Polityka ochrony danych osobowych
21-12-2023 2024-02-09 9:28Polityka ochrony danych osobowych
Instytut Rozwoju i Nauki
Polityka ochrony danych osobowych
1. Wstęp
Polityka Bezpieczeństwa Przetwarzania Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez administratora Music Promotions Sp. z o.o. w Kielcach w celu spełnienia wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).
Polityka niniejsza stanowi jeden ze środków organizacyjnych, mających na celu również wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem.
Wszystkie osoby uczestniczące w przetwarzaniu danych osobowych u administratora zobowiązane są stosować się do zasad zawartych w niniejszej Polityce.
Polityka Bezpieczeństwa Przetwarzania Danych Osobowych reguluje w szczególności zadania i uprawnienia osoby odpowiedzialnej u administratora za bezpieczeństwo danych osobowych, środki organizacyjne i techniczne ochrony danych osobowych oraz zasady postępowania w przypadku stwierdzenia naruszenia lub zagrożenia naruszenia ochrony danych osobowych.
Załącznikiem do niniejszej Polityki Bezpieczeństwa Przetwarzania Danych Osobowych jest podlegająca wdrożeniu w Music Promotions Sp. z o.o. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (zwana dalej Instrukcją zarządzania systemem informatycznym ODO), określająca szczegółowe zasady zarządzania tym systemem w sposób gwarantujący bezpieczeństwo danych osobowych.
Podstawowym zadaniem Polityki Bezpieczeństwa Przetwarzania Danych Osobowych jest zapewnienie, że dane osobowe będą:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
- prawidłowe i w razie potrzeby uaktualniane,
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
2. Definicje
Przez użyte w Polityce określenia należy rozumieć:
- dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
- przetwarzanie danych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
- administrator danych osobowych lub w skrócie administrator – Music Promotions
Sp. z o.o. z siedzibą ul. Nowy Świat 28, 25-522 Kielce, wpisana do Rejestru Przedsiębiorców KRS pod nr: 0001032499, NIP: 9592061542, REGON: 525113640; - Polityka – niniejszą Politykę Bezpieczeństwa Przetwarzania Danych Osobowych;
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
- zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów;
- system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
- administrator systemu informatycznego – osoba nadzorująca pracę systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień;
- użytkownik – pracownik lub inna osoba zatrudniona przez administratora danych osobowych lub z nim współpracująca posiadająca uprawnienia do pracy w systemie informatycznym zgodnie ze swoim zakresem obowiązków;
- osoba przetwarzająca dane osobowe – pracownik lub inna osoba zatrudniona przez administratora danych osobowych lub z nim współpracująca uczestnicząca w przetwarzaniu danych osobowych;
- incydent – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
- zagrożenie – potencjalna możliwość wystąpienia incydentu;
- działanie korygujące – działanie przeprowadzane w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji;
- działanie zapobiegawcze – działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądanej;
- kontrola – systematyczna, niezależna i udokumentowana ocena bezpieczeństwa przetwarzania danych osobowych, na podstawie wymagań ustawowych, Polityki i instrukcji;
- osoba odpowiedzialna za bezpieczeństwo danych – kierownik jednostki organizacyjnej bądź inna osoba upoważniona przez administratora do wykonywania zadań z zakresu bezpieczeństwa danych osobowych.
3. Osoba odpowiedzialna za bezpieczeństwo danych
§ 1
Do zadań osoby odpowiedzialnej za bezpieczeństwo danych należy:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
- monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz niniejszej Polityki w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitoruje jej wykonanie zgodnie z art. 35 RODO,
- współpraca z organem nadzorczym,
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
- stały nadzór nad treścią niniejszej Polityki Bezpieczeństwa,
- sprawdzanie zgodności przetwarzania danych osobowych z RODO, innymi przepisami prawa oraz z zasadami niniejszej Polityki,
- udzielanie odpowiedzi na zapytania kierowane do administratora przez podmioty zewnętrzne dotyczące administrowanych zbiorów danych osobowych,
- zapewnianie przetwarzania danych osobowych zgodnie w wymaganiami RODO, innych obowiązujących przepisów prawa oraz z niniejszą Polityką,
- nadawanie poszczególnym pracownikom lub innym osobom przetwarzającym dane osobowe upoważnień do przetwarzania danych osobowych oraz anulowanie tych upoważnień,
- prowadzenie szkoleń z zakresu ochrony danych osobowych dla osób przetwarzających te dane,
- prowadzenie: ewidencji osób upoważnionych do przetwarzania danych osobowych, rejestru czynności przetwarzania danych osobowych, ewidencji incydentów i podejrzeń incydentów, ewidencji żądań osób których dane dotyczą,
- prowadzenie postępowania wyjaśniającego w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych,
- nadzór nad bezpieczeństwem danych osobowych,
- kontrola działań komórek organizacyjnych administratora danych osobowych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
§ 2
Osoba odpowiedzialna za bezpieczeństwo danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
§ 3
Osoba odpowiedzialna za bezpieczeństwo danych ma prawo:
- wyznaczania i egzekwowania wykonania zadań związanych z ochroną danych osobowych w całej organizacji,
- wstępu do pomieszczeń, w których zlokalizowane są zbiory danych osobowych i w których dokonywane są operacje przetwarzania danych oraz przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z RODO, innymi przepisami prawa oraz niniejszą Polityką,
- żądać okazania wszelkich dokumentów związanych z przetwarzaniem danych osobowych oraz złożenia przez właściwe osoby pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego,
- żądać wszelkich informacji dotyczących przetwarzania danych osobowych od osób przetwarzających te dane,
- żądać udostępnienia wszelkich urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.
4. Środki organizacyjne i techniczne ochrony danych osobowych
§ 1
Do organizacyjnych i technicznych środków ochrony danych osobowych stosowanych przez Administratora danych należą w szczególności:
- wdrożenie Polityki Bezpieczeństwa Przetwarzania Danych Osobowych,
- wdrożenie Instrukcji zarządzania systemem informatycznym ODO,
- wyznaczenie osoby odpowiedzialnej za bezpieczeństwo danych,
- dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających ważne i aktualne upoważnienia nadane w imieniu administratora przez osobę odpowiedzialną za bezpieczeństwo danych,
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych,
- zaznajomienie osób przetwarzających dane osobowe z przepisami dotyczącymi ochrony danych osobowych, w szczególności z regulacjami RODO oraz zapoznanie ich z zabezpieczeniami systemu informatycznego,
- zobowiązanie osób przetwarzających dane osobowe do zachowania ich w tajemnicy,
- przetwarzanie danych osobowych w warunkach zabezpieczających je przed ujawnieniem osobom nieupoważnionych,
- zakaz przebywania osób nieupoważnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe bez jednoczesnej obecności osoby upoważnionej do przetwarzania danych osobowych lub bez zachowania warunków zapewniających bezpieczeństwo danych,
- dopuszczalność powierzenia przetwarzania danych osobowych podmiotom zewnętrznym wyłącznie na podstawie pisemnych umów,
- obowiązek przestrzegania przez pracowników zasady „czystego biurka” w miejscach, gdzie przetwarzane są dane w formie papierowej, zakaz pozostawiania materiałów zawierających dane osobowe w miejscach umożliwiających fizyczny dostęp do nich osobom nieupoważnionym,
- obowiązek przechowywania dokumentacji papierowej oraz nośników elektronicznych w szafach zamykanych na klucz,
- obowiązek niszczenia zbędnych materiałów zawierających dane osobowe (np. brudnopisów) w sposób uniemożliwiający odtworzenie ich treści (np. przy użyciu niszczarek),
- zakaz wynoszenia materiałów zawierających dane osobowe poza miejsce ich przetwarzania bez związku z czynnościami służbowymi,
- obowiązek zamykania na klucz pomieszczeń, w których przetwarzane są dane osobowe lub w których znajdują się materiały zawierające dane osobowe podczas każdej, w tym także chwilowej, nieobecności pracowników,
- zobowiązanie użytkowników urządzeń IT, oprogramowania i systemu informatycznego do pracy na własnym koncie, które nie może być udostępniane innym osobom,
- obowiązek zabezpieczenia kont użytkowników trudnymi do odgadnięcia hasłami podlegającymi zmianie z odpowiednią częstotliwością, które nie mogą być ujawniane innym osobom ani umieszczane w miejscach, gdzie inne osoby mogłyby się z nimi zapoznać, nakaz natychmiastowej zmiany hasła w przypadku jego ujawnienia,
- zakaz uruchamiania niezweryfikowanych programów i aplikacji,
- zakaz przechowywania plików zawierających dane na nośnikach, do których mogłyby mieć dostęp osoby nieuprawnione,
- obowiązek uniemożliwiania osobom nieupoważnionym wglądu do danych wyświetlanych na monitorach urządzeń IT (zasada „czystego ekranu”).
§ 2
Zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej stosuje się dla fizycznych elementów systemu, ich połączeń oraz systemów operacyjnych. Szczegółowy opis zabezpieczeń zawarty jest w Instrukcji zarządzania systemem informatycznym ODO.
§ 3
Zabezpieczenia narzędzi programowych i baz danych (techniczne i programowe) stosuje się dla procedur, aplikacji, programów i innych narzędzi programowych przetwarzających dane osobowe. Szczegółowy opis zabezpieczeń zawarty jest w Instrukcji zarządzania systemem informatycznym ODO.
5. Postępowanie w przypadku stwierdzenia incydentu lub zagrożenia
§ 1
- Każdy pracownik, który poweźmie wiadomość o zagrożeniu lub incydencie zobowiązany jest niezwłocznie poinformować o tym fakcie bezpośredniego przełożonego oraz osobę odpowiedzialną za bezpieczeństwo danych.
- W przypadku wskazanym w ustępie 1 pracownik nie powinien bez uzasadnionej przyczyny opuszczać miejsca zagrożenia lub incydentu do czasu przybycia osoby odpowiedzialnej za bezpieczeństwo danych lub innej upoważnionej osoby oraz stosownie do potrzeb i możliwości powinien podjąć czynności zapobiegające powstaniu negatywnych skutków, jak również powstrzymać się od działań, które mogłyby utrudnić ustalenie lub udokumentowanie zdarzenia oraz stosować się do dyspozycji osoby odpowiedzialnej za bezpieczeństwo danych lub uprawnionego przełożonego.
§ 2
Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
- niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
- niewłaściwe zabezpieczenie sprzętu IT lub oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
- nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf).
§ 3
Do typowych incydentów bezpieczeństwa danych osobowych należą:
- zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
- zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych),
- umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
§ 4
W przypadku stwierdzenia wystąpienia zagrożenia osoba odpowiedzialna za bezpieczeństwo danych prowadzi postępowanie wyjaśniające, w toku którego:
- ustala zakres, charakter i przyczyny zagrożenia oraz jego ewentualne skutki i osoby za nie odpowiedzialne,
- w razie potrzeby podejmuje odpowiednie działania wobec osób odpowiedzialnych za zagrożenie, w szczególności inicjuje działania dyscyplinarne,
- rekomenduje działania zmierzające do eliminacji podobnych zagrożeń w przyszłości,
- dokumentuje prowadzone czynności.
§ 5
W przypadku stwierdzenia incydentu osoba odpowiedzialna za bezpieczeństwo danych prowadzi postępowanie wyjaśniające, w toku którego:
- ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
- zabezpiecza ewentualne dowody,
- ustala osoby odpowiedzialne za naruszenie,
- podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),
- inicjuje działania dyscyplinarne,
- wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
- dokumentuje prowadzone czynności,
- bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
6. Procedura działań korygujących i zapobiegawczych
§ 1
- Procedurę działań korygujących i zapobiegawczych wprowadza się w celu uregulowania czynności związanych z podejmowaniem oraz realizacją działań korygujących i zapobiegawczych w wypadku zaistnienia incydentów lub zagrożeń.
- Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w których incydenty lub zagrożenia mogą wpłynąć na zgodność z wymaganiami RODO, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych.
- Osobą odpowiedzialną za nadzór nad procedurą jest osoba odpowiedzialna za bezpieczeństwo danych.
§ 2
- Osoba odpowiedzialna za bezpieczeństwo danych jest zobowiązana dokonywać analizy incydentów lub zagrożeń oraz oceny potrzeby podjęcia działań korygujących lub zapobiegawczych. Typowymi źródłami informacji o incydentach lub zagrożeniach są:
- zgłoszenia od pracowników i klientów,
- własne spostrzeżenia osoby odpowiedzialnej za bezpieczeństwo danych,
- wyniki kontroli.
- W przypadku konieczności podjęcia działań korygujących lub zapobiegawczych osoba odpowiedzialna za bezpieczeństwo danych określa zakres tych działań, termin ich realizacji oraz osobę odpowiedzialną za ich wykonanie.
- Osoba odpowiedzialna za bezpieczeństwo danych nadzoruje poprawność i terminowość wdrażanych działań korygujących lub zapobiegawczych a po ich przeprowadzeniu ocenia efektywność ich zastosowania.
- Osoba odpowiedzialna za bezpieczeństwo danych dokumentuje podjęte działania.
7. Kontrola bezpieczeństwa przetwarzania danych osobowych
§ 1
Do kontroli stanu bezpieczeństwa przetwarzania danych osobowych upoważnieni są: osoba odpowiedzialna za bezpieczeństwo danych oraz kontrolerzy wewnętrzni wyznaczeni przez administratora danych osobowych.
§ 2
Kontroli podlegają zabezpieczenia fizyczne, techniczne i organizacyjne, systemy informatyczne przetwarzające dane osobowe, bezpieczeństwo osobowe, przestrzeganie przez osoby przetwarzające dane uregulowań RODO i innych obowiązujących norm prawnych oraz faktyczna zgodność wszystkich przeprowadzanych procesów przetwarzania danych osobowych z wymaganiami RODO oraz innymi powszechnie obowiązującymi przepisami prawa.
§ 3
Osoba odpowiedzialna za bezpieczeństwo danych przygotowuje plan kontroli, biorąc pod uwagę jej niezbędny zakres oraz potrzebne zasoby fizyczne i osobowe. Kontrola odbywa się nie rzadziej niż raz w roku.
§ 4
Po dokonanej kontroli osoba ją przeprowadzająca przygotowuje raport pokontrolny i przekazuje go administratorowi, kierownikowi kontrolowanej jednostki lub komórki organizacyjnej oraz osobie odpowiedzialnej za bezpieczeństwo danych. Na podstawie raportu pokontrolnego osoba odpowiedzialna za bezpieczeństwo danych inicjuje działania korygujące lub zapobiegawcze.
8. Sprawozdanie roczne stanu bezpieczeństwa przetwarzania danych osobowych
§ 1
Osoba odpowiedzialna za bezpieczeństwo danych przygotowuje coroczne sprawozdanie stanu bezpieczeństwa przetwarzania danych.
§ 2
W spotkaniu sprawozdawczym uczestniczą: osoba odpowiedzialna za bezpieczeństwo danych, kierownicy działów, w których przetwarzane są dane osobowe, administrator systemu informatycznego lub wyznaczony informatyk.
§ 3
Po odbyciu spotkania sprawozdawczego osoba odpowiedzialna za bezpieczeństwo danych przygotowuje raport o stanie bezpieczeństwa przetwarzania danych, który przedstawia administratorowi danych osobowych.
9. Szkolenia osób przetwarzających dane osobowe
§ 1
Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe oraz każda osoba przetwarzająca dane osobowe przed dopuszczeniem do ich przetwarzania winna być poddana przeszkoleniu w zakresie ochrony danych osobowych zgodnie z nadawanym upoważnieniem.
§ 2
Szkolenie przeprowadza osoba odpowiedzialna za bezpieczeństwo danych, a do jego organizacji zobowiązany jest przełożony szkolonych użytkowników lub osób przetwarzających dane osobowe.
§ 3
Zakres szkolenia powinien obejmować zaznajomienie szkolonych osób z:
- przepisami RODO,
- innymi powszechnie obowiązującymi przepisami prawa w zakresie ochrony danych osobowych,
- instrukcjami obowiązującymi u administratora danych osobowych,
- praktycznymi aspektami ochrony danych osobowych na stanowisku zajmowanym przez użytkownika.
§ 4
Po zakończeniu szkolenia przeszkolony użytkownik lub osoba przetwarzająca dane osobowe składa pisemne oświadczenie o odbyciu szkoleniu oraz o zrozumieniu objętych nim treści i zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych. Oświadczenie przechowywane jest w aktach osobowych użytkownika lub osoby przetwarzającej dane osobowe i stanowi warunek nadania takiej osobie upoważnienia do przetwarzania danych oraz uprawnienia do korzystania z systemu informatycznego przetwarzającego dane osobowe.
10. Postanowienia końcowe
§ 1
Kierownicy komórek organizacyjnych są obowiązani zapoznać z treścią niniejszej Polityki każdą osobę przetwarzającą dane osobowe.
§ 2
- Wszystkie osoby przetwarzające dane osobowe zobowiązane są do przestrzegania postanowień zawartych w niniejszej Polityce.
- Postanowienia niniejszej Polityki odnoszące się do pracowników mają odpowiednie zastosowanie do innych osób przetwarzających dane osobowe.
§ 3
Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki przez pracowników potraktowane będą jako ciężkie naruszenie podstawowych obowiązków pracowniczych.
§ 4
Postanowienia niniejszej polityki stosuje się odpowiednio do przetwarzania danych osobowych przez administratora jako podmiot przetwarzający na mocy umowy powierzenia przetwarzania danych osobowych.