraz załączniki wskazane w rozdziale 16 niniejszej Polityki.

 

Niniejsza Polityka została opracowana na podstawie art. 24 RODO, wskazującego na obowiązek administratora danych do wdrożenia odpowiednich środków technicznych i organizacyjnych, celem zapewnić zgodność przetwarzania danych osobowych z przepisami prawa, w szczególności ww. Rozporządzenia Administrator danych osobowych zapewnia regularny przegląd niniejszej Polityki i w razie stwierdzenia takiej potrzeby dokonuje jej aktualizacji.

 

Polityka obowiązuje wszystkich pracowników ZGM oraz dostawców usług, podmiotów współpracujących na zasadzie umów, mających jakikolwiek kontakt z danymi osobowymi objętymi ochroną.

 

Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, zabezpieczenia systemowe, aplikacje oraz przez użytkowników.

  1. Zasady Ochrony Danych

Wdrożone przez Administrator danych osobowych środki techniczne i organizacyjne mają na celu zapewnienie:

  1. Zgodności przetwarzania z prawem – rozumianą jaka zapewnienie aby przetwarzanie danych osobowych było zgodne z prawem, rzetelne i by odbywało się w sposób przejrzysty dla osoby, której dane dotyczą,

  2. Integralności i poufności – rozumianą jako zapewnienie aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, przy odpowiednim poziomie ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem,

  3. Prawidłowości – rozumianą jako podjęcie działań, aby dane osobowe, które nie są prawidłowe w świetle celów ich przetwarzania, były niezwłocznie usunięte lub sprostowane.

  4. Ograniczenia przechowywania – rozumianego jako zapewnienie aby dane były przechowywane w formie uniemożliwiającej identyfikację osoby, której dane dotyczą oraz usuwane niezwłocznie po ustaniu celu, dla którego niezbędne było ich przetwarzanie,

  5. Ograniczenia celu w jakim dane są przetwarzane - rozumianego jako zbieranie danych w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz ich nieprzetwarzanie w sposób niezgodny z tymi celami.

  6. Minimalizacji danych – rozumianej jako zapewnienie, że dane osobowe są adekwatne, stosowne oraz ograniczone do tego co jest niezbędne do celów, w których są przetwarzane.

Administrator danych osobowych oraz pracownicy administratora danych podejmują wszelkie niezbędne zadania celem zapewnienia przestrzegania ww. zasad ochrony i bezpieczeństwa danych.

  1. Podstawa prawna

Niniejsza Polityka Ochrony Danych Osobowych jest wydawana i regularnie aktualizowana w celu realizacji obowiązków Administratora danych osobowych wynikających z poniższych aktów prawnych:

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych,

  2. Ustawy z dnia 10 maja 2018 r. Dz. U. 2018 poz. 1000, o ochronie danych osobowych

  1. Definicje

Ilekroć w niniejszej Polityce Ochrony Danych Osobowych jest mowa o:

  1. Polityce – rozumie się przez to niniejszą Politykę Ochrony Danych Osobowych wprowadzoną zarządzeniem Prezesa Zarządu ZGM ;

  2. RODO – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych

  3. Administratorze danych osobowych – rozumie się przez to ZGM reprezentowaną przez Prezesa ZGM, z siedzibą w pod adresem ul. Rawska 33 Skierniewice, dane kontaktowe: email: sekretariat@zgmskierniewice.com.pl numer telefonu: 46 833-21-42

  4. administratorze systemu informatycznego (ASI) – rozumie się przez to osobę, podmiot wewnętrzny lub podmiot nadzorujący pracę systemu informatycznego oraz wykonujący w nim czynności wymagające specjalnych uprawnień;

  5. danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

  6. zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

  7. osobie upoważnionej do przetwarzania danych osobowych - rozumie się przez to osobę, która została upoważniona na piśmie przez Administratora danych osobowych do przetwarzania danych osobowych;

  8. użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i hasło;

  9. przetwarzającym – rozumie się przez to osobę fizyczną lub prawną, który przetwarza dane osobowe w imieniu Administratora danych osobowych na podstawie umowy powierzenia przetwarzania danych osobowych;

  10. odbiorcy danych – rozumie się przez to osobę fizyczna lub prawną, organ publiczny, jednostkę, któremu ujawnia się dane osobowe, z wyłączeniem:

  1. osoby, której dane dotyczą,

  2. osoby upoważnionej do przetwarzania danych,

  3. przedstawiciela, o którym mowa w art. 27 RODO,

  4. podmiotu, o którym mowa w art. 28 RODO,

  5. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;

  1. identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

  2. haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, poufny, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,

  3. sieci telekomunikacyjnej – rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 35 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2017 r., poz. 1907 z późń. zm.);

  4. publicznej sieci telekomunikacyjnej – rozumie się przez to publiczną sieć telekomunikacyjną w rozumieniu art. 2 pkt 29 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2017 r. poz. 1907 z późń. zm.);

  5. teletransmisji – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;

  6. usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Oznacza to bezpowrotne usunięcie danych, łącznie z fizycznym unicestwieniem nośników danych, tak aby odtworzenie informacji na nich zapisanych nie było możliwe lub dokonanie takich operacji na danych, które spowodują ich anonimizację.

  7. zgodzie osoby, której dane dotyczą – rozumie się przez to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;

  8. przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  9. rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

  10. integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

  11. poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;

  12. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych dostępnych w sieci wewnętrznej ADO;

  13. zabezpieczeniu systemu informatycznego – rozumie się przez to wdrożenie stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą.

  1. Ochrona danych osobowych w ZGM - zasady ogólne

1Dane osobowe przetwarzane u administratora danych

 

  1. Dane osobowe przetwarzane przez Administratora danych osobowych gromadzone są w zbiorach danych.

  2. Administrator danych osobowych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator danych osobowych wykona czynności określone w art. 35 i nast. RODO.

  3. W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.

  4. Administrator danych osobowych prowadzi rejestr czynności przetwarzania. Wzór rejestru czynności przetwarzania stanowi Załącznik nr 19 do niniejszej polityki.

2Filary ochrony danych w ZGM

 

Zarząd ZGM uwzględniając charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych zarówno w przy określeniu sposobu przetwarzania jak i w czasie samego przetwarzania podejmuje wszelkie możliwe działania konieczne do zapobiegania m.in. takim zagrożeniom, jak:

  1. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np.: pożar, zalanie pomieszczeń, katastrofa budowlana, napad, kradzież, włamanie, działania terrorystyczne itp.

  2. niewłaściwe parametry środowiska zakłócające pracę urządzeń komputerowych (nadmierna wilgotność lub bardzo wysoka temperatura, oddziaływanie pola elektromagnetycznego i inne),

  3. awarie sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne naruszenie ochrony danych, niewłaściwe działanie procedur serwisowych w tym przyzwolenie na naprawę sprzętu zawierającego dane osobowe poza siedzibą administratora danych,

  4. naruszenie bezpieczeństwa danych przez nieautoryzowane ich przetwarzanie; ujawnienie osobom nieupoważnionym procedur ochrony danych stosownych przez administratora danych,

  5. ujawnienie osobom nieupoważnionym danych przetwarzanych przez administratora danych, w tym także nieumyślne ujawnienie danych osobom postronnym, przebywającym bez nadzoru lub niedostatecznie nadzorowanym w pomieszczeniach administratora danych,

  6. podejmowanie pracy w systemie z przełamaniem lub zaniechaniem stosowania procedur ochrony danych, np.: praca osoby, która nie jest upoważniona do przetwarzania, próby stosowania nie swojego hasła i identyfikatora przez osoby upoważnione,

  7. celowe lub przypadkowe rozproszenie danych w Internecie z ominięciem zabezpieczeń systemu lub wykorzystaniem błędów projektu systemu informatycznego administratora danych,

  8. ataki z Internetu,

  9. naruszenie zasad i procedur określonych w niniejszej Polityce i dokumentach z nią powiązanych przez osoby upoważnione do przetwarzania danych osobowych związane z nieprzestrzeganiem właściwych procedur, w tym zwłaszcza:

  1. niezgodne z procedurami zakończenie pracy lub opuszczenie stanowiska pracy (nieprawidłowe wyłączenie komputera, niezablokowanie wyświetlenia treści pracy na ekranie komputera przed tymczasowym opuszczeniem stanowiska pracy, pozostawienie po zakończeniu pracy nieschowanych do zamykanych na klucz szaf dokumentów zawierających dane osobowe, niezamknięcie na klucz pokoju po jego opuszczeniu);

  2. niewykonywanie stosownych kopii zapasowych;

  3. przetwarzanie danych osobowych w celach prywatnych;

  4. wprowadzenie zmian do systemu informatycznego administratora danych i wgrywanie programów bez zgody administratora systemu informatycznego

  5. naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;

  6. udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom

do tego nieupoważnionym;

  1. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;

  2. niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

  3. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;

  4. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;

  5. naruszenie praw osób, których dane są przetwarzane.

  1. Organizacja przetwarzania danych osobowych

3Obowiązki Administratora Danych Osobowych

 

Administrator danych osobowych reprezentowany przez Prezesa Zarządu ZGM realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:

  1. upoważnia poszczególne osoby do przetwarzania danych osobowych wg. wzoru stanowiącego załącznik nr 1 do niniejszej Polityki w stosownym, indywidualnie określonym zakresie;

  2. wdraża odpowiednie środki techniczne i organizacyjne aby zapewnić zgodność przetwarzania danych osobowych z wymogami RODO,

  3. wdraża odpowiednie środki organizacyjne i techniczne zamierzające do zapewnienia bezpieczeństwa przetwarzania poprzez:

    1. zapewnienie szyfrowania danych osobowych,

    2. uodpornienie systemów informatycznych i procesów przetwarzania na ataki z zewnątrz poprzez użycie odpowiedniego oprogramowania,

    3. zapewnienie aby wykorzystywane przez Administratora danych osobowych systemy informatyczne, w których przetwarzane są dane osobowe gwarantowały:

      • brak dostępu do danych osobowym osobom nieuprawnionym,

      • bezpieczeństwo danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem danych,

      • dostęp do danych osobowym osobom upoważnionym i dokonywanie wymaganych operacji na danych osobowych w sposób stały i niezakłócony,

    4. zapewnienie możliwe szybkiego przywrócenia dostępności danych osobowych oraz dostępu do nich osobom upoważnionym w razie incydentu fizycznego lub technicznego,

    5. regularne testowanie, mierzenie o ocenianie skuteczności ww. środków technicznych i organizacyjnych oraz ich przegląd i aktualizacje,

  1. podejmuje ciągłe działania mające na celu zapewnienie minimalizacji przetwarzania danych,

  2. prowadzi rejestr czynności przetwarzania danych osobowych,

  3. udziela osobie, której dane dotyczą informacji, o których mowa w art. 13 RODO oraz prowadzi z nią komunikację wymaganą na podstawie art.15-22 i 34 RODO,

  4. prowadzi dokumentację wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, skutków naruszenia oraz podjętych działań zaradczych,

  5. realizuje obowiązek powiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych w trybie i na zasadach określonych w art. 33 RODD,

  6. zawiadamia osoby, których dane dotyczą, o naruszeniu ochrony danych w trybie i na zasadach określonych w art. 34 RODO,

  7. dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych jeżeli ze względu na rodzaj przetwarzania, wykorzystywaną technologię przetwarzania, charakter, zakres, kontekst i cel, taka ocena jest wymagana (DPIA-data protectionimpactassessment),

  8. prowadzi dokumentację uprzednich konsultacji z organem nadzorczym w trybie i na zasadach określonych w art. 36 RODO,

  9. monitoruje przestrzegane przepisów RODO, innych przepisów o ochronie danych osobowych ,

  10. podejmuje regularne działania zwiększające świadomość osób upoważnionych do przetwarzania danych osobowych w zakresie przepisów dotyczących ochrony danych osobowych, poprzez odpowiednie szkolenia ww. osób uczestniczących w operacjach przetwarzania oraz przeprowadza powiązane z ww. czynnościami audyty; działania te realizuje samodzielnie lub poprzez wyspecjalizowane w tym zakresie podmioty zewnętrzne.

  11. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych wg. wzoru stanowiącego załącznik nr 7 do niniejszej Polityki.

  12. zapewnia użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych,

  13. wydaje i anuluje upoważnienia do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład dla osób przetwarzających dane osobowe;

  14. prowadzi rejestr osób zatrudnionych przy przetwarzaniu danych osobowych;

  15. nadzoruje opracowania i aktualizowania dokumentacji związanej z ochroną danych osobowych oraz przestrzegania zasad w niej określonych,

  16. wydaję i aktualizuje dokument - Polityka Czystego Biurka określający zasady pozostawiania przez pracowników Administratora miejsca pracy po zakończeniu wykonywania obowiązków służbowych, stanowiący załącznik nr 15 do niniejszej Polityki,

  17. powołuje i odwołuje administratora systemu informatycznego.

4Obowiązki Administratora Systemu Informatycznego

Administrator Systemu Informatycznego powołany przez Administratora danych osobowych realizuje w szczególności niżej wymienione zadania:

  1. zarządza systemem informatycznym, w którym są przetwarzane dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z pozycji administratora;

  2. przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym są przetwarzane dane osobowe;

  3. na wniosek Administratora danych osobowych przydziela każdemu użytkownikowi identyfikator i hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień;

  4. nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;

  5. podejmuje działania w zakresie ustalania i kontroli identyfikatorów dostępu do systemu informatycznego;

  6. na wniosek Administratora danych osobowych pozbawia użytkownika dostępu do systemów informatycznych, w których przetwarzane są dane osobowe;

  7. zmienia w poszczególnych stacjach roboczych hasła dostępu, ujawniając je wyłącznie danemu użytkownikowi;

  8. w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje Administratora danych osobowych o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia;

  9. nadzoruje wykonywanie napraw, konserwację oraz likwidację urządzeń komputerowych, na których zapisane są dane osobowe;

  10. sprawuje nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego;

  11. podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji.

Administrator danych osobowych może powierzyć pełnienie funkcji ASI podmiotowi zewnętrznemu w drodze podpisanej umowy o współpracy.

5Obowiązki pracownika ZGM

Pracownik ZGM (użytkownik) może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez Administratora danych osobowych i szczegółowo określonym w treści Upoważnienia do przetwarzania danych osobowych stanowiącym załącznik nr 1 do niniejszej Polityki, i tylko w celu wykonywania nałożonych na niego obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych, co skutkuje pozbawieniem użytkownika wszelkich dostępów, haseł, loginów, identyfikatorów do systemów informatycznych, w których przetwarzane są dane osobowe. Użytkownik traci także dostęp do stacji roboczej oraz wszelkich pomieszczeń w których znajdują się urządzenia, materiały.

Użytkownicy danych, pisemnie oświadczają, że zobowiązują się do zachowania tajemnicy danych osobowych oraz przestrzegania procedur ich bezpiecznego przetwarzania zgodnie z wzorem oświadczenia o poufności osoby przetwarzającej dane osobowe stanowiącym załącznik nr 2 do niniejszej Polityki. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia u Administratora danych osobowych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji.

Naruszenie przez użytkowników danych osobowych procedur bezpiecznego przetwarzania tych danych, w szczególności świadome udostępnienie danych osobie niepowołanej, jest ciężkim naruszeniem obowiązków pracowniczych i skutkuje odwołaniem przez Administratora danych osobowych upoważnienia i może uzasadnić rozwiązanie umowy o pracę bez wypowiedzenia.

Wszyscy użytkownicy danych są zobowiązani do:

  1. zapoznania się z przepisami prawa w zakresie ochrony danych osobowych, w tym przepisami niniejszej polityki i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

  2. stosowania określonych przez Administratora danych osobowych oraz ASI procedur oraz wytycznych mających na celu zgodne z prawem, w tym zwłaszcza adekwatne przetwarzanie danych,

  3. odpowiedniego zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym,

  4. zapoznania się i stosowania do postanowień dokumentu - Polityka Czystego Biurka,

  5. ścisłego przestrzegania zakresu nadanego upoważnienia;

  6. przetwarzania i ochrony danych osobowych zgodnie z przepisami;

  7. zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

  8. zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.

  1. Obszar przetwarzania danych osobowych

6Wykaz budynków i pomieszczeń w których przetwarzane są dane osobowe

Obszar, w którym przetwarzane są dane osobowe na terenie ZGM obejmuje pomieszania biurowe ZGM zlokalizowane w , przy ulicy Rawska 33 .

Szczegółowe rozmieszczenie zbiorów dokumentacji papierowej i elektronicznej, zawierającej dane osobowe, opisane jest w załączniku nr 3 pt. „Wzór wykazu budynków i pomieszczeń”.

7Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

Wykaz zbiorów danych osobowych w postaci dokumentacji papierowej i elektronicznej wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opisany jest w załączniku nr 4 pt. „Wykaz zbiorów danych osobowych”.

8Jawny rejestr zbiorów danych osobowych

Jawny rejestr zbiorów danych osobowych przetwarzanych w postaci dokumentacji papierowej i elektronicznej, opisany jest w załączniku nr 10 pt. „Jawny rejestr zbiorów danych osobowych”.

9Plan sprawdzeń zgodności przetwarzania danych osobowych

Plan przeprowadzania sprawdzeń zgodności przetwarzania danych osobowych w postaci dokumentacji papierowej i elektronicznej, opisany jest w załączniku nr 11 pt. „Plan przeprowadzania sprawdzeń zgodności przetwarzania danych osobowych”.

10Opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi

Opis struktury zbiorów danych osobowych w postaci dokumentacji papierowej i elektronicznej zawierający zinwentaryzowane zbiory danych osobowych wraz z polami informacyjnymi przetwarzanymi w ramach tych zbiorów, opisany jest w załączniku nr 9 pt. „Opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi”.


 

11Sposób przepływu danych pomiędzy poszczególnymi systemami

 

 

Podmioty do których przekazywane są dane to w szczególności:

  1. Zakład Ubezpieczeń Społecznych

  2. Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych

  3. Powszechny Zakład Ubezpieczeń

  4. Urząd Skarbowy

  5. Podmioty zewnętrzne na podstawie odrębnych umów

  1. Powierzenie Przetwarzania Danych Osobowych

Administrator danych osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.

ZGM posiada zasady doboru i weryfikacji przetwarzających dane na jej rzecz, opracowane w celu zapewnienia, aby przetwarzający dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na ZGM .

ZGM wykonuje analizę ryzyka podmiotów, którym planuje powierzyć i powierzyła przetwarzanie danych osobowych. Analiza ryzyka wykonywana jest każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych jak i okresowo w trakcie obowiązywania ww. umów. W celu wykonania ww. analizy oraz weryfikacji podmiotu przetwarzającego dane Administrator danych osobowych stosuje Formularz oceny podmiotu przetwarzającego, stanowiący załącznik nr 18 do niniejszej Polityki.

ZGM przyjęła minimalne wymagania co do umowy powierzenia przetwarzania danych stanowiącej załącznik nr 5 do niniejszej Polityki – „Wzór umowy powierzenia przetwarzania danych”. ZGM rozlicza przetwarzających z wykorzystania podprzetwarzających, jak też z innych wymagań wynikających z zasad powierzenia danych osobowych.

  1. Obsługa praw jednostki i obowiązków informacyjnych

12Zasady ogólne

Administrator danych osobowych dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza oraz dba o dotrzymywanie prawnych terminów realizacji obowiązków względem tych osób.

W celu realizacji praw jednostki Administrator danych osobowych zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez ZGM, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany.

Administrator danych osobowych dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań podmiotów danych.

13Obowiązki informacyjne

ZGM określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.

Administrator danych osobowych informuje w szczególności osobę o:

  1. przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania osoby, o którym mowa w artykule 14 RODO,

  2. o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.

  3. przetwarzaniu jej danych, przy pozyskiwaniu danych od tej osoby,

  4. przetwarzaniu jej danych, przy pozyskiwaniu danych o tej osobie niebezpośrednio od niej,

  5. o planowanej zmianie celu przetwarzania danych,

  6. prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą,

  7. naruszeniu ochrony danych osobowych, jeżeli może ono powodowa

  8. wysokie ryzyko naruszenia praw lub wolności tej osoby,

  9. tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw,

  10. tym czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących.

14Prawa osób trzecich

Realizując prawa osób, których dane dotyczą, Administrator danych osobowych wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób. Administrator danych osobowych może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.

15Usunięcie danych

Na żądanie osoby, Administrator danych osobowych usuwa dane, gdy:

  1. dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach,

  2. zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,

  3. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,

  4. dane były przetwarzane niezgodnie z prawem,

  5. konieczność usunięcia wynika z obowiązku prawnego,

Administrator danych osobowych określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.

Jeżeli dane podlegające usunięciu zostały upublicznione przez ZGM, Administrator danych osobowych podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.

W przypadku usunięcia danych Administrator danych osobowych informuje osobę o odbiorcach danych, na żądanie tej osoby.

16Ograniczenie przetwarzania

ZGM dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:

  1. osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,

  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,

  3. ZGM nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,

  4. osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie ZGM zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

W trakcie ograniczenia przetwarzania ZGM przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.

Administrator danych osobowych informuje osobę przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych Administrator danych osobowych informuje osobę o odbiorcach danych, na żądanie tej osoby.

17Przenoszenie danych

Na żądanie osoby ZGM wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona ZGM, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych ZGM.

18Sprzeciw w szczególnej sytuacji

 

Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez ZGM w oparciu o uzasadniony interes ZGM lub o powierzone ZGM zadanie w interesie publicznym, ZGM uwzględni sprzeciw, o ile nie zachodzą po jej stronie ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

  1. Minimalizacja przetwarzania danych osobowych

ZGM dba o minimalizację przetwarzania danych pod kątem: adekwatności danych do celów (ilości danych i zakresu przetwarzania), dostępu do danych, czasu przechowywania danych.

19Minimalizacja zakresu

ZGM zweryfikował zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania w ramach wdrożenia RODO.

ZGM dokonuje okresowego przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania nie rzadziej niż raz na rok.

ZGM przeprowadza weryfikację zmian co do ilości i zakresu przetwarzania danych w ramach procedur zarządzania zmianą (privacy by design).

20Minimalizacja dostępu

ZGM stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).

ZGM stosuje kontrolę dostępu fizycznego.

ZGM dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzających.

ZGM dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich nie rzadziej niż raz na rok.

 

21Minimalizacja czasu

ZGM wdraża mechanizmy kontroli cyklu życia danych osobowych, w tym weryfikacji dalszej przydatności danych.

Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów ZGM, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez ZGM. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.

  1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

22Bezpieczeństwo osobowe

  1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych

niezbędnych dla zapewnienia poufności, integralności, rozliczności i ciągłości przetwarzanych danych.

  1. Podstawowe zabezpieczenia fizyczne opisane są w załączniku nr 4 „Wykaz zbiorów danych osobowych”.

  2. Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych.

  3. Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych.

  4. Kopie zapasowe zbiorów danych osobowych prowadzonych w formie elektronicznej wykonywane są i przechowywane w szafie zamykanej na klucz.

  5. Za dostęp do pomieszczeń, w których przetwarza się dane osobowe (wg. załącznika stanowiącego załącznik nr 3) odpowiadają pracownicy przypisani do danego pomieszczenia. Po zakończeniu pracy, każdy pracownik ma obowiązek zamknięcia pomieszczenia.

  6. Obszar przetwarzania danych osobowych ma zapewniony dozór w godzinach od 15.00 do 7.00 oraz w dni wolne ustawowo od pracy w trybie całodobowym. Dozór realizowany jest przez firmę ochroniarską (dane wg. wykazu stanowiącego załącznik nr 6).

  7. W pomieszczeniu z serwerami mogą przebywać wyłącznie pracownicy działu informatyki, inne osoby upoważnione do wstępu do pomieszczenia serwerowni, a osoby postronne w ogólnie nie mają dostępu do tego pomieszczenia.

23Środki ochrony fizycznej

  1. Podstawowe zabezpieczenia fizyczne opisane są w załączniku nr 4 „Wykaz zbiorów danych osobowych”.

  2. Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych.

  3. Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych.

  4. Kopie zapasowe zbiorów danych osobowych prowadzonych w formie elektronicznej wykonywane są i przechowywane w dwóch różnych miejscach.

  5. Za dostęp do pomieszczeń, w których przetwarza się dane osobowe (wg. załącznika stanowiącego załącznik nr 3) odpowiadają pracownicy przypisani do danego pomieszczenia. Po zakończeniu pracy, każdy pracownik ma obowiązek zamknięcia pomieszczenia i zabrania kluczy ze sobą.

  6. Obszar przetwarzania danych osobowych ma zapewniony dozór w godzinach od 15.00 do 7.00 oraz w dni wolne ustawowo od pracy w trybie całodobowym. Dozór realizowany jest przez firmę ochroniarską (dane wg. wykazu stanowiącego załącznik nr 6).

  7. W pomieszczeniu z serwerami mogą przebywać wyłącznie pracownicy działu informatyki, inne osoby upoważnione do wstępu do pomieszczenia serwerowni, a osoby postronne w ogólnie nie mają dostępu do tego pomieszczenia.

24Środki sprzętowe, informatyczne i telekomunikacyjne

  1. Pomieszczenia, w których przetwarzane są dane osobowe zabezpieczone są przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolnostojącej gaśnicy.

  2. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

  3. Dostęp do zbiorów danych osobowych prowadzonych przy użyciu systemu informatycznego jest zabezpieczony poprzez indywidualny login i hasło.

  4. Co najmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną.

  5. Lokalizacja urządzeń komputerowych (komputerów typu PC, notebooków, drukarek) uniemożliwia osobom niepowołanym dostęp do nich oraz wgląd do danych wyświetlanych na monitorach komputerowych.

  6. Komputery przenośne, wykorzystywane do przetwarzania danych osobowych, po zakończonej pracy są przechowywane w warunkach zapewniających ich bezpieczeństwo.

  7. System operacyjny zapewnia odpowiednie restrykcje w zakresie dostępu do danych i aplikacji.

  8. Aplikacje, w których przetwarzane są dane osobowe posiadają możliwość określenia parametrów dostępowych dla operatorów wprowadzających i pracujących na danych osobowych.

  9. Wdrożono usługę uwierzytelniania użytkowników do systemów operacyjnych.

  10. Uniemożliwiono użytkownikom systemu informatycznego, w którym przetwarzane są dane osobowe wykonywania kopii tych danych.

  11. Zastosowano urządzenie podtrzymujące zasilanie typu UPS, chroniące system informatyczny służący do przetwarzania danych osobowych przed awarią zasilania.

  12. Zastosowano macierz dyskową w posiadanych serwerach w celu ochrony danych osobowych.

  13. Okablowanie sieciowe zostało zaprojektowane w ten sposób, że dostęp do linii teletransmisyjnych jest możliwy tylko z pomieszczeń zamykanych na klucz.

  14. Bieżąca konserwacja sprzętu wykorzystywanego przez ADO do ich przetwarzania jest prowadzona tylko przez ASI.

  15. Poważne naprawy wykonywane przez personel zewnętrzny są realizowane w siedzibie ADO po zawarciu z podmiotem wykonującym naprawę umowy o powierzenie przetwarzania danych osobowych, określającej kary umowne za naruszenie bezpieczeństwa danych.

  16. ASI dopuszcza konserwowanie i naprawę sprzętu poza siedzibą ADO jedynie po trwałym usunięciu danych osobowych.

  17. Zużyty sprzęt służący do przetwarzania danych osobowych może być zbywany dopiero po trwałym usunięciu danych osobowych, a urządzenia uszkodzone powinny być przekazywane właściwym podmiotom w celu utylizacji.

25Środki ochrony w ramach systemu operacyjnego

  1. W systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł.

  2. Serwery obsługujące bazę danych oraz stanowiska komputerowe służące do przetwarzania danych osobowych dostępne są wyłącznie po przeprowadzeniu prawidłowego procesu autoryzacji (system użytkowników i haseł, ograniczenie dostępu do poziomu poleceń systemowych lub zakaz wykonywania poleceń systemowych).

  3. Zapewniono rejestrację czasu nieudanych logowań do systemu przetwarzającego dane osobowe.

  4. Zastosowano system rejestracji dostępu do zbioru danych osobowych.

  5. Zastosowano oprogramowanie umożliwiające ASI wykonanie kopii zapasowych zbiorów danych osobowych.

  6. Zastosowano oprogramowanie zabezpieczające przed nieuprawnionym dostępem do systemu informatycznego.

  7. Zastosowano zabezpieczone hasłem wygaszanie ekranu w przypadku nieaktywności użytkownika dłuższej niż 15 minut.

  8. Zastosowano działający w tle program antywirusowy na komputerach użytkowników.

  9. Zapewniono automatycznie pobieranie aktualizacji do systemów operacyjnych.

26Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych

  1. Dostęp do zbioru danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  2. Zastosowano mechanizm umożliwiający rejestrację identyfikatora użytkownika wprowadzającego dane osobowe.

  3. Wykorzystano środki pozwalające na rejestrację dokonanych zmian w zbiorze danych osobowych.

  4. Zastosowano środki umożliwiające określenie praw dostępu do zbioru danych osobowych.

  5. Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji.

  6. Dla każdego użytkownika systemu jest ustalony odrębny identyfikator.

  7. Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych.

27Środki organizacyjne

  1. Opracowano i wdrożono Politykę ochrony danych osobowych oraz Instrukcję zarządzania systemem informatycznym.

  2. Wdrożono odpowiedni podział obowiązków i kontroli dostępu.

  3. Do danych osobowych mają dostęp jedynie osoby posiadające upoważnienie nadane przez ADO.

  4. Wprowadzono mechanizmy autoryzacji odpowiednio zabezpieczone przed dostępem osób trzecich.

  5. Wprowadzono procedury alarmowe i informacyjne.

  6. Osoby upoważnione do przetwarzania danych osobowych przed dopuszczeniem do tych danych zostały przeszkolone w zakresie obwiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych osobowych. Osoby te są zobowiązane do podpisania stosownego oświadczenia.

  7. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do zachowania ich w tajemnicy.

  8. Zapewniono klauzule poufności z wszystkimi podmiotami zewnętrznymi mającymi dostęp do danych osobowych w ZGM .

  9. Prowadzony jest wewnętrzny jawny rejestr zbiorów danych osobowych.

  10. Administrator danych przeprowadza przeglądy Polityki Ochrony Danych i Instrukcji Zarządzania Systemem Informatycznym oraz dokonuje sprawdzenia w zakresie przestrzegania zasad określonych w Polityce Ochrony Danych Osobowych i Instrukcji Zarządzania Systemem Informatycznym przez osoby upoważnione.

 

Ponadto każda osoba lub użytkownik upoważniony do przetwarzania danych osobowych ma obowiązek:

  1. nieużywania powtórnego jednostronnie zadrukowanych dokumentów;

  2. niepodawania w rozdzielniku decyzji do wiadomości stronom informacji o adresach innych;

  3. zachowania tajemnicy danych, w tym także wobec najbliższych;

  4. pilnego strzeżenia akt, dyskietek, płyt, pamięci przenośnych i komputerów przenośnych;

  5. niepozostawiania bez kontroli dokumentów, nośników danych i sprzętu w hotelach i innych miejscach publicznych ani też w samochodach;

  6. ustawiania ekranów komputerowych tak, aby osoby niepowołane nie mogły oglądać ich zawartości, a zwłaszcza nie naprzeciwko wejścia do pomieszczenia;

  7. niezapisywania hasła wymaganego do uwierzytelniania się w systemie na papierze lub innym nośniku;

  8. niepodłączania do listew podtrzymujących napięcie, przeznaczonych dla sprzętu komputerowego, innych urządzeń, szczególnie tych łatwo powodujących spięcia;

  9. dbania o prawidłową wentylację komputerów;

  10. przestrzegania swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania się do zaleceń ADO;

  11. niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarza się dane osobowe, bez osoby upoważnionej do przetwarzania danych osobowych;

  12. opuszczania stanowiska pracy dopiero po aktywizowaniu wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób;

  13. udostępniania danych osobowych pocztą elektroniczną tylko w postaci zaszyfrowanej;

  14. nie wynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz wypisów z nich, nawet w postaci zaszyfrowanej;

  15. wykonywania kopii roboczych danych, na których się właśnie pracuje, tak często, aby zapobiec ich utracie;

  16. kończenia pracy na stacji roboczej po zapisaniu wszystkich zmian i prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera oraz odcięciu napięcia w listwie;

  17. niszczenia w niszczarce lub chowania do szaf zamykanych na klucz wszelkich wydruków zawierających dane osobowe, przed opuszczeniem miejsca pracy po zakończeniu dnia pracy;

  18. chowania do zamykanych na klucz szaf wszelkich akt zawierających dane osobowe, przed opuszczeniem miejsca pracy po zakończeniu dnia pracy;

  19. umieszczaniu kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po zakończeniu dnia pracy;

  20. zamykania okien w razie różnych zjawisk atmosferycznych, które mogą zagrozić bezpieczeństwu danych osobowych;

  21. zamykania okien w razie opuszczenia pomieszczenia, w tym zwłaszcza po zakończeniu dnia pracy;

  22. zamykania drzwi na klucz i zabierania ze sobą w przypadku czasowego opuszczenia pomieszczenia, które pozostaje bez dozoru;

  23. niepozostawiana kluczy w drzwiach od strony zewnętrznej pomieszczeń w których przetwarza się dane osobowe;

  24. zamykania drzwi na klucz po zakończeniu pracy w danym dniu.

28Szkolenia osób upoważnionych do przetwarzania danych

Administrator przyjmuje plan szkoleń. Zgodnie z planem szkoli on każdą osobę, która ma zostać upoważniona do przetwarzania danych osobowych. Szkolenia wewnętrzne wszystkich osób upoważnionych do przetwarzania danych osobowych przeprowadzane są w wypadku każdej zmiany zasad lub procedur ochrony danych osobowych.

Tematyka szkoleń obejmuje:

  1. przepisy i instrukcje dotyczące ochrony danych osobowych, sporządzania i przechowywania ich kopii, niszczenia wydruków i zapisów na nośnikach,

  2. sposoby ochrony danych przed osobami postronnymi i procedury udostępniania danych osobom, które one dotyczą,

  3. obowiązki osób upoważnionych do przetwarzania danych osobowych,

  4. zasady i procedury określone w Polityce Ochrony Danych.

Administrator dopuszcza możliwość prowadzenia szkoleń przez podmiot zewnętrzny wyspecjalizowany w tematyce ochrony danych osobowych.

  1. Rejestr Czynności Przetwarzania Danych

  1. Rejestr Czynności Przetwarzania Danych (RCPD) stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.

  2. ZGM prowadzi Rejestr Czynności Przetwarzania Danych, w którym inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.

  3. Rejestr jest jednym z podstawowych narzędzi umożliwiających ZGM rozliczanie większości obowiązków ochrony danych.

  4. W Rejestrze, dla każdej czynności przetwarzania danych, którą ZGM uznał za odrębną dla potrzeb Rejestru, Administrator danych osobowych odnotowuje co najmniej:

    1. nazwę czynności,

    2. cel przetwarzania,

    3. opis kategorii osób,

    4. opis kategorii danych,

    5. podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Administratora danych, jeśli podstawą jest uzasadniony interes,

    6. sposób zbierania danych,

    7. opis kategorii odbiorców danych (w tym przetwarzających),

    8. planowane terminy usunięcia poszczególnych kategorii danych,

    9. informację o przekazaniu poza EU/EOG,

    10. ogólny opis technicznych i organizacyjnych środków ochrony danych.

  5. Wzór Rejestru stanowi Załącznik nr 19 do Polityki – „Wzór Rejestru Czynności Przetwarzania Danych Osobowych”. Wzór Rejestru zawiera także kolumny nieobowiązkowe. W kolumnach nieobowiązkowych Administrator danych osobowych rejestruje informacje w miarę potrzeb i możliwości, z uwzględnieniem tego, że pełniejsza treść Rejestru ułatwia zarządzanie zgodnością ochrony danych i rozliczenie się z niej.


 

  1. Naruszenia zasad ochrony danych osobowych

29Zasady ogólne

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator

dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

  1. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki– jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

  2. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

  3. Wzór zgłoszenia incydentu naruszenia ochrony danych osobowych stanowi załącznik nr 16 do niniejszej Polityki. Administrator prowadzi Rejestr Naruszeń Ochrony Danych Osobowych stanowiący załącznik nr 17 do niniejszej Polityki.

30Zdarzenia zagrażające bezpieczeństwu danych osobowych

Do zdarzeń zagrażających bezpieczeństwu danych osobowych należą:

  1. próby naruszenia ochrony danych:

  1. z zewnątrz – włamania do systemu, podsłuch, kradzież danych,

  2. z wewnątrz – nieumyślna lub celowa modyfikacja danych, kradzież danych,

  1. programy destrukcyjne:

  1. wirusy,

  2. konie trojańskie,

  3. makra,

  4. bomby logiczne,

  1. awarie sprzętu lub uszkodzenie oprogramowania,

  2. utrata sprzętu lub nośników z ważnymi danymi,

  3. inne skutkujące utratą danych osobowych, bądź wejściem w ich posiadanie osób nieuprawnionych.

  4. usiłowanie zakłócenia działania systemu informatycznego.

31Procedura postępowania w przypadkach naruszenia bezpieczeństwa danych osobowych

  1. W przypadku stwierdzenia faktu nieuprawnionego przetwarzania, ujawnienia lub nienależytego zabezpieczenia przed osobami nieuprawnionymi danych osobowych, jak również stwierdzenia istnienia przesłanek wskazujących na prawdopodobieństwo naruszenia ochrony danych osobowych, każdy pracownik ZGM zobowiązany jest poinformować ADO.

  2. W sytuacji, określonej w pkt. 1, ADO prowadzi postępowanie wyjaśniające w toku, którego:

  1. ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,

  2. ustala osoby odpowiedzialne za naruszenie,

  3. podejmuje działania w kierunku ograniczenia szkód oraz przeciwdziałania podobnym przypadkom w przyszłości,

  4. sporządza pisemną notatkę z przeprowadzonego postępowania.

  1. W przypadku zaistnienia zdarzenia, określonego w ust. 1, decyzje dyscyplinarne w stosunku do winnych oraz w sprawie wniosku o pociągnięcie ich do odpowiedzialności karnej podejmuje ADO.

32Przeglądy Polityki Ochrony Danych i audyty Systemu

  1. Celem procedury jest uporządkowanie i przedstawienie czynności związanych z kontrolą stanu bezpieczeństwa danych osobowych oraz okresową oceną systemu ochrony danych osobowych

  2. Procedura obejmuje wszystkie procesy organizacji, gdzie przestrzeganie zasad ochrony danych osobowych jest wymagane.

  3. Do kontroli stanu ochrony danych osobowych przetwarzanych w ZGM upoważnieni są Administrator lub osoby przez niego upoważnione, w tym podmioty zewnętrzne na podstawie umów.

  4. Nie rzadziej niż raz w roku kontroli (audytowi) podlegają wszystkie systemy informatyczne przetwarzające dane osobowe oraz zabezpieczenia fizyczne i bezpieczeństwo osobowe.

  5. Administrator przygotowuje plan kontroli uwzględniając zakres oraz potrzebne zasoby fizyczne, czasowe i osobowe.

  6. Kontroli podlega warstwa sprzętowa, systemy operacyjne oraz aplikacje, realizacja zabezpieczeń przez pracowników firmy i przestrzeganie polityki bezpieczeństwa.

  7. Gdy Administrator stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa:

  1. źródło powstania incydentu / zagrożenia lub słabości,

  2. zakres działań korygujących lub zapobiegawczych,

  3. termin realizacji,

  4. osobę odpowiedzialną.

Administrator wraz z ASI jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych.

  1. Projektowanie Prywatności

ZGM zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minima

Zakład Gospodarki Mieszkaniowej

Sp. z o. o. w Skierniewicach

 

Adres: ul. Rawska 33, 96-100 Skierniewice

Nr telefonu: 46 833 26 53, 46 833 21 42

E-mail: sekretariat@zgmskierniewice.com.pl

NIP: 836-13-31-403

Regon: 750051353

PREZES ZARZĄDU Łukasz Paruzel

 

Przyjęcia interesantów

Poniedziałek: 8.00 - 13.00

 

Osoby zainteresowane spotkaniem proszone są o uprzednie telefoniczne umówienie się za pośrednictwem Sekretariatu.