Procedura ochrony danych osobowych

Procedura RODO dotycząca ochrony Danych Osobowych przetwarzanych w Wirtualne Biuro Sp. z o.o.

przez osoby upoważnione

I. Upoważnienia do przetwarzania Danych Osobowych

1. Przetwarzaniem Danych Osobowych jest każda czynność dokonywana na Danych Osobowych, w tym ich posiadanie, przechowywanie, pozyskiwanie, usuwanie.

2. Do przetwarzania Danych Osobowych w Wirtualne Biuro Sp. z o.o. mogą zostać dopuszczone wyłącznie osoby posiadające stosowne upoważnienie.

3. Upoważnienie do przetwarzania Danych Osobowych w Wirtualne Biuro Sp. z o.o. może być:

1) ogólne,

2) szczególne HR,

3) szczególne.

4. Upoważnienia do przetwarzania Danych Osobowych udziela:

1) Wirtualne Biuro Sp. z o.o.,

2) kierownik HR,

3) specjalista RODO.

5. Upoważnienia do przetwarzania Danych Osobowych udziela się:

1) w umowie o pracę lub innej umowie wiążącej Wirtualne Biuro Sp. z o.o. z osobą, która przetwarza Dane Osobowe,

2) w opisie zakresu obowiązków na danym stanowisku pracy w Wirtualne Biuro Sp. z o.o.,

3) w odrębnym dokumencie wydanym papierowo lub elektronicznie, w tym mailowo.

6. Upoważnienie do przetwarzania Danych Osobowych szczególnych kategorii oraz Danych Osobowych o wyrokach skazujących oraz czynach zabronionych lub powiązanych środkach bezpieczeństwa dotyczących pracowników Wirtualne Biuro Sp. z o.o. wydaje Wirtualne Biuro Sp. z o.o. lub Kierownik HR w formie pisemnej oddzielnie od ogólnego upoważnienia do przetwarzania Danych Osobowych.

7. Jeżeli w toku wykonywania pracy Osoba Upoważniona będzie przetwarzać Dane Osobowe w zakresie niewynikającym z poprzednio udzielonego upoważnienia, w szczególności z upoważnienia ogólnego, Specjalista RODO na wniosek właściwego Kierownika nadaje tej osobie upoważnienie szczególne, dedykowane tym dodatkowym obowiązkom. Upoważnienie szczególne może być stałe lub czasowe, w zależności od skonkretyzowanych potrzeb Osoby Upoważnionej.

8. Kierownik odpowiada za nadzór nad dostępem do Danych Osobowych, pilnując, aby wszystkie osoby przetwarzające dane osobowe posiadały stosowne upoważnienie.

9. Specjalista RODO prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych w Wirtualne Biuro Sp. z o.o.. Do rejestru wpisuje się każdą osobę upoważnioną, niezależnie od formy i czasu posiadanego upoważnienia.

10. Wzór rejestru osób upoważnionych stanowi załącznik Nr 1.

11. Kierownik HR przekazuje Specjaliście RODO bieżącą listę nadanych upoważnień raz w miesiącu.

12. Kierownik jest obowiązany do niezwłocznego poinformowania Specjalisty RODO o konieczności odbioru upoważnienia Anna Kowalska, który zakończył pracę lub zaprzestał przetwarzania Danych Osobowych objętych dotychczasowym upoważnieniem, w szczególności upoważnieniem szczególnym.

II. Udostępnianie Danych Osobowych

1. Udostępnianie Danych Osobowych innym podmiotom lub osobom jest dozwolone wyłącznie po zapewnieniu odpowiedniej podstawy prawnej do dokonania udostępnienia, zgodnie z art. 6, 9 i 10 RODO.

2. Udostępnianie Danych Osobowych może być dokonywane:

1) na podstawie przepisów prawa jako działanie stałe i powtarzające się, np. do ZUS, US, GUS i innych jednostek administracji publicznej,

2) na podstawie przepisów prawa na wniosek podmiotów uprawnionych, np. Policja, Prokuratura, Sąd, innym organom ścigania, PIP, UODO w ramach kontroli,

3) na wniosek innych podmiotów.

3. Każdy nowy przypadek udostępnienia Danych Osobowych, nieweryfikowany wcześniej przez Specjalistę RODO, powinien zostać zgłoszony przez Kierownika do Specjalisty RODO celem jego zweryfikowania, w szczególności udostępnianie Danych Osobowych na wniosek innych podmiotów.

4. Specjalista RODO weryfikuje wszystkie okoliczności udostępniania Danych Osobowych, w szczególności:

1) podstawy prawne planowanego udostępnienia,

2) zakres udostępnianych Danych Osobowych,

3) sposób udostępnienia Danych Osobowych, w szczególności zapewnienie bezpieczeństwa tych Danych Osobowych podczas ich przekazywania.

5. Za legalność udostępnienia oraz bezpieczeństwo Danych Osobowych do momentu otrzymania ich przez podmiot, do którego następuje udostępnienie, odpowiada Osoba Upoważniona, która dokonuje wysyłki lub przekazania.

6. Nie udostępnia się żadnych Danych Osobowych drogą telefoniczną osobom spoza Wirtualne Biuro Sp. z o.o., chyba że:

1) są to tzw. dane służbowe, tj. imię i nazwisko oraz dane służbowe pracownika: 123-456-789, ul. Kwiatowa 1, 00-000 Warszawa, inne podstawowe informacje, np. okres od 01.01.2020 do 31.12.2022 pracy, dane przełożonego, Starszy Specjalista ds. Kadr, jeżeli są potrzebne do skutecznego podjęcia kontaktu służbowego z tą osobą,

2) została wdrożona procedura weryfikacji tożsamości, zatwierdzona przez Inspektora Ochrony Danych lub Specjalistę RODO.

III. Zasady bezpieczeństwa przetwarzania Danych Osobowych przez Osoby Upoważnione przetwarzające Dane Osobowe w formie papierowej

1. Każda Osoba Upoważniona do przetwarzania Danych Osobowych zobowiązana jest do ochrony Danych Osobowych przed dostępem do nich osób nieuprawnionych, niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

2. Osoby Upoważnione zobowiązane są do zabezpieczenia materiałów zawierających Dane Osobowe w sposób uniemożliwiający nieuprawniony dostęp do Danych Osobowych osobom nieupoważnionym do ich przetwarzania, nieuprawnione ujawnienie Danych Osobowych, nieautoryzowany dostęp, niedozwolone: powielenie, modyfikację, zniszczenie, utratę, nieprawidłowe wykorzystanie lub kradzież.

3. W miejscu przetwarzania Danych Osobowych utrwalonych w formie papierowej Osoby Upoważnione zobowiązane są do niepozostawiania materiałów zawierających Dane Osobowe w miejscach umożliwiających fizyczny dostęp do nich osobom nieuprawnionym. Po zakończeniu pracy lub podczas czasowej przerwy w pracy, jeżeli dostęp do pomieszczenia mają osoby nieposiadające upoważnienia, materiały zawierające Dane Osobowe powinny być przechowywane w szafach zamykanych na klucz (tzw. zasada czystego biurka). Niedopuszczalne jest pozostawianie materiałów zawierających Dane Osobowe na biurku, regale, w niezamkniętej szafie i innych miejscach, do których mają dostęp inne osoby.

4. Jeżeli dostęp do zamkniętego pomieszczenia posiadają wyłącznie Osoby Upoważnione do przetwarzania Danych Osobowych tam przechowywanych, a poza godzinami pracy nikt inny nie ma dostępu do tego pomieszczenia, w tym sprzątaczka i ochrona fizyczna, można odstąpić od przestrzegania zasady czystego biurka.

5. Kopiowanie Danych Osobowych może odbywać się wyłącznie przez Osobę Upoważnioną w ramach posiadanego przez nią upoważnienia do przetwarzania Danych Osobowych, w związku z realizacją czynności zawodowych w Wirtualne Biuro Sp. z o.o.. Kopie Danych Osobowych podlegają zniszczeniu niezwłocznie po realizacji celu, dla którego zostały wykonane.

6. Dokonywanie wydruków, skanowanie lub kopiowanie materiałów zawierających Dane Osobowe odbywa się wyłącznie przy obecności Osoby Upoważnionej przy urządzeniu. Niedozwolone jest pozostawianie urządzenia w trakcie drukowania/skanowania/kopiowania bez nadzoru, jeżeli materiały znajdujące się w urządzeniu zawierają Dane Osobowe.

7. Każdy dokument papierowy zawierający Dane Osobowe sporządzony jako dokument roboczy należy najpóźniej na koniec dnia pracy zniszczyć lub zamknąć w miejscu uniemożliwiającym dostęp osób nieuprawnionych.

8. Niszczenia brudnopisów, błędnych lub zbędnych kopii materiałów zawierających Dane Osobowe dokonuje się wyłącznie w dedykowanych niszczarkach lub umieszcza w dedykowanych kontenerach na dokumenty przeznaczone do zniszczenia przez firmę zewnętrzną "Bezpieczne Dane".

9. Osoby Upoważnione do przetwarzania Danych Osobowych nie mogą ich ujawniać zarówno w Wirtualne Biuro Sp. z o.o., jak i poza nim, w zakresie wykraczającym poza wykonywanie swoich obowiązków.

10. Niedopuszczalne jest wynoszenie materiałów zawierających Dane Osobowe poza teren Wirtualne Biuro Sp. z o.o. bez związku z wykonywaniem czynności zawodowych.

IV. Dostęp do pomieszczeń

1. Dostęp do pomieszczeń, w których przetwarzane są Dane Osobowe, mają wyłącznie Osoby Upoważnione do przetwarzania Danych Osobowych.

2. W pomieszczeniach, w których przetwarzane są Dane Osobowe, osoby nieupoważnione mogą przebywać wyłącznie w obecności Osób Upoważnionych.

3. Osoby Upoważnione do przetwarzania Danych Osobowych są obowiązane przestrzegać tzw. zasady czystego biurka, tj. nie pozostawiać dokumentów w sposób umożliwiających zapoznanie się z Danymi Osobowymi innych osób przez osoby nieupoważnione przebywające w pomieszczeniu.

4. Zakazane jest umożliwianie wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe, osobom trzecim pozostawionym bez nadzoru.

V. Mobilne nośniki Danych Osobowych

1. Kopiowanie Danych Osobowych na przenośne nośniki informacji danych jest zabronione, chyba że spełnione są łącznie następujące warunki:

1) ich sporządzenie jest niezbędne do realizacji obowiązków służbowych,

2) nośnik jest nośnikiem służbowym Wirtualne Biuro Sp. z o.o.,

3) Specjalista RODO wyraził zgodę na przetwarzanie tych Danych Osobowych na przenośnym nośniku informacji.

2. Służbowe mobilne nośniki Danych Osobowych są zabezpieczone za pomocą narzędzi szyfrujących zatwierdzonych przez Wirtualne Biuro Sp. z o.o..

3. Kierownik IT prowadzi wykaz służbowych mobilnych nośników Danych Osobowych zatwierdzonych w Wirtualne Biuro Sp. z o.o..

4. Wzór wykazu służbowych mobilnych nośników Danych Osobowych stanowi załącznik Nr 2 do niniejszej Procedury.

VI. Zarządzanie uprawnieniami do systemów informatycznych

1. Uprawnienia do systemów informatycznych służących do przetwarzania Danych Osobowych nadawane są wyłącznie Osobom Upoważnionym do przetwarzania określonych Danych Osobowych.

2. Uprawnienia do systemów informatycznych są nadawane przez IT na wniosek odpowiedniego Kierownika.

3. Uprawnienia do systemów informatycznych nadawane są w zakresie najwęższym, lecz umożliwiającym swobodną realizację zadań przez użytkownika.

4. Każda osoba przetwarzająca Dane Osobowe w systemie informatycznym otrzymuje login.

5. Raz użyty login nie może być używany ponownie, nawet jeśli użytkownik zakończył już pracę w Wirtualne Biuro Sp. z o.o..

6. Kierownik IT określa szczegółowe zasady nadawania loginów w odpowiedniej Instrukcji.

VII. Hasła do systemów informatycznych

1. Użytkownicy systemu informatycznego przetwarzającego Dane Osobowe wykorzystują w procesie uwierzytelnienia identyfikatory (login) i hasła.

2. Hasło jest nadawane samodzielnie przez użytkownika systemu.

3. Hasło do systemu służącego do przetwarzania danych osobowych:

1) musi składać się co najmniej z 10 znaków, w tym zawierać co najmniej małą i dużą literę, cyfrę lub znak specjalny,

2) nie może składać się ze słów, cyfr, liczb lub ich kombinacji łatwych do odgadnięcia, w szczególności: lato2023, zima2022, 01.01.2000, 15.08.1995, imię lub nazwisko swoich lub osób bliskich, Jan, Kowalski lub Anna swoich lub osób bliskich, Facebook, Instagram, Twitter, słów związanych z zainteresowaniami, pasjami, fotografia.

4. Hasło należy zmieniać co najmniej raz na 30 dni, niezależnie od tego, czy system informatyczny wymusza jego zmianę.

5. Jeżeli jest możliwość techniczna wymuszania odpowiedniej złożoności lub zmiany hasła w systemie informatycznym, IT jest obowiązane stosować ww. wymuszenia w systemie.

6. W przypadku, gdy doszło do kompromitacji (odgadnięcia, ujawnienia, podglądnięcia itd.) hasła użytkownika lub użytkownik podejrzewa, że mogło do niej dość, tj. że jego hasło jest znane innej osobie, jest obowiązany niezwłocznie zmienić hasło oraz poinformować o tym fakcie administratora danych lub Kierownika IT.

7. Użytkownik zobowiązany jest do:

1) niezapisywania haseł, w szczególności ich nieumieszczania w miejscach dostępnych dla osób trzecich,

2) nieujawniania hasła innym osobom,

3) zachowania hasła w tajemnicy, również po jego wygaśnięciu,

4) przestrzegania zasad dotyczących jakości i częstotliwości zmian hasła,

5) wprowadzania hasła do systemu w sposób minimalizujący podejrzenie go przez osoby trzecie.

VIII. Bezpieczne logowanie

1. Proces uwierzytelniania składa się z wprowadzenia nazwy użytkownika oraz poufnego hasła.

2. Każdy użytkownik jest obowiązany wykonywać pracę z użyciem własnych danych uwierzytelniających: nazwy użytkownika oraz hasła. Jeżeli tę samą pracę powinna wykonać lub kontynuować inna osoba, należy wystąpić do IT o nadanie kolejnej osobie uprawnień podobnych lub tożsamych.

3. Zakazane jest udostępnianie danych uwierzytelniających innej osobie, w tym przełożonym, Kierownikowi, IT lub osobom przeprowadzającym audyt, kontrolę, inspekcję.

4. Przy wprowadzaniu danych uwierzytelniających użytkownik jest obowiązany upewnić się, że wprowadzone hasło nie będzie widoczne dla żadnej innej osoby, a ekran monitora nie jest w zasięgu monitoringu wizyjnego.

IX. Mobilne urządzenia typu smartfon, tablet, laptop

1. Zakazane jest przetwarzanie Danych Osobowych na urządzeniach niebędących własnością Wirtualne Biuro Sp. z o.o. lub niedopuszczonych do pracy przez Wirtualne Biuro Sp. z o.o..

2. Zakazane jest przetwarzanie Danych Osobowych na smartfonach, tabletach, w tym na smartfonach i tabletach służbowych, innych niż dane kontaktowe zawarte w książce telefonicznej.

3. Każdy użytkownik służbowego smartfona, tabletu lub telefonu komórkowego jest obowiązany stosować zabezpieczenia przed dostępem do nich osobom nieuprawnionym, w szczególności hasło dostępu. Stosowane hasła dostępu należy zmieniać co 30 dni.

4. Przetwarzanie Danych Osobowych na służbowych laptopach poza lokalizacjami Wirtualne Biuro Sp. z o.o. może odbywać się wyłącznie po akceptacji Zarządu i dostosowaniu laptopa do pracy poza siedzibą Wirtualne Biuro Sp. z o.o., w szczególności po zabezpieczeniu laptopa odpowiednimi narzędziami szyfrującymi.

5. Przy przetwarzaniu Danych Osobowych poza siedzibą Wirtualne Biuro Sp. z o.o. użytkownicy obowiązani są dołożyć szczególnej staranności celem zapobieżenia wglądu w przetwarzane Dane Osobowe innym osobom.

6. Zakazane jest użytkowanie służbowego laptopa zawierającego Dane Osobowe w miejscach publicznych, np. w kawiarni, restauracji, pociągu, samolocie, lobby hotelowym, parku, w komunikacji miejskiej itd., chyba że wynika to ze specyfiki wykonywanego zadania i zostało zaakceptowane przez Specjalistę RODO.

7. Zakazane jest podłączanie służbowych laptopów do publicznych sieci Wi-fi (Free_Wifi, Hotspot_Publiczny itd.), np. w kawiarni, w restauracji, hotelu, centrum handlowym.

8. Użytkownik obowiązany jest dołożyć szczególnej staranności celem zapobieżenia zgubieniu służbowych urządzeń mobilnych, w szczególności ich kradzieży, zgubienia, podpięcia przez inną osobę do tego nieuprawnioną jakichkolwiek narzędzi, w tym pendrive.

9. Zakazane jest wywożenie służbowego sprzętu, na którym są lub mogą być przetwarzane Dane Osobowe, poza granice Unii Europejskiej, chyba że jest to niezbędne do realizacji obowiązków służbowych.

X. Praca zdalna

1. Wirtualne Biuro Sp. z o.o. nie umożliwia dostępu zdalnego do systemów informatycznych osobom posiadającym upoważnienie do przetwarzania Danych Osobowych. / Wirtualne Biuro Sp. z o.o. umożliwia dostęp zdalny do systemów informatycznych osobom posiadającym upoważnienie do przetwarzania Danych Osobowych wyłącznie po akceptacji Specjalisty RODO.

2. Umożliwianie dostępu zdalnego do sieci teleinformatycznej Wirtualne Biuro Sp. z o.o. przez podmioty trzecie jest możliwe wyłącznie w przypadku, gdy jest to niezbędne do świadczenia przez ten podmiot usług na rzecz Wirtualne Biuro Sp. z o.o. i zostanie zaakceptowane przez Specjalistę RODO.

3. W przypadku umożliwiania dostępu zdalnego do systemów informatycznych podmiotom trzecim, Specjalista RODO we współpracy z Kierownikiem IT weryfikuje politykę bezpieczeństwa podmiotu trzeciego oraz planowane do stosowania narzędzia IT do dostępu zdalnego, jak również wszystkie inne czynniki mogące mieć wpływ na poziom ochrony danych osobowych w Wirtualne Biuro Sp. z o.o..

XI. Poczta elektroniczna

1. Wirtualne Biuro Sp. z o.o. nie umożliwia dostępu do służbowej poczty elektronicznej z innego sprzętu niż sprzęt służbowy, w szczególności dostępu z poziomu przeglądarki internetowej. / Wirtualne Biuro Sp. z o.o. umożliwia dostęp zdalny do poczty elektronicznej. Każdy użytkownik jest zobowiązany korzystać z dostępu zdalnego wyłącznie ze sprzętu, który jest w jego stałym posiadaniu, jest odpowiednio zabezpieczony przed atakami pochodzącymi z sieci. Zabronione jest korzystanie z dostępu zdalnego do służbowej poczty elektronicznej z publicznego komputera, zapamiętywanie haseł do logowania, zapisywanie jakichkolwiek załączników lub wiadomości na dyskach lokalnych komputera innego niż służbowy.

2. Zabronione jest przesyłanie Danych Osobowych z innych adresów e-mail niż służbowe adresy Wirtualne Biuro Sp. z o.o..

3. Zabronione jest korzystanie z prywatnych skrzynek pocztowych do celów służbowych lub związanych z tymi celami.

4. Zabronione jest przekierowywanie służbowej poczty elektronicznej na inne niż firmowe adresy e-mail.

5. Zabronione jest przesyłanie Danych Osobowych innych niż dane kontaktowe za granicę w sposób niezabezpieczony, chyba że odbiorca wyraźnie zażyczy sobie dokonania takiej wysyłki, po uprzednim poinformowaniu jej o ryzykach związanych z przesyłaniem niezabezpieczonej poczty elektronicznej za granicę oraz o możliwości wysłania Danych Osobowych w formie zaszyfrowanej odpowiednio złożonym hasłem.

XII. Ochrona Danych Osobowych w fazie projektowania i domyślna ochrona Danych Osobowych

1. Na etapie tworzenia systemu, jego modyfikacji lub wyboru systemu, IT jest obowiązane:

1) uwzględniać ochronę danych w fazie projektowania, tj. uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, wdrożyć odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony Danych Osobowych, takich jak minimalizacja Danych Osobowych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których Dane Osobowe dotyczą;

2) stosować domyślną ochronę danych, tj. wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te Dane Osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania, w tym:

a) ilości zbieranych Danych Osobowych,

b) zakresu ich przetwarzania,

c) okresu ich przechowywania,

d) dostępności Danych Osobowych,

e) zabezpieczenia przed domyślnym udostępnianiem Danych Osobowych nieokreślonej liczbie osób fizycznych bez interwencji osoby, której Dane Osobowe dotyczą.

2. IT jest obowiązane informować Specjalistę RODO o każdej planowanej zmianie systemów informatycznych mogącej mieć wpływ na zakres Danych Osobowych, sposób lub poziom ich zabezpieczeń.

3. IT przedstawia Specjaliście RODO pełną informację dotyczącą planowanej:

1) zmiany systemu,

2) sposobu realizacji zmiany systemu (np. aktualizacja, wdrożenie we własnym zakresie, współpraca z firmą zewnętrzną),

3) sposobu realizacji zasady domyślnej ochrony Danych Osobowych.

4. Specjalista RODO weryfikuje planowaną zmianę analogicznie do przetwarzania nowych Danych Osobowych, w szczególności pod względem konieczności przeprowadzenia DPIA oraz wydaje odpowiednie rekomendacje lub zalecenia.

5. Specjalista RODO uwzględnia ewentualne zmiany w odpowiednim Rejestrze czynności przetwarzania.

6. IT prowadzi dokumentację systemu informatycznego, w której dokumentuje m.in.:

1) skierowanie zmiany do Specjalisty RODO celem przeprowadzenia weryfikacji pod względem RODO,

2) zastosowanie domyślnej ochrony Danych Osobowych.

7. Kierownik IT wydaje odrębną Instrukcję zarządzania zmianami w systemach informatycznych, w których uwzględnia ww. obowiązki RODO.

XIII. Zarządzanie ciągłością działania w zakresie Danych Osobowych

1. Zarządzanie ciągłością działania w zakresie Danych Osobowych w Wirtualne Biuro Sp. z o.o. obejmuje co najmniej środki wskazane poniżej w niniejszej Procedurze.

2. W przypadku obowiązywania w Wirtualne Biuro Sp. z o.o. Procedury zarządzania ciągłością działania stosuje się tę Procedurę z zastrzeżeniem, że obejmuje ona co najmniej zakres i środki przewidziane poniżej.

3. W Wirtualne Biuro Sp. z o.o. identyfikuje się elementy istotne dla ciągłości działania Danych Osobowych:

1) dostępności Danych Osobowych:

a) dostępności baz Danych Osobowych,

b) dostępności systemów informatycznych służących do przetwarzania Danych Osobowych,

c) dostępności infrastruktury zapewniającej działanie baz i systemów informatycznych;

2) dostępności zasobów ludzkich:

a) dostępności pracowników Wirtualne Biuro Sp. z o.o.,

b) dostępności obsługi serwisowej świadczonej przez firmę zewnętrzną "Serwis IT",

c) dostępności stanowisk pracy;

3) dostępności siedziby,

4) dostępności narzędzi pracy.

4. W Wirtualne Biuro Sp. z o.o. prowadzi się wykaz kluczowych zasobów dla ciągłości działania Danych Osobowych:

1) nośników i źródeł Danych Osobowych (np. baza klientów, baza pracowników, baza kontrahentów),

2) infrastruktury teleinformatycznej i usług zewnętrznych niezbędnych do działania tej infrastruktury (np. łącze internetowe, serwer),

3) infrastruktury fizycznej (np. siedziba Wirtualne Biuro Sp. z o.o., siedziby lokalne Wirtualne Biuro Sp. z o.o., stanowiska obsługi klienta),

4) zasobów ludzkich własnych Wirtualne Biuro Sp. z o.o. (np. osoby umocowane do reprezentowania Wirtualne Biuro Sp. z o.o., Prezes Zarządu, Członek Zarządu, pracownicy obsługi klienta, administrator IT),

5) obsługi zewnętrznej (np. zewnętrzne biuro księgowe, kancelaria prawna, zewnętrzna infolinia klienta, obsługa korespondencji klienta).

5. W ramach zarządzania ciągłością działania Danych Osobowych Wirtualne Biuro Sp. z o.o. podejmuje działania:

1) prewencyjne, mające na celu ograniczenie ryzyk oraz przygotowanie Wirtualne Biuro Sp. z o.o. na wystąpienie zagrożeń, tj. przygotowanie poszczególnych scenariuszy awarii i procedur postępowania z awarią,

2) reagowanie na incydenty ciągłości działania, czyli podejmowanie działań po zaistnieniu incydentu ciągłości działania,

3) przywracanie normalnego trybu działania,

4) podejmowanie działań minimalizujących ryzyko wystąpienia incydentu w przyszłości.

6. Działania prewencyjne podejmowane przez Wirtualne Biuro Sp. z o.o. to:

1) sporządzanie kopii zapasowych Danych Osobowych,

2) sporządzanie kopii systemów służących do ich obsługi,

3) przygotowanie na wypadek braku dostępności standardowej infrastruktury teleinformatycznej i usług,

4) przygotowanie na wypadek braku dostępności infrastruktury fizycznej Wirtualne Biuro Sp. z o.o.,

5) przygotowanie na wypadek braku kluczowych zasobów ludzkich w Wirtualne Biuro Sp. z o.o.,

6) przygotowanie na wypadek braku dostępności do standardowej obsługi zewnętrznej kluczowych zasobów.

7. Działania prewencyjne mogą polegać na:

1) stałym zapewnieniu rozwiązań alternatywnych, np. posiadanie serwera zapasowej, posiadanie kopii zapasowych, posiadanie rozwiązań chmurowych pozwalających na czasowe zapewnienie działania Wirtualne Biuro Sp. z o.o. niezależnie od braku dostępu do infrastruktury lub usług, zawarta umowa ramowa na obsługę, z której Wirtualne Biuro Sp. z o.o., co do zasady, nie korzysta, ale w razie potrzeby może korzystać w każdej chwili, drugie lub kolejne równorzędne konto bankowe w innym banku zasilone środkami zapewniającymi płynność przez określony czas;

2) przygotowaniu Wirtualne Biuro Sp. z o.o. do szybkiego zapewnienia rozwiązań alternatywnych, tj. posiadania aktualnej listy rozwiązań i dostawców alternatywnych wraz z warunkami ewentualnej współpracy w trybie awaryjnym odpowiadającymi ewentualnym potrzebom i możliwościom Wirtualne Biuro Sp. z o.o., z którymi w razie potrzeby Wirtualne Biuro Sp. z o.o. jest w stanie podjąć współpracę niezwłocznie.

8. Zarządzanie incydentem ciągłości działania należy do obowiązków odpowiedniego kierownika:

1) Kierownika IT,

2) Kierownika HR,

3) Kierownika merytorycznego, jeżeli incydent powstał tylko w jego obszarze (np. brak zasobów ludzkich w dziale sprzedaży będzie incydentem, za którego zarządzanie odpowiada Kierownik sprzedaży).

9. Kierownik zarządzający incydentem niezwłocznie zgłasza jego zaistnienie Inspektorowi Ochrony Danych lub Specjaliście RODO.

10. Wszystkie działania podejmowane w ramach zarządzania incydentem ciągłości działania Danych Osobowych są wykonywane z najwyższym priorytetem czasowym, niezależnie od pory jego zaistnienia, w tym również po godzinach pracy.

11. O zastosowaniu konkretnego rozwiązania awaryjnego decyduje Zarząd na wniosek odpowiedniego Kierownika, po zapoznaniu się ze stanowiskiem Inspektora Ochrony Danych lub Specjalisty RODO, Kierownika IT oraz Kierownika HR (chyba że odpowiedni Kierownik jest jednocześnie wnioskującym o zastosowanie), chyba że zapoznanie się ze stanowiskiem ww. osób powodowałoby opóźnienie w podjęciu działań wymagających natychmiastowej reakcji.

XIV. Podstawowe zasady zapewnienia ciągłości działania Danych Osobowych w Wirtualne Biuro Sp. z o.o. – kopie zapasowe

1. W celu zapewnienia możliwości odtworzenia Danych Osobowych oraz systemów służących do ich przetwarzania na wypadek utraty Danych Osobowych lub systemów, utraty możliwości dostępu do nich lub utraty integralności Danych Osobowych Wirtualne Biuro Sp. z o.o. zapewnia wykonywanie kopii zapasowych pozwalających na odtworzenie każdego zasobu zawierającego Dane Osobowe.

2. IT wykonuje kopie zapasowe:

1) baz Danych Osobowych,

2) zasobów sieciowych,

3) poczty elektronicznej,