Procedura stosowania zasad Privacy by design i Privacy by default

Procedura stosowania zasad Privacy by design i Privacy by default

Rozdział 1Zagadnienia ogólne

1. Niniejsza Procedura ma na celu wdrożenie do Polityki Bezpieczeństwa Danych Osobowych zasadę privacy by design, stosownie do art. 25 ust. 1 RODO oraz zasadę privacy by default, stosownie do art. 25 ust. 2 RODO.

2. Użyte zwroty i definicje są tożsame ze wskazanymi w Polityce Bezpieczeństwa przyjętej u CyberSec Solutions Sp. z o.o..

3. Niniejszy dokument dotyczy zarówno procesów już wdrożonych, jak i tych dopiero wdrażanych. Bez znaczenia pozostaje również fakt, czy zmiany wynikają z decyzji CyberSec Solutions Sp. z o.o., Zarządu, czy spowodowane są nowelizacją przepisów.

4. Nadrzędnym celem niniejszego dokumentu jest zapobieżenie wystąpienia naruszenia przetwarzania danych osobowych oraz należyta realizacja praw osób fizycznych.

5. Procedura ma zastosowanie do:

1) wszystkich procesów przetwarzania danych osobowych.

2) usług świadczonych na rzecz klientów - o ile CyberSec Solutions Sp. z o.o. nie dostarcza oprogramowania, sprzętu.

6. Analizy wykonywane w związku z realizacją niniejszej Procedury są dokumentowane w formie pisemnej.

7. Zmiany w procesie przetwarzania danych osobowych są okolicznością szczególnie obciążającą administratora odpowiedzialnością za zmaterializowanie się zagrożeń związanych z niedopełnieniem powyższych obowiązków.

8. Względy natury ekonomicznej nie powinny być traktowane jako podstawy do sprzecznego z prawem przetwarzania danych osobowych.

9. Procedura ma na celu zapewnienie, że dane osobowe będą chronione przez cały cykl istnienia określonego procesu, poprzez jego etapy: projektowania, wdrażania, sprawdzania i korekt.

10. Niniejsza procedura powinna być uwzględniona, gdy CyberSec Solutions Sp. z o.o. dokonuje zmiany w funkcjonującym procesie przetwarzania, która wiąże się ze zmianą zasad lub sposobów przetwarzania danych osobowych, w szczególności związanych z działaniami:

1) pozyskiwania, przetwarzania i wykorzystywania danych, a zwłaszcza monitorowaniem działalności użytkowników.

2) przechowywania danych.

3) udostępniania danych, w szczególności poprzez:

a) publikowanie na stronie internetowej

b) wykorzystanie plików cookies na stronie internetowej i innych serwisach.

4) usuwania danych.

5) anonimizowania danych.

6) profilowania, który związany jest z potrzebą przetwarzania danych behawioralnych.

7) wprowadza nową czynność przetwarzania, które wiążą się z przetwarzaniem danych osobowych.

Rozdział 2Privacy by design

11. Wdrożenie nowego procesu należy poprzedzić etapem projektowania.

12. Wdrażając nowy proces CyberSec Solutions Sp. z o.o. stosuje następujące zasady:

1) podejście proaktywne, niereaktywne i zaradcze, nienaprawcze,

2) prywatność jako ustawienie domyślne,

3) prywatność włączona w projekt,

4) ochrona od początku do końca cyklu życia informacji,

5) widoczność i przejrzystość,

6) poszanowanie dla prywatności użytkowników.

13. CyberSec Solutions Sp. z o.o. przedstawia zamiar nowego proces przetwarzania lub jego modyfikacji Administratorowi Bezpieczeństwa Informacji, Inspektorowi Ochrony Danych, Radcy Prawnemu oraz Specjaliście ds. bezpieczeństwa/ innym pracownikom posiadającym wiedzę merytoryczna w sprawie.

14. W sytuacji gdy produkt bądź usługa znajduje się w etapie rozwoju, Administrator Bezpieczeństwa Informacji i Inspektor Ochrony Danych rozważają procedury gromadzenia, przechowywania i używania danych, aby móc zaprojektować najlepszy sposób ochrony danych osobowych.

15. Specjalista ds. Bezpieczeństwa IT wskazuje optymalne technologie służące zabezpieczeniu procesu oraz określa możliwe koszty zabezpieczenia informatycznego.

16. Inspektor Ochrony Danych dokonuje oceny nowego procesu poprzez jej konfrontację z zasadą legalności, rzetelności i przejrzystości, zasadą ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności.

17. Radca Prawny dokonuje oceny na temat możliwości zrobienia Data Protection Impact Assessment.

18. W przypadku gdy proces nowy proces odbywa się wyłącznie poprzez przyjęcie ustawy nakładającej obowiązek podania danych osobowych Inspektor Ochrony Danych oraz Radca Prawny przedstawiają opinie na temat zasad legalności, szczególnie uwzględniając standard art. 51 (ust. 1-4) Konstytucji RP.

19. Etap wdrożenia rozpoczyna się, gdy Inspektor Ochrony Danych dokona weryfikacji procesu przetwarzania przez pryzmat zasad przetwarzania określonych w art. 5 RODO.

20. Administrator Bezpieczeństwa Informacji przedstawia opinie na temat wiedzy technicznej- jeśli przetwarzanie odbywa się w sposób automatyczny.

21. Inspektor Ochrony Danych tak opracowuje proces przetwarzania, aby zapewnić respektowanie praw podmiotów danych określonych w art. 12-22 RODO.

22. Administrator Bezpieczeństwa Informacji dokonuje identyfikacji i pomiaru ryzyka.

23. Obowiązkiem CyberSec Solutions Sp. z o.o. wobec już zidentyfikowanego i ocenionego ryzyka będzie podjęcie działań zmierzających do zmniejszenia ryzyka jego wystąpienia.

24. Wszyscy pracownicy zaangażowani oceniając procedurę powinni wskazać:

1) zdarzenia zwiększające wystąpieniu naruszeniu danych osobowych w ramach wskazanego procesu;

2) potencjalne możliwości naruszenia praw i wolności osób fizycznych;

3) dotychczas stosowane środki zabezpieczające wraz z opinią, czy były one wystarczające;

4) możliwość realizacji praw osób, których dane dotyczą;

5) konieczność przeprowadzenia zmian w sytuacji, gdy dotychczas było to niewystarczające.

25. CyberSec Solutions Sp. z o.o. w każdym momencie posiada możliwość wdrożenia dodatkowych środków w celu dostosowania ich do potencjalnego wzrostu ryzyka.

26. Do analizy należy uwzględnić środki techniczne oraz organizacyjne. Środki techniczne i organizacyjne oraz niezbędne zabezpieczenia mogą być rozumiane w szerokim znaczeniu jako dowolna metoda lub środek, które administrator może zastosować w procesie przetwarzania. Zaleca się stosowanie pisemnego wykazu stosowanych środków. Wykaz ten może ulegać zmianie ze względu na potrzeby CyberSec Solutions Sp. z o.o., zmieniające się uwarunkowania technologiczne oraz przepisy prawa.

27. Ustalając niezbędne środki, administratorzy muszą brać pod uwagę charakter, zakres, kontekst i cel przetwarzania danych.

28. Pracownicy powinni zostać przeszkoleni w zakresie obsługi systemów informatycznych oraz związanej z zakresu postępowania z naruszeniami danych osobowych.

29. Ochrona danych osobowych powinna następować na każdym etapie.

30. Odpowiedzialność CyberSec Solutions Sp. z o.o. nie kończy się na zastosowaniu odpowiednich środków bezpieczeństwa przy gromadzeniu danych: ochrona danych i ochrona prywatności trwa od momentu pozyskania danych, aż do momentu ich zniszczenia.

Rozdział 3Privacy by default

29 CyberSec Solutions Sp. z o.o. powinien wybrać i odpowiadać za wdrożenie domyślnych ustawień ochrony danych i opcji w taki sposób, aby jedynie przetwarzanie, które jest ściśle niezbędne do osiągnięcia określonego, zgodnego z prawem celu, było realizowane domyślnie.

30 CyberSec Solutions Sp. z o.o. zbiera tylko taką ilość danych jaką potrzebuje, zgodnie z zasadą minimalizacji.

31 Oceniając proces przetwarzania danych pracownicy biorą pod uwagę :

1) Zakres przetwarzanych danych, w kontekście minimalizacji danych, w tym zasadę minimalizmu z art. 5 RODO oraz standard art. 51 Konstytucji RP.

2) Okres przetwarzania danych;

3) Sposób udostępniania poprzez upublicznienie danych osobowych;

4) W sytuacji wpłynięcia wniosków o udostępnienie informacji - zakres udostępnionych danych osobowych w trybie RODO.

32. CyberSec Solutions Sp. z o.o. stosując system upoważnień do przetwarzania danych osobowych wprowadza ograniczenia dotyczące dostępu do danych osobowych oraz rodzaju tego dostępu na podstawie oceny konieczności, a także sprawdzić, czy dane osobowe są rzeczywiście dostępne dla podmiotów, którym są one potrzebne w razie potrzeby, na przykład w sytuacjach nadzwyczajnych. Kontroli dostępu należy przestrzegać podczas całego przepływu danych w ramach przetwarzania.

33. Administrator Bezpieczeństwa Informacji raportuje CyberSec Solutions Sp. z o.o. błędy oraz uchybienia, a także z własnej inicjatywy przedstawia wnioski, gdy zauważy taka potrzebę.

34. W sytuacji gdy wprowadzono nową czynność przetwarzania, lub w sposób istotny zmodyfikowano już istniejącą pracownicy są zobligowani do przeszkolenia się.

35. CyberSec Solutions Sp. z o.o. nadają upoważnienia do przetwarzania danych ogranicza dostęp do danych zgodnie z zasadą najmniejszych przywilejów.

36. Użytkując program CRM zwraca uwagę aby:

1) ilość zbieranych i przetwarzanych danych osobowych powinna być ograniczona do tego, co jest zgodne z prawem i bezwzględnie konieczne.

2) przetwarzane dane były szyfrowane lub pseudonimizowane we wszystkich możliwych sytuacjach.

3) przetwarzane dane wrażliwe były oddzielone od pozostałych przetwarzanych danych.

4) w oprogramowaniu własnym lub zewnętrznym:

a) wszystkie konfiguracje przyjazne dla prywatności były domyślnie włączone.

b) śledzenie aktywności użytkownika powinno być domyślnie wyłączone.

c) geolokalizacja powinien być domyślnie wyłączony.

d) administrator stara się usunąć wychwycone słabości i luki w oprogramowaniu również w sytuacji gdy jest to oprogramowanie zewnętrzne.

5) w sytuacji, gdy zakupiony program posiada dodatkowe funkcjonalności, które mogą stanowić niebezpieczeństwo dla prywatności, stara się wyłączyć te funkcje.

37. Wdrożony proces przetwarzana podlega sprawdzaniu przez Inspektora Ochrony Danych.

38. Po rozpoczęciu czynności przetwarzania Inspektor Ochrony Danych sprawdza, czy wymagane jest ponowne przeprowadzenie ocen zagrożeń bezpieczeństwa i wpływu na ochronę danych, które zostały ukończone w fazie wymagań. Inspektor Ochrony Danych dokumentuje przeprowadzoną analizę.

39. Administrator Bezpieczeństwa Informacji monitoruje bezpieczeństwo systemów informatycznych, sieci i aplikacji w celu wykrycia podejrzanej aktywność, która może wykorzystać luki w oprogramowaniu, skutkujące incydentami związanymi z ochroną i bezpieczeństwem danych.

40. W przypadku incydentu Administrator Bezpieczeństwa Informacji analizuje, przegląda logi, uzyskuje przegląd tego, co się stało, oraz określa zakres szkód.

41. W przypadku skargi, która wpłynęła od klienta, Inspektor Ochrony Danych kontaktuje się z Administratorem Bezpieczeństwa Informacji (jeśli naruszenie jest związane z działaniem systemów informatycznych) oraz Radcą Prawnym.

42. W pełni wdrożona czynność przetwarzana powinna przechodzić korekty.

43. O wykrytych lukach mających związek z naruszeniem przetwarzanych danych Administrator Bezpieczeństwa Informacji informuje Inspektora Ochrony Danych. Incydentom związanym z bezpieczeństwem należy nadać wysoki priorytet.

44. Inspektor Ochrony Danych sprawdza, czy zagrożenia stanowią rzeczywiste naruszenia bezpieczeństwa, czy są fałszywymi alarmami.

45. W przypadku awarii należy stosować procedury związane z planem Business Continuity Plan działania i odtwarzania systemów po awarii.

46. W przypadku stale powtarzających się incydentów, które kwalifikowane są jako naruszenie danych osobowych należy rozważyć zmianę czynności przetwarzania - w zakresie niezbędnym (zmianę oprogramowania, uprawnień, etc.)

47. W ramach cyklicznych szkoleń Administrator Bezpieczeństwa Informacji oraz Inspektor Ochrony Danych przeprowadza szkolenie w zakresie reagowania na incydenty obejmujące procedury postępowania.

Rozdział 4Szczególne obowiązki związane z poszczególnymi czynnościami przetwarzania danych

I. Upublicznianie danych w Biuletynie Informacji Publicznej związanych z nowym procesem

1. W sytuacji zamieszczenia danych w Biuletynie Informacji Publicznej administrator uwzględnia przepisy ustawy o dostępie do informacji publicznej przyjętej w 2001 roku.

2. Danych osobowych nie zamieszcza się, a upublicznione uchyla, jeżeli nie jest to niezbędne do celów ich przetwarzania oraz jeżeli nie istnieje inny zgodny cel i podstawa prawna zgodna z art. 6 bądź art. 9 RODO.

3. Każde upubliczniane danych poprzez Biuletyn Informacji Publicznej powinno być w razie potrzeby obiektywnie uzasadnione przez administratora danych zgodnie z zasadą rozliczalności.

4. Brak jednak określonych przepisami prawa terminów przetwarzania udostępnionych dokumentów (zawierających dane osobowe) nie powoduje, że dokumenty takie można przetwarzać bezterminowo.

5. Szczegóły upubliczniania znajdują się w instrukcji upubliczniania informacji.

II. Podpisanie umowy

1. Jeżeli administrator korzysta z oprogramowania do zarządzania dokumentami lub oprogramowania dostępnego na rynku, powinien przeprowadzić ocenę ryzyka związanego z produktem i upewnić się, że jego funkcje, które nie mają podstawy prawnej lub nie są zgodne z zamierzonymi celami przetwarzania, zostaną wyłączone.

2. W sytuacji gdy realizacja czynności przetwarzania związana jest podpisywanie umów z klientami, w których zachodzić będzie powierzenie przetwarzania danych osobowych Inspektor Ochrony Danych przed podpisaniem umowy zwraca się do:

1) Radcy Prawnego w celu uzyskania opinii na temat danych, które są niezbędne dla zrealizowania zadania i wymagają powierzenia przetwarzania.

2) Specjalisty ds. bezpieczeństwa IT w celu uzyskania opinii o wymaganych zabezpieczeniach - informuje o kosztach.

3. W sytuacji gdy zachodzi powierzenie przetwarzania danych osobowych administrator określa:

1) wdrożenie odpowiednich środków technicznych i organizacyjnych, takich jak np. szyfrowanie, zaprojektowane w celu skutecznej realizacji zasad ochrony danych.

2) w momencie podpisywania umowy - administrator wskaże podstawowe warunki dotyczące zabezpieczania danych osobowych, które następnie zostaną doprecyzowane w załączniku. Powyższe dotyczy w szczególności zagadnień przekazywania danych poza obszar EOG.

3) W przypadku transgranicznego przekazywania danych osobowych należy włączyć Inspektora Ochrony Danych w proces. CyberSec Solutions Sp. z o.o. zwraca uwagę na dostarczenie mu pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, administrator

III. Udostępnianie danych

1. Pracownicy są zobligowania do sprawdzania, a w razie wątpliwości konsultowania z Inspektorem Ochrony Danych udostępniania danych innym podmiotom. W szczególności dotyczy to innych firm, organów państwowych, organów ścigania, osób fizycznych, pod względem legalizmu.