Obserwuj nas:


Polityka firmy

 

WSTĘP:

Zarząd Michał Janas Consulting Sp. z o.o. świadom spoczywającego na nim obowiązku jako na Administratorze, podjął decyzję o ustanowieniu i wdrożeniu do stosowania Polityki Bezpieczeństwa Danych Osobowych. 
Celem niniejszego dokumentu jest kompleksowe uregulowanie postępowania w zakresie bezpieczeństwa danych osobowych w  Michał Janas Consulting Sp. z o.o. oraz realizacja wymagań wynikających z przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). (Dz.Urz. UE L 119z 4.05.2016, str.1).

DEFINICJE:

1. Polityka – należy przez to rozumieć „Politykę bezpieczeństwa danych osobowych w Michał Janas Consulting Sp. z o.o.
2. Dane osobowe – należy przez to rozumieć wszelkie informacje o zidentyfikowanej lub możliwej 
do zidentyfikowania osobie fizycznej.
3. Osoba fizyczna możliwa do zidentyfikowania – należy przez to rozumieć osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego: jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy bądź jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
4. Zbiór danych – należy przez to rozumieć uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
5. Administrator (zwany dalej: ADO) – należy przez to rozumieć  Michał Janas Consulting 
Sp.z o.o. ul. Krośnieńska 32/2, 35-505 Rzeszów, KRS 0000647713, NIP 8133731095, REGON 365889663,  która samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych.
6. Podmiot przetwarzający – należy przez to rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.
7. Odbiorca – należy przez to rozumieć  osobę fizyczną  lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
8. Przetwarzanie danych – należy przez to rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
9. Naruszenie ochrony danych osobowych – należy przez to rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
10. Użytkownik – należy przez to rozumieć pracownika lub współpracownik MJC, stażysta lub praktykant, który został upoważniony do przetwarzania danych osobowych przetwarzanych w Spółce.
11. Organ nadzorczy –należy przez to rozumieć Prezesa Urzędu Ochrony Danych Osobowych.


POSTANOWIENIA OGÓLNE:

Niniejsza Polityka została opracowana na podstawie:
1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych zwane dalej: RODO).
2.    Wytycznych Grupy Roboczej Art.29 ds. Ochrony danych.
Polityka obowiązuje wszystkie osoby pracujące, a także współpracujące przy przetwarzaniu danych osobowych w Michał Janas Consulting Sp. z o.o. (zwanej dalej: MJC)

Przy przetwarzaniu danych osobowych w MJC stosuje się:

a)    zasadę legalności - oznaczającą, że  przetwarzanie danych osobowych  może odbywać się wyłącznie zgodnie z prawem.
b)    zasadę rzetelności i przejrzystości przetwarzania- oznaczającą, że dane osobowe powinny być przetwarzane w sposób rzetelny i przejrzysty,  a informacje kierowane do osoby, której dane dotyczą powinny być zwięzłe, łatwo dostępne i zrozumiałe oraz sformułowane jasnym 
i prostym językiem.
c)    zasadę celowości - oznaczającą, że dane osobowe mogą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny 
z tymi celami.
d)    zasadę adekwatności (proporcjonalności) danych - oznaczającą, że można przetwarzać tylko te dane, które są niezbędne do celu jaki MJC chce osiągnąć.
e)    zasadę prawidłowości danych - oznaczającą, że dane osobowe muszą być prawidłowe 
i w razie  potrzeby uaktualniane.
f)    zasadę ograniczenia czasowego - oznaczającą, że dane osobowe są przechowywane przez okres nie   dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane:
g)    zasadę integralności i poufności danych - oznaczającą, że dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i poufność,
h)    zasadę rozliczalności – oznaczającą, że  MJC jest odpowiedzialny za przestrzeganie przepisów prawa w zakresie ochrony danych osobowych i musi być w stanie wykazać ich przestrzeganie.

WYKAZ BUDYNKÓW I OBSZARÓW PRZETWARZANIA

Siedziba MJC znajduje się w budynku przy ul. Krośnieńskiej  32/2 w Rzeszowie. Obszary przetwarzania danych mieszczą się w  dwóch pomieszczeniach, w lokalu Nr 32 znajdującym się  
na pierwszym piętrze budynku. Dokumentacja archiwalna przechowywana jest w piwnicy budynku.

Każde z pomieszczeń jest zamykane na klucz.

W/w pomieszczenia są obszarami przetwarzania wszystkich zbiorów danych osobowych przetwarzanych w Spółce.

OPIS ZBIORÓW DANYCH OSOBOWYCH  : 

MJC jest Administratorem następujących zbiorów danych osobowych:
1.    Kontrahenci
2.    Wykonawcy
3.    Pracownicy
4.    Formularz kontaktowy.
5.    Newsletter
6.    Marketing

1.    Dane osobowe w zbiorze Kontrahenci zbierane są bezpośrednio 
od  Klientów tj. od osób fizycznych lub osób prowadzących działalność gospodarczych, korzystających z  usług świadczonych przez MJC.
a)    Celem przetwarzania jest realizacja umów z odbiorcami usług świadczonych przez MJC. Zbiór zawiera dane niezbędne do realizacji sprzedaży usług . 
b)    Struktura zbioru: Nazwa firmy, adres (kod pocztowy, miejscowość, ulica, 
nr    domu/mieszkania), NIP, REGON, numer telefonu, e-mail, , nr konta bankowego.
c)    Podstawa prawna przetwarzania: art. 6 ust. 1 b RODO.
d)     Dane ze zbioru przetwarzane są przez wszystkich pracowników Spółki.
e)    Dane występują w takich dokumentach jak: zamówienia, faktury VAT, umowy 
o świadczeniu usług, umów zlecenia itp.
f)    Przetwarzane są w formie papierowej oraz elektronicznej  w systemie CRM, MS Office.
g)    Zbiór ma charakter zbioru rozproszonego.
h)     Schemat przepływu danych pomiędzy systemami informatycznymi-brak automatycznych eksportów pomiędzy systemami.

2.    Dane osobowe w zbiorze Wykonawcy zbierane są bezpośrednio 
od wykonawców, dostawców i podwykonawców ( osób fizycznych lub osób prowadzących działalność gospodarczą) świadczących usługi lub dokonujących sprzedaży na rzecz  MJC.
a)    Celem przetwarzania jest realizacja umów z wykonawcami i podwykonawcami . Zbiór zawiera dane niezbędne do realizacji transakcji sprzedaży towarów i usług na rzecz MJC. 
b)     Struktura zbioru: nazwa firmy, adres (kod pocztowy, miejscowość, ulica, 
nr domu/mieszkania), NIP, REGON, numer telefonu, e-mail, nazwa usługi, wartość zamówienia, data zamówienia,  nr konta bankowego,
c)    Podstawa prawna przetwarzania: art. 6 ust. 1 b RODO. 
d)    Dane ze zbioru Wykonawcy  przetwarzane są przez wszystkich pracowników.
e)    Dane osobowe ze zbioru Kontrahenci występują w takich dokumentach jak: umowy cywilnoprawne,zamówienia, faktury  VAT.
f)    Przetwarzane są w formie papierowej oraz elektronicznej  w systemie CRM, MS  Office.
g)    Zbiór ma charakter zbioru rozproszonego. 
h)    Schemat przepływu danych pomiędzy systemami  informatycznymi- brak automatycznych eksportów pomiędzy systemami.

3.    Dane osobowe w zbiorze Pracownicy zbierane są bezpośrednio 
od   pracowników i współpracowników  oraz od kandydatów do pracy. 
a)    Celem przetwarzania stosunku pracy oraz umów cywilnoprawnych 
z współpracownikami (umowy zlecenie, umowy o dzieło). 
b)    Dane występują w takich dokumentach jak: umowy o pracę, wnioski pracownicze, ewidencje czasu pracy, curriculum vitae. 
c)    Zbiór Pracownicy zawiera dane pracowników, osób z którymi zawarto umowę 
o dzieło lub umowę zlecenia, praktykantów, stażystów, kandydatów do pracy. 
d)     Struktura zbioru: imię, nazwisko, data urodzenia, wykształcenie, przebieg dotychczasowego zatrudnienia, stanowisko, adres zamieszkania, nr PESEL, numer konta bankowego,
e)    Podstawa prawna przetwarzania: art. 6 ust. 1 a RODO (rekrutacja), art.6  ust. 1 c RODO (sprawy pracownicze),
f)    Dane przetwarzane są przez Prezesa Spółki oraz zewnętrzną firmę kadrowo-księgową w ramach zawartej umowy o świadczenie usług.
g)    Dane przetwarzane są w formie papierowej oraz elektronicznej  w systemie CRM, PŁATNIK, MS Office.
h)    Zbiór ma charakter zbioru rozproszonego. 
i)    Schemat przepływu danych pomiędzy systemami informatycznymi - brak automatycznych eksportów pomiędzy systemami.

4.    Dane osobowe w zbiorze Formularz kontaktowy  zbierane są bezpośrednio osób kontaktujących się ze Spółką przez stronę internetową  
a)    Celem przetwarzania jest realizacja uprawnień i obowiązków akcjonariuszy oraz Spółki. 
b)    Dane gromadzone są od użytkowników przez stronę.
c)    Struktura zbioru: imię, email, IP.
d)    Podstawa prawna przetwarzania: art. 6 ust. 1 a RODO. 
e)    Dane ze zbioru przetwarzane są przez wszystkich pracowników.
f)    Dane ze zbioru przetwarzane są w formie elektronicznej.
g)    Zbiór ma charakter zbioru rozproszonego. 
j)    Schemat przepływu danych pomiędzy systemami informatycznymi- brak automatycznych eksportów pomiędzy systemami.

5.    Dane osobowe w zbiorze  Newsletter  zbierane są bezpośrednio osób kontaktujących się ze Spółką przez stronę internetową  
a)    Celem przetwarzania jest  informacja o  spotkaniach,szkoleniach,nowych projektach.
b)    Dane gromadzone są od użytkowników przez stronę.
c)    Struktura zbioru: imię, email, IP,
d)    Podstawa prawna przetwarzania: art. 6 ust. 1 a RODO. 
e)    Dane ze zbioru przetwarzane są przez  wszystkich pracowników.
f)    Dane ze zbioru przetwarzane są w formie elektronicznej.
g)    Zbiór ma charakter zbioru rozproszonego. 
k)    Schemat przepływu danych pomiędzy systemami informatycznymi - brak automatycznych eksportów pomiędzy systemami.


6.    Dane osobowe w zbiorze  Marketing  zbierane są bezpośrednio osób kontaktujących się ze Spółką przez stronę internetową  
a)    Celem przetwarzania jest zbieranie danych w celach marketingowych tj.m.in.organizacji spotkań marketingowych z potencjalnymi klientami. 
b)    Dane gromadzone są od użytkowników przez stronę.
c)    Struktura zbioru: imię, nazwisko, email, IP.
d)    Podstawa prawna przetwarzania: art. 6 ust. 1 a RODO. 
e)    Dane ze zbioru przetwarzane są przez  wszystkich pracowników.
f)    Dane ze zbioru przetwarzane są w formie elektronicznej.
g)    Zbiór ma charakter zbioru rozproszonego. 
l)    Schemat przepływu danych pomiędzy systemami informatycznymi- brak automatycznych eksportów pomiędzy systemami.

Czynności przetwarzania danych osobowych w/w zbiorach  ujęte zostały w Rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO, stanowiącym Załącznik Nr 1 do niniejszej Polityki. Czynności przetwarzania  danych powierzonych przez podmioty zewnętrzne w celu realizacji usług przez MJC zostały ujęte w rejestrze czynności przetwarzania podmiotu przetwarzającego stanowiącym Załącznik Nr 2 do niniejszej Polityki.

MJC przetwarza również zbiory danych osobowych powierzonych jej przez podmioty publiczne 
i prywatne w ramach realizacji usług wykonywanych na ich rzecz. W stosunku do zbiorów danych osobowych MJC oraz jej pracownicy stosują zasady zabezpieczeń opisane w niniejszej Polityce. 

PROCEDURA ROZPOCZĘCIA/ ZAKOŃCZENIA ZATRUDNIENIA

1.    Użytkownik nie może zostać dopuszczony do pracy, w zakresie której znajduje się przetwarzanie danych osobowych, bez zaznajomienia z przepisami dotyczącymi ochrony danych osobowych, a także z treścią niniejszej Polityki .
2.    Fakt zapoznania się z Polityką oraz oświadczenie o zapoznaniu się 
z dokumentacją i zobowiązanie do jej przestrzegania musi być potwierdzone przez pracownika (użytkownika) stosownym oświadczeniem, którego wzór stanowi Załącznik Nr 3 do niniejszej Polityki.
3.    Oświadczenia o zachowaniu poufności przechowywane są w aktach osobowych.
4.    Pracownicy przetwarzający dane osobowe ze zbiorów przetwarzanych w MJC obowiązani są do zachowania ich w tajemnicy podczas wykonywania czynności służbowych, jak i po ustaniu zatrudnienia. 
5.    Najpóźniej w dniu zakończenia zatrudnienia Pracownikowi należy odebrać dostęp do przetwarzania danych osobowych, zarówno w wersji papierowej jak i w systemach informatycznych.


PROCEDURA NADAWANIA UPRAWNIEŃ:

1.    W  osobą uprawnioną do przetwarzania danych osobowych jest osoba, która uzyskała pisemne upoważnienie do przetwarzania danych osobowych.
2.    Upoważnienie dostępu do przetwarzania danych osobowych wydaje ADO. Prezes Zarządu samodzielnie decyduje o zakresie upoważnienia do przetwarzania danych osobowych.
3.    Upoważnienie wydaje się dla każdej osoby przetwarzającej dane osobowe w Spółce. Wzór upoważnienia stanowi Załącznik nr 4.   
4.    Każde upoważnienie jest rejestrowane w ewidencji upoważnień. Ewidencja powinna zawierać. Wzór ewidencji  stanowi Załącznik nr 5.   
5.     Użytkownik nie może zostać dopuszczony do pracy, w zakresie której znajduje się przetwarzanie danych osobowych bez posiadania stosownego upoważnienia dostępu 
do przetwarzania danych.

OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH ZASTOSOWANYCH DLA ZABEZPIECZENIA DANYCH OSOBOWYCH

Do zastosowanych przez Administratora i osoby przez niego upoważnione środków służących zapewnieniu poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych należą:

I.    ZABEZPIECZENIA ORGANIZACYJNE:

1.    opracowanie i wdrożenie Polityki bezpieczeństwa danych osobowych,
2.    do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez Administratora,
3.    prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych, 
4.    osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy,
5.    osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
6.    przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
7.    wprowadzono zapisy w zakresie postępowania z dokumentami po zakończonej pracy, postępowania w przypadku naruszenia bezpieczeństwa danych osobowych,
8.    przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
9.    dokumentacja zawierająca dane osobowe niszczona jest wyłącznie w niszczarce.
10.    dokumenty zawierające dane osobowe osób rekrutowanych niszczone są co 6 miesięcy, za protokolarnym potwierdzeniem z niszczenia nośników. 
11.    inne nośniki danych osobowych np. dyski sieciowe niszczone są za protokolarnym potwierdzeniem Wzór protokołu niszczenia nośników stanowi Załącznik Nr 6 do niniejszej Polityki.
12.     Spółka nie korzysta z obsługi w zakresie sprzątanie pomieszczeń przez podmioty zewnętrzne.

II.    ZABEZPIECZENIA FIZYCZNE : 

1.    stosuje się zabezpieczenia fizyczne dla danych przetwarzanych w formie papierowej polegające na przechowywaniu:
- dokumentacji bieżącej – w zamykanych szafach,
- dokumentacji pracowniczej –  w firmie zewnętrznej zajmującej się sprawami kadrowymi, której powierzono dane na podstawie umowy powierzenia.
- dokumentacji archiwalnej i dokumentacji pracowniczej archiwalnej  – w specjalnie do tego celu przeznaczonym pomieszczeniu archiwum
2.    pobieranie i wydawanie kluczy odbywa się na podstawie upoważnienia dla poszczególnych pracowników MJC.
3.    Pracownicy i współpracownicy zostali upoważnieni do osobistego całodobowego dostępu nad powierzonymi im kluczami do pomieszczeń nr 1 i nr 2 według Wykazu osób upoważnionych, którego wzór stanowi Załącznik Nr 7 do niniejszej Polityki,
4.    klucze przechowywane w bezpiecznym miejscu
5.    drzwi do budynków oraz pomieszczeń są zamykane na klucz, 
6.    w budynku znajduje się gaśnica ppoż,
7.    drzwi do pomieszczeń, gdzie przetwarzane są dane osobowe są zamykane na klucz,
8.    klucze zapasowe przechowywane są w wyznaczonych i zabezpieczonych miejscach,
9.    monitory komputerów ustawione w taki sposób, aby uniemożliwić wgląd 
w ekrany monitorów osobom nieuprawnionym,
10.    sprzęt: kopiarki, faksy, niszczarki  znajdują się pod dozorem osób uprawnionych.


III.    ZABEZPIECZENIA  INFRASTRUKTURY TELEINFORMATYCZNEJ:

1.    laptopy na których przetwarzane są dane osobowe są wynoszone poza siedzibę Spółki wyłącznie  przez osoby do tego upoważnione przez Prezesa Spółki.
2.    zastosowano serwer sieciowy.
3.    zastosowano UPS do serwera oraz komputerów, na których są przetwarzane dane osobowe,
4.    dostęp do komputerów  i laptopów zawierających dane osobowe odbywa się poprzez podanie loginów i haseł dedykowanych dla każdego z użytkowników ,
5.    w przypadku dostępu do danych osobowych przez Internet, stosuje się  szyfrowanie tego połączenia (SSL lub VPN),
6.    w przypadku dostępu do danych osobowych przez stronę internetową, należy uprzednio podać login i hasło,
7.    hasła do systemów it  każdy użytkownik zmienia maksymalnie raz na 6 mięsiecy,
8.    zastosowano system antywirusowy ESET na wszystkich komputerach i laptopach oraz na serwerze.
9.    użyto system Firewall do ochrony dostępu do sieci komputerowej.
10.     w przypadku konieczności zastosowanie zaszyfrowania danych przesyłanych pocztą elektroniczną stosuje się narzędzie szyfrowania w postaci VEraCrypt lub BOX Cryptor
11.    telefony służbowe zawierające dane osobowe są blokowane przez użytkowników hasłem zabezpieczającym przed nieupoważnionym dostępem.
12.    monitory komputerów ustawione w taki sposób, aby uniemożliwić wgląd 
w ekrany monitorów osobom nieuprawnionym,
13.    użytkownicy systemów/programów informatycznych posiadają w nich konta 
z określonymi uprawnieniami. Każdy użytkownik posiada osobne konto,
14.    hasła dostępu  do danych i programów , przekazywanych przez Klientów celem realizacji  przez MJC umów np. niezbędnych do złożenia wniosków o dofinansowanie są zabezpieczone przez pracowników MJC i nie udostępniane innym osobom/podmiotom,
15.    w sytuacji chwilowego opuszczenia zajmowanego pomieszczenia biurowego,
użytkownicy zobowiązani są do manualnej blokady komputera za pomocą skrótu na klawiaturze: „ctrl+alt+del” lub „windows +L”).

Szczegółowe  zasady zarządzania i zabezpieczenia systemów informatycznych w Spółce MJC zostały ujęte w Standardach Zabezpieczeń IT, stanowiących Załącznik Nr 8 do niniejszej Polityki.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH :

Powierzenie przetwarzania danych osobowych przez  MJC następuje na podstawie stosownych postanowień umownych zgodnych z  art.28 RODO. Każdy przypadek powierzenia danych powinien być objęty osobną umową powierzenia przetwarzania danych lub zapisy dotyczące powierzenia powinny być zawarte w każdej z umów głównych. Szablon umowy powierzenia przetwarzania danych osobowych  stanowi Załącznik Nr 9 do niniejszej Polityki.  Ewidencja umów stanowi Załącznik Nr 10 do niniejszej Polityki. 

OBOWIĄZKI OSÓB PRZETWARZAJACYCH  DANE OSOBOWE:

1.    Każdy  Użytkownik danych w MJC zobowiązany jest do:
a)    przestrzegania zasad wprowadzonych  przez Administratora w związku z ochroną danych osobowych, opisanych w niniejszej Polityce, a także do przestrzegania postanowień RODO,
b)    bezwzględnego korzystania z niszczarek w każdym przypadku niszczenia dokumentów zawierających dane osobowe,
c)    nieudostępniania danych osobowych osobom nieupoważnionym,
d)    ustawienia monitorów komputerów w taki sposób, aby dane na nich się znajdujące nie były widoczne dla osób postronnych. Niemożność ustawień komputerów z uwagi na zasady bhp i warunki techniczne powinny być zgłaszane do AD jako kontrolowane odstępstwa, 
e)    przechowywania dokumentacji papierowej w szafach zamykanych na klucz, z frontami uniemożliwiającymi wgląd z zewnątrz (aby nie było widać opisanych segregatorów zawierających dane osobowe lub dokumentacji znajdującej się na półkach, a zawierającej dane osobowe),
f)    przechowywania dokumentów archiwalnych wyłącznie w zamkniętych pomieszczeniach posiadających czujniki ppoż, 
g)    niezwłocznego informowania Prezesa Zarządu o zauważonych naruszeniach zasad ochrony bezpieczeństwa danych osobowych,
h)    zapamiętania indywidualnych identyfikatorów i haseł dostępu oraz 
do zachowania ich w ścisłej tajemnicy,
i)    zwracania szczególnej uwagi na zagrożenia, które mogą skutkować naruszeniem zasad ochrony bezpieczeństwa danych osobowych i do zapobiegania im,
j)    wykonywania poleceń ADO w zakresie ochrony danych osobowych i bezpieczeństwa systemu informatycznego,


PROCEDURA ZGŁASZANIA NARUSZEŃ OCHRONY DANYCH 

MJC dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta ma pozwolić organowi nadzorczemu weryfikowanie przestrzegania art. 30 RODO.
Każdy pracownik lub współpracownik  MJC w przypadku stwierdzenia naruszenia ochrony danych osobowych zobowiązany jest  niezwłocznie  (najpóźniej w ciągu 2 godzin od zaistnienia naruszenia) powiadomić o naruszeniu Zarząd  MJC.
Do czasu przybycia na miejsce naruszenia danych osobowych  Zarząd MJC  lub upoważnionej przez niego osoby, należy:
- niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia – o ile istnieje taka możliwość – a następnie uwzględnić 
w działaniu również ustalenie przyczyn lub sprawców naruszenia danych osobowych;
- udokumentować wstępnie zaistniałe naruszenie;
- nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia przez  Zarząd MJC  lub osoby przez niego upoważnionej.
Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, Zarząd MJC lub osoba przez niego upoważniona:
- zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania, mając na uwadze ewentualne zagrożenia dla prawidłowości pracy organizacji;
- może żądać dokładnej relacji z zaistniałego naruszenia lub ujawnienia ochrony danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem;
- rozważa celowość i potrzebę powiadomienia o zaistniałym naruszeniu lub ujawnieniu ochrony danych osobowych organów ścigania,
-  nawiązuje bezpośredni kontakt – jeżeli zachodzi taka potrzeba – ze specjalistami spoza organizacji.
MJC  następnie dokumentuje zaistniały przypadek naruszenia lub ujawnienia ochrony danych osobowych oraz sporządza raport, który powinien zawierać w szczególności takie elementy jak:
a)    opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywanie  kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b)    imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c)    opis możliwych konsekwencje naruszenia ochrony danych osobowych;
d)    opis środków zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zgodnie z art.33 RODO Zarząd MJC bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Zaistniałe naruszenie/ujawnienie ochrony danych osobowych może stać się przedmiotem szczegółowej analizy ryzyka prowadzonej przez  MJC.

MJC prowadzi Rejestr zidentyfikowanych naruszeń, w którym znajdują się zakres informacji objęty dyspozycją art. 30 RODO. Wzór rejestru naruszeń stanowi Załącznik Nr 11 do niniejszej Polityki. 
Do rejestru naruszeń należy wpisywać wszystkie zidentyfikowane naruszenia, nawet te, które nie zostały zgłoszone do Organu Nadzorczego z uwagi na brak naruszenia praw i wolności  osób, które dane dotyczą.

PROCEDURA REALIZACJI UPRAWNIEŃ OSÓB, KTÓRYCH DANE DOTYCZĄ

Zgodnie z art.13 RODO Administrator danych udostępnia osobom, których dane dotyczą następujące informacje :
a)    pełna nazwa Spółki oraz jej dane kontaktowe; 
b)    cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; 
c)    informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; 
d)    okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
e)     informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; 
f)    informacje o prawie wniesienia skargi do organu nadzorczego; 
g)    informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; 
h)    informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu..

W MJC  wprowadza się następujące sposoby postępowania w przypadku  złożenia  przez osobę fizyczną wniosku  o:

1)    sprostowanie jej danych ( na podstawie art.16 RODO) - Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Tym samym pracownik  MJC ma obowiązek sprostować dane w przypadku zaistnienia uzasadnionej prośby o sprostowanie.
2)    usunięcie danych  tzw. prawo do bycia zapomnianym (na podstawie art.17 RODO). Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wskazanych w art.17 RODO. Pracownik  MJC ma obowiązek przekazać taki wniosek do Prezesa Zarządu, który konsultuje zaistnienie podstawy prawnej usunięcia z Prawnikiem Spółki. W przypadku decyzji o usunięciu, dane usuwa się z systemu informatycznego oraz dokumentów papierowych. Informatyk Spółki po pozytywnym zaakceptowaniu takiego wniosku usuwa dane z systemu.
3)    ograniczenie przetwarzania danych (na podstawie art.18 RODO) -  Pracownik ma obowiązek przekazać taki wniosek do Prezesa Zarządu, który konsultuje zaistnienie podstawy prawnej usunięcia z  Prawnikiem Spółki. Jeżeli w wyniku decyzji przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. Ograniczenia przetwarzania  może być realizowane przy pomocy Informatyka Spółki przez czasowe przeniesienie wybra¬nych danych osobowych do innego systemu przetwarzania, i uniemożliwienie użytkownikom dostępu do wybranych danych. 
4)    przeniesienie danych (na podstawie art.20 RODO). Pracownik ma obowiązek przekazać taki wniosek do Prezesa Zarządu, który konsultuje zaistnienie przesłanek przenoszenia danych z  Prawnikiem Spółki. Osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe (np. przez e-mail w postaci zaszyfrowanej wiadomości).
5)    dostęp do danych (na podstawie art, 15 RODO).
Uprawniona osoba, której dane dotyczą może uzyskać od  MJC  dostęp do takich informacji jak:
a) cele przetwarzania;
b)kategorie danych osobowych;
c)informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
d)w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
e)informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
f) informacje o prawie wniesienia skargi do organu nadzorczego;
g)jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
h)informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Realizując dane dostępu do danych, pracownik Spółki sporządza pismo z podaniem w/w danych, skierowane do osoby uprawnionej.
 

6)    realizujący prawo zgłoszenia sprzeciwu (art.21 RODO)
1.    Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO. 
2.    Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Każdy wniosek przekazywany jest do Prezesa Zarządu. Odpowiedź na wnioski wskazane w pkt.6 powinna zostać dokonana w ciągu 14 dni od wpłynięcia wniosku do MJC.

REALIZACJA  ZASAD „PRIVACY BY DESIGN” ORAZ  „PRIVACY BY DEFAULT”

Zasada Privacy By design (Art.  25 ust. 1 RODO)- uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, MJC – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Zasada Privacy by default  (Art 25 ust. 2 RODO) MJC wdraża tylko takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczy to ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Omawiane środki powinny zapewniać w szczególności, aby domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.


PROCEDURA  PRZEPROWADZANIA ANALIZY RYZYKA

Celem analizy ryzyka jest ocena zagrożeń dla poprawnego i bezpiecznego przetwarzania danych oraz wybór i wdrożenie środków zmniejszających prawdopodobieństwo ich wystąpienia.
Na gruncie RODO mamy do czynienia z :
a)    ogólną analizą ryzyka przetwarzania danych osobowych. Ma ona charakter obligatoryjny. Ze względu na zasadę rozliczalności (art. 5 ust. 2 RODO) trzeba wykazać istnienie takiej analizy organowi nadzorczemu.
b)    analizą oceny skutków (DPIA, od Data Protection Impact Assessment). Obowiązek jej sporządzania występuje, jeżeli ich przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych
Analiza ryzyka polega na określeniu wielkości ryzyka, na zidentyfikowaniu grup informacji oraz obszarów jej przetwarzania, które wymagają zabezpieczenia.
Podstawą przeprowadzenia analizy ryzyka jest:  
a)    lista zagrożeń 
b)    lista pytań uzupełniających

Lista zagrożeń: 
- Ujawnienie haseł dostępu.
- Dostęp osób nieupoważnionych.
- Niemożność odtworzenia informacji.
- Działanie szkodliwego oprogramowania. 
- Nielegalne wykorzystanie oprogramowania.
- Awaria usług świadczonych przez stronę trzecią.
- Awaria systemów IT
- Awaria urządzeń. 
- Przerwa w dostarczaniu mediów niezbędnych do funkcjonowania systemów informacyjnych.
- Włamanie do systemu
- Błąd użytkownika.
- Brak reakcji na naruszenia bezpieczeństwa.
- Zniszczenie lub nieuprawniona zmiana informacji.
- Naruszenie bezpieczeństwa przy współpracy ze stronami trzecimi.
- Naruszenie prawa.
- Oszustwa w transakcjach online.
- Ujawnienie informacji osobom nieuprawnionym.
- Kradzież.
- Pożar, powódź, zalanie i inne zagrożenia środowiskowe.
- Włamanie lub inne nieuprawnione wejście.
- Błędy w zarządzaniu.

Etapy przeprowadzania analizy ryzyka w organizacji:

1.    Należy określić prawdopodobieństwa wystąpienia zagrożenia. 
Prawdopodobieństwo wystąpienia zagrożenia dla każdego zagrożenia  należy:
a)    formułować pytania uzupełniające
b)    wskazywać liczbę incydentów
c)    wykorzystać wiedzę na temat ocenianego zagrożenia.
Prawdopodobieństwo wystąpienia zagrożenia określa się według  następującej skali:
- 1 małe (negatywna ocena na mniej niż 25% pytań),
-  2 średnie (negatywna ocena na 25-50% pytań),
-  3 duże (negatywna ocena na 50-75% pytań),
-  4 bardzo duże (negatywna ocena na więcej niż 75% pytań).

2.    Należy określić skutki wystąpienia zagrożenia.
Dla każdego zagrożeń wymienionych na liście zagrożeń wskazanych powyżej, należy określić skutek jego wystąpienia.
Skutek wystąpienia zagrożenia może przyjmować następujące wartości:
- 1 mały;
- 2 średni;
- 3 duży;
- 4 bardzo duży.

3.    Należy określić  poziom ryzyka dla danego zagrożenia.
Uwzględniając ocenę prawdopodobieństwa wystąpienia zagrożenia  oraz skutku wystąpienia zagrożenia  należy wskazać poziom ryzyka. 

Prawodopodobieństwo wystąpienia/Skutek wystąpienia zagrożenia

1

2

3

4

1

N

N

Ś

Ś

2

N

Ś

Ś

W

3

N

Ś

W

W

4

Ś

W

W

W

 

4.    Należy przystąpić  do wypełnienia arkusza oceny ryzyka
Wskazane powyżej elementy tj.
a)    prawdopodobieństwo wystąpienia zagrożenia;
b)     skutek wystąpienia zagrożenia;
c)    ryzyko
należy umieścić w arkuszu oceny ryzyka.

W ostatniej rubryce należy wskazać odpowiednie obszary wymagające poprawy oraz sugerowane sposoby zabezpieczeń.
W arkuszu analizy ryzyka powinny znaleźć się takie elementy jak:
a)    zagrożenie
b)    prawdopodobieństwo
c)    skutek
d)    ryzyko
e)    obszar wymagający poprawy
f)    proponowane zabezpieczenie

Dla  zidentyfikowanych kategorii  ryzyk można sporządzić plan postępowania z ryzykiem.


 PROCEDURA PRZEPROWADZANIA OCENY SKUTKÓW DLA OCHRONY DANYCH (DPIA - Data   
   Protection Impact Assessment)

1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, MJC przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
2. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z Inspektorem Ochrony Danych.
3. Ocena skutków dla ochrony danych, jest wymagana w szczególności w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych,  lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie

POSTANOWIENIA KOŃCOWE:

1.    Osoby, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, potwierdzają ten fakt poprzez podpisanie oświadczenia.
2.    Ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, zobowiązany jest prowadzić MJC.
3.    Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, 
w szczególności przez osobę, która po stwierdzeniu naruszenia lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym fakcie Zarządu Spółki.
4.    Wszyscy Pracownicy oraz Współpracownicy  MJC zobowiązaniu są do przestrzegania przepisów Rozporządzenia oraz niniejszej Polityki. 
5.    Polityka bezpieczeństwa wchodzi w życie z dniem podjęcia Uchwały Zarządu  MJC lub w terminie określonym w treści tej Uchwały. 
Zmiany w  Polityce będą wchodzić w życie w terminach określonych w Uchwałach Zarządu dotyczących wprowadzenia zmian w dokumencie. Zaś załączniki do Polityki prowadzone zgodnie z wzorami będą prowadzone na bieżąco i fakt ich każdorazowego uzupełnienia nie wymaga wprowadzenia zmian w formie Uchwały.

ZAŁĄCZNIKI

1.    Wzór rejestr czynności przetwarzania na podstawie art. 30 ust.1 RODO,
2.    Wzór rejestr czynności przetwarzania na podstawie art. 30 ust.2 RODO,
3.    Wzór oświadczenia o zapoznaniu się z treścią Polityki bezpieczeństwa oraz 
o zachowaniu poufności.
4.    Wzór upoważnienia dostępu do przetwarzania danych osobowych.
5.    Wzór ewidencji osób upoważnionych.
6.    Protokół niszczenia nośników.
7.    Standardy zabezpieczeń  IT.
8.    Ewidencja umów powierzenia przetwarzania danych osobowych.
9.    Wzór ewidencji kluczy podstawowych do pomieszczeń wraz z wykazem osób.
10.    Wzór umowy o powierzeniu przetwarzania danych osobowych.
11.    Wzór rejestru naruszeń bezpieczeństwa danych osobowych

Rozdzielnik:
Wersja elektroniczna – dostępna na platformie GOOGLE