Polityka ochrony danych osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

Załącznik nr 1

do Uchwały Zarządu Nr 12/2024

z dnia 24.05.2024

POLITYKA OCHRONY DANYCH OSOBOWYCH

w

CyberSec Solutions Sp. z o.o.

Dokument do użytku wewnętrznego

24.05.2024

HISTORIA DOKUMENTU

Wersja i data utworzenia

Podmiot wprowadzający zmiany

Opis zmian

Data zatwierdzenia / data wejścia w życie

Osoba zatwierdzająca

1.0 24.05.2024

CyberSec Solutions Sp. z o.o.

Pierwsza wersja dokumentu

DOKUMENT WEWNĘTRZNY Strona 1 z 36

POLITYKA OCHRONY DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

Niniejszy dokument jest własnością administratora danych.

Obowiązuje zakaz samowolnego dokonywania zmian treści oraz kopiowania i rozpowszechniania.

DOKUMENT WEWNĘTRZNY Strona 2 z 36

POLITYKA OCHRONY DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

SPIS TREŚCI

WSTĘP ................................................................................................................................... 4

ZAKRES PRZEDMIOTOWY POLITYKI ............................................................................ 6

ZAKRES PODMIOTOWY POLITYKI ................................................................................ 6

DEFINICJE ............................................................................................................................ 7

POSTANOWIENIA OGÓLNE ............................................................................................ 11

ADMINISTRATOR ............................................................................................................. 13

REALIZACJA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ ........................................ 14

INSPEKTOR OCHRONY DANYCH I ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH ...................................................................................................... 16

PRZETWARZANIE DANYCH........................................................................................... 20

POWIERZENIE PRZETWARZANIA DANYCH .............................................................. 23

ANALIZA ZASOBÓW PRZETWARZAJĄCYCH DANE OSOBOWE, ANALIZA RYZYKA.............................................................................................................................. 25

OCENA SKUTKÓW DLA OCHRONY DANYCH (DPIA) .............................................. 26

PLAN SPRAWDZEŃ ORAZ DOKONYWANIE SPRAWDZEŃ ..................................... 27

REJESTR CZYNNOŚCI PRZETWARZANIA ................................................................... 30

OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH ........... 31

EWIDENCJA OSÓB UPOWAŻNIONYCH ....................... Error! Bookmark not defined.

SZKOLENIA ........................................................................................................................ 31

UWZGLĘDNIANIE OCHRONY DANYCH W FAZIE PROJEKTOWANIA, DOMYŚLNA OCHRONA DANYCH ................................................................................ 32

ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH ...................................... Error! Bookmark not defined.

POSTĘPOWANIE W RAZIE ZAISTNIENIA ZAGROŻENIA DLA BEZPIECZEŃSTWA PRZETWARZANYCH DANYCH OSOBOWYCH LUB NARUSZENIA ZASAD PRZETWARZANIA DANYCH OSOBOWYCH ............................................................... 33

POSTANOWIENIA KOŃCOWE ........................................................................................ 35

DOKUMENT WEWNĘTRZNY Strona 3 z 36

POLITYKA OCHRONY DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

WSTĘP

Tworzy się dokumentację przetwarzania danych osobowych celem realizacji obowiązków wynikających z powszechnie obowiązującego prawa, tj. art. 24 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”), a także ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000).

Dokumentacja przetwarzania danych osobowych zostaje wdrożona w CyberSec Solutions Sp. z o.o. (zwana/zwany dalej Administratorem”).

Celem wdrożenia dokumentacji jest ochrona interesów osób, których dane dotyczą poprzez zapewnienie należytej, adekwatnej do przewidywanych zagrożeń oraz kategorii przetwarzanych danych, ochrony posiadanych zasobów informacyjnych.

Poprzez bezpieczeństwo danych osobowych należy rozumieć zapewnienie ich poufności, integralności, dostępności oraz rozliczalności, poprzez wdrożenie i eksploatację niezbędnych do tego celu mechanizmów technicznych i procedur organizacyjnych.

Niniejsza Polityka wraz z załącznikami i Instrukcją zarządzania zasobami informatycznymi oraz dokumentami powiązanymi stanowi „Dokumentację przetwarzania danych osobowych”. Wszystkie regulacje przyjęte przez Administratora podlegają obligatoryjnemu przeglądowi co najmniej raz w roku.

Załącznikami do niniejszej Polityki są następujące dokumenty:

1. Instrukcja zarządzania zasobami informatycznymi.

2. Polityka realizacji praw osób, których dane dotyczą.

3. Analiza zasadności wyznaczenia inspektora ochrony danych.

4. Analiza zasadności prowadzenia rejestru czynności przetwarzania.

5. Procedura oceny skutków przetwarzania dla ochrony danych (DPIA).

6. Wyniki oceny skutków dla ochrony danych (DPIA).

7. Wzory dokumentacji:

a. wzór uchwały o powołaniu inspektora ochrony danych;

b. wzór umowy powierzenia przetwarzania danych;

c. wzór upoważnienia do przetwarzania danych osobowych;

d. wzór dokumentacji naruszenia ochrony danych osobowych;

e. wzór rejestru incydentów ochrony danych;

DOKUMENT WEWNĘTRZNY Strona 4 z 36

POLITYKA OCHRONY DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

f. wzór rejestru czynności przetwarzania;

g. wzór planu audytu systemu ochrony danych osobowych.

Zasady zarządzania zasobami informatycznymi Administratora określa: „Instrukcja zarządzania zasobami informatycznymi”.

Aktualne dane na temat zakresu i sposobu przetwarzania danych osobowych znajdują się w Rejestrze czynności przetwarzania. W rejestrze wskazuje się okresy przechowywania danych osobowych, jeśli jest to możliwe.

Niniejsza Polityka reguluje zasady dotyczące zarządzania przypadkami naruszeń ochrony danych osobowych (incydentem), a także zgłaszania takich naruszeń Prezesowi Urzędu Ochrony Danych Osobowych oraz osobom, których dane dotyczą.

Podstawą budowy systemu ochrony danych osobowych są wyniki analizy ryzyka dla praw i wolności osób, których dane dotyczą oraz analizy ryzyka dla zasobów uczestniczących w operacjach przetwarzania danych zgodnie z wymogami RODO tj. art. 32 oraz art. 35.

Szacowanie ryzyka dla zasobów uczestniczących w operacjach przetwarzania danych przeprowadza się zgodnie z zasadami opisanymi w „Procedurze oceny skutków przetwarzania dla ochrony danych (DPIA)”, która stanowi załącznik do niniejszej Polityki.

Oceny skutków przetwarzania dla ochrony danych (DPIA), jeśli jest wymagana, dokonuje się stosownie do zasad zawartych w „Procedurze oceny skutków przetwarzania dla ochrony danych (DPIA)”, która stanowi załącznik do niniejszej Polityki.

Jeżeli przy dokonywaniu oceny skutków przetwarzania dla ochrony danych (DPIA), zostanie stwierdzone, że przetwarzanie powodowałoby wysokie ryzyko, ale nie jest planowane wdrożenie środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania Administrator konsultuje się z Prezesem Urzędu Ochrony Danych Osobowych.

„Polityka realizacji praw osób, których dane dotyczą” została przyjęta w celu zapewnienia prawidłowego wykonania przez Administratora obowiązków określonych w art. 12-23 RODO.

Obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, realizuje się zgodnie z zasadami opisanymi w wyżej wymienionej „Instrukcji zarządzania zasobami informatycznymi” oraz w niniejszej Polityce.

DOKUMENT WEWNĘTRZNY Strona 5 z 36

POLITYKA OCHRONY DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

Ponadto, relacje z podmiotem przetwarzającym określają wewnętrzne regulacje dotyczące stosowania wzorców klauzul i umów dotyczących poufności oraz powierzania przetwarzania danych osobowych.

ZAKRES PRZEDMIOTOWY POLITYKI

Zakres przedmiotowy stosowania niniejszej Polityki obejmuje wszystkie dane osobowe przetwarzane przez Administratora w jakiejkolwiek formie, zarówno elektronicznej, jak i papierowej.

Zapewnienie bezpieczeństwa danych dotyczy każdego etapu przetwarzania informacji: ich zbierania, utrwalania, organizowania, porządkowania, przechowywania, adaptowania lub modyfikowania, pobierania, przeglądania, wykorzystywania, ujawniania poprzez przesłanie, rozpowszechniania lub innego rodzaju udostępniania, dopasowywania lub łączenia, ograniczania, usuwania lub niszczenia.

ZAKRES PODMIOTOWY POLITYKI

Zakres podmiotowy stosowania niniejszej Polityki obejmuje wszystkich pracowników Administratora oraz osoby i podmioty, które współpracują z Administratorem na podstawie zawartych porozumień, które zobowiązały się do przestrzegania regulacji wewnętrznych Administratora w zakresie ochrony danych osobowych.

DOKUMENT WEWNĘTRZNY Strona 6 z 36

POLITYKA OCHRONY DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

DEFINICJE

§ 1.

Użyte w niniejszej Polityce definicje i pojęcia są wspólne dla wszystkich dokumentów powiązanych z niniejszą Polityką oraz dla wszystkich pozostałych dokumentów, które zostały przyjęte przez Administratora w zakresie ochrony danych osobowych („Dokumentacja przetwarzania danych osobowych”). Ilekroć w niniejszej Polityce jest mowa o:

1. administratorze (lub „Administrator danych” lub „Administrator danych osobowych”) – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną, lub inny podmiot lub osobę, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

2. administratorze systemów informatycznych (lub „ASI”) – rozumie się przez to osobę fizyczną wyznaczoną przez Administratora, która odpowiada za zapewnienie sprawności, należytej konserwacji i wdrażania technicznych zabezpieczeń systemów informatycznych oraz odpowiada za to, aby systemy informatyczne, w których przetwarzane są dane osobowe spełniały wymagania przewidziane RODO i ustawą o ochronie danych osobowych. W przypadku niewyznaczenia ASI, jego obowiązki wykonuje osobiście Administrator lub za pośrednictwem wyznaczonych przez Administratora pracowników lub współpracowników wewnętrznej służby informatycznej lub podmiotu zewnętrznego, działającego na zlecenie Administratora;

3. analizie ryzyka – rozumie się przez to proces przeprowadzony przez Administratora, polegający na szacowaniu ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Podczas analizy ryzyka administrator bierze przede wszystkim pod uwagę ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

4. anonimizacji – rozumie się przez to zmianę danych osobowych, w wyniku której dane te tracą charakter danych osobowych;

5. danych osobowych (lub „dane”) – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak Jan Kowalski, PESEL 12345678901, ul. Kwiatowa 1, 00-001 Warszawa, adres IP 192.168.1.1 lub jeden bądź

DOKUMENT WEWNĘTRZNY Strona 7 z 36

POLITYKA OCHRONY DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

6. danych osobowych szczególnych kategorii – rozumie się przez to dane osobowe tzw. wrażliwe, ujawniające pochodzenie rasowe, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne lub dane dotyczące zdrowia, seksualności osoby, której te dane dotyczą;

7. dokumencie elektronicznym – rozumie się przez to dokument utrwalony na nośnikach magnetycznych, optycznych lub w pamięci układów elektronicznych;

8. Dokumentacji przetwarzania danych osobowych – rozumie się przez to niniejszą Politykę oraz załączniki wskazane we wstępie do niniejszej Polityki i Instrukcję zarządzania zasobami informatycznymi;

9. hasło dostępu – rozumie się przez to ciąg znaków umożliwiający uwierzytelnienie użytkownika w systemie informatycznym;

10. identyfikatorze użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący użytkownika w systemie informatycznym;

11. inspektorze ochrony danych (lub „IOD”, lub „inspektor”) – rozumie się przez to osobę posiadającą odpowiednie kwalifikacje zawodowe, w szczególności posiadającą wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełnienia zadań nałożonych na niego na mocy przepisów RODO;

12. kopii bezpieczeństwa (lub „back-up”) – rozumie się przez to kopię oprogramowania lub danych, pozwalającą na ich dokładne odtworzenie w wypadku utraty oryginału;

13. logowaniu – rozumie się przez to proces uwierzytelniania użytkownika w systemie informatycznym;

14. modyfikacji informacji – rozumie się przez to zmianę zapisu informacji;

15. naruszeniu ochrony danych osobowych – rozumie się przez to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

DOKUMENT WEWNĘTRZNY Strona 8 z 36