Procedura bezpieczeństwa danych osobowych poza obszarem przetwarzania

Procedura zabezpieczenia danych przekazywanych poza obszar przechowywania ze wzorem ewidencji przekazanych nośników danych osobowych

I. Zasady ogólne

1. W celu zapewnienia zgodności z przepisami o ochronie danych osobowych, w tym zapewnienia należytej staranności przy zapewnieniu ochrony danych osobowych, wprowadza się niniejszą Procedurę zabezpieczenia danych przekazywanych poza obszar przechowywania.

2. Procedura dotyczy każdej sytuacji, gdy dane osobowe mają być przekazywane poza siedzibę administratora oraz inne zatwierdzone przez niego obszary stałego przetwarzania danych osobowych.

3. Zasady określone poniżej odnoszą się do każdego rodzaju nośnika danych, tzn. dokumentów, dysków zewnętrznych, płyt CD, itp..

4. Procedura dotyczy każdej osoby upoważnionej do wydania, transportu, zabrania i zwrotu nośników danych.

II. Zatwierdzenie przekazania danych poza obszar przetwarzania

1. Przekazanie nośnika z danymi osobowymi poza wyznaczony przez administratora stały obszar przetwarzania jest dopuszczalne tylko za zgodą administratora.

2. Administrator może wydać ogólną zgodę dla Specjalisty ds. Kadr lub określonych zasobów, uprawniającą do wyniesienia dokumentów.

3. Zgoda musi być udokumentowana, w taki sposób że jest ją w stanie wykazać zarówno administrator, jak i osoba, która otrzymała zgodę.

4. Zgoda może być wydana w formie wiadomości e-mail lub pisemnego upoważnienia¹.

5. Administrator wyrażając zgodę bierze pod uwagę możliwość zapewnienia właściwej i skutecznej ochrony danych podczas ich przekazywania i w trakcie przetwarzania poza stałym obszarem przetwarzania.

III. Przygotowanie danych do przekazania

1. W przypadku dokumentów papierowych, przed zabraniem muszą one zostać spakowane i uporządkowane w teczkach, skoroszytach, segregatorach lub kartonach.

2. Dokumenty należy zabezpieczyć w sposób uniemożliwiający zapoznanie się z ich zawartością bez pozostawienia widocznych śladów, np. poprzez bezpieczne opakowania lub oklejenie brzegów teczek i kartonów papierowymi plombami (np. Etykiety do listów z podpisem imiennym i nazwiskiem lub nadrukiem, którego podrobienie byłoby trudne).

3. Dane elektroniczne należy zabezpieczyć hasłem przed skopiowaniem na nośnik elektroniczny, jak pendrive, dysk zewnętrzny, czy płyta CD/DVD/BlueRay.

4. Jeżeli to możliwe technicznie, sam nośnik także powinien zostać zaszyfrowany.

5. Przed zabraniem danych, należy wpisać do "Ewidencji przekazanych nośników danych osobowych" informacje dotyczące dokumentów, osoby, której są przekazywane, a także miejsca ich przetwarzania.

6. Ewidencja stanowi załącznik do Procedury. Za jej uzupełnianie jest odpowiedzialna osoba, która pobiera dokumenty / wydaje dokumenty².

IV. Przekazanie i zwrot dokumentów

1. Za zapewnienie właściwego zabezpieczenia nośników danych osobowych podczas transportu odpowiada osoba, która zabiera te nośniki poza obszar stałego przetwarzania.

2. Biorąc pod uwagę poufność transportowanych danych osoba odpowiedzialna za ich przewiezienie, powinna jechać do siedziby klienta najkrótszą drogą, unikając przystanków, które nie są faktycznie niezbędne.

3. Jeżeli transport dokumentów jest realizowany przez inną osobę, niż ta która będzie z nich korzystać poza miejscem stałego przetwarzania / dokona odbioru dokumentów, to ich przekazanie odbywa się na podstawie pokwitowania, na którym potwierdzana jest przekazywana zawartość (liczba i rodzaj przekazanych nośników).

4. Osoba dokonująca odbioru nośników w siedzibie klienta, dokonuje weryfikacji ich kompletności.

5. Zwrot nośników z danymi osobowymi realizuje się na tych samych zasadach, co wydanie nośników poza stały obszar przetwarzania w zakresie ich zabezpieczenia oraz pokwitowania przekazania.

6. Każdy zwrot nośników danych osobowych jest odnotowywany przez Specjalistę ds. bezpieczeństwa informacji przyjmującego te nośniki w Ewidencji przekazanych nośników danych osobowych, po zweryfikowaniu kompletności zwróconych nośników.

Ewidencja przekazanych nośników danych osobowych

1. 1/2024

2. 2024-01-15

3. Informacja o przekazywanych nośnikach danych osobowych:

1. Umowy z klientami ..............................................................................................................

2. Pendrive ..............................................................................................................

3. 1 szt. ..................................................................................................

4. Jan Kowalski ............................................................................................

5. ul. Kwiatowa 1, 00-000 Warszawa ....................................................................................................

6. PESEL, imię, nazwisko, adres ..............................................................................................

7. [podpis] ........................................................................................

8. 2024-01-15 ...........................................................................................................

9. Brak uwag ....................................................................................................................................

10. [podpis] .............................................................................................

¹ Można wskazać inną, dogodną formę wyrażenia zgody, np. Plik elektroniczny, w którym są wpisywane uprawnienia pracowników do poszczególnych działań.

² Wybrać opcję w zależności od wewnętrznych uzgodnień.