Polityka bezpieczeństwa przetwarzania danych osobowych w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH wdrożona w dniu: 01.09.2021 r., zaktualizowana dnia 06.10.2021 r.
Podstawa prawna: Ustawa z dnia 10.05.2018 r. o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO.
Słowniczek. Ilekroć w dokumencie mowa o: 1. u.o.d.o. – rozumie się przez to Ustawę z dnia 10.05.2018 r. o ochronie danych osobowych;
2. danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, możliwa do zidentyfikowania osoba f i z y c z n a to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden, bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
3. zbiorze danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
4. przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych lub zestawach zbiorów danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
5. profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
6. podmiot przetwarzający- oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
7. Administratorze Systemu – rozumie się przez to osobę z firmy zewnętrznej sprawującą pieczę nad funkcjonowaniem systemu informatycznego, odpowiadającą za jego sprawne działanie oraz udzielanie wsparcia technicznego w razie zaistnienia problemów; 3
8. Inspektor Ochrony Danych (w skrócie IOD) – rozumie się przez to funkcję, którą sprawuje osoba powołana przez administratora danych lub podmiot przetwarzający, do której zadań należy:
1) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie
2) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
4) współpraca z organem nadzorczym;
5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
9. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
10. zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
11. usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
12. Administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydującą o celach i środkach przetwarzania danych osobowych;
13. zgodzie osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych; 4
14. odbiorcy danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
15. strona trzecia- oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
16. organ nadzorczy- Prezes Urzędu Ochrony Danych Osobowych;
17. identyfikatorze użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
18. haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawn
ionej do pracy w systemie informatycznym;
19. teletransmisji – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
20. rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
21. integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w s
posób nieautoryzowany;
22. poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
23. uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. 5 II Powiązanie dokumentów Integralną częścią przedmiotowej Polityki bezpieczeństwa przetwarzania danych osobowych jest Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która stanowi załącznik nr 1 do przedmiotowej Polityki. 6 III Cele polityki bezpieczeństwa Celem wdrożenia przedmiotowej polityki bezpieczeństwa jest zapewnienie standardów ochrony danych osobowych, wyznaczonych postanowieniami RODO oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, przetwarzanych przez Ihar Yoch prowadzącego działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH, upoważnionych pracowników przedsiębiorstwa, upoważnione osoby zatrudnione na podstawie umów cywilnoprawnych (upoważnienie do przetwarzania danych oraz odwołanie upoważnienia stanowi odpowiednio załącznik nr 2 i 3 do przedmiotowej polityki), oraz podmioty przetwarzające na podstawie umowy o powierzenie przetwarzania danych. Postępowanie zgodnie z regulacjami przedmiotowej Polityki bezpieczeństwa pozwoli stworzyć takie warunki przestrzegania danych osobowych, które zapewnią, by dane były:
1) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane dotyczą,
2) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
3) adekwatne w stosunku do celów, w jakich są przetwarzane,
4) prawidłowe i w razie potrzeby uaktualniane,
5) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,
6) przechowywane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. 7 IV Przedmiotowy i podmiotowy zakres stosowania Niniejszy dokument ma zastosowanie do wszelkich zbiorów danych osobowych prowadzonych zarówno w systemach informatycznych, jak i w sposób tradycyjny oraz do wszelkich dokumentów zawierających dane osobowe – gromadzonych i przetwarzanych w zakresie i w związku z działalnością przedsiębiorstwa. Do stosowania postanowień Polityki zobowiązani są wszyscy pracownicy zatrudnieni przez Ihar Yoch prowadzącego działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH oraz wszelkie inne osoby, którym zbiory danych osobowych są udostępniane na podstawie upoważnienia – w szczególności osoby zatrudnione na podstawie umów cywilnoprawnych. W/w osoby są obowiązane do złożenia pisemnego oświadczenia o zachowaniu poufności i zapoznaniu się z Polityką bezpieczeństwa danych osobowych wdrożoną w przedsiębiorstwie oraz obowiązującymi przepisami prawa powszechnego dotyczącymi standardów przetwarzania danych osobowych. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 4 do przedmiotowej Polityki. 8 V Osoby odpowiedzialne za przetwarzanie danych osobowych. 1. Administrator Danych Osobowych/Współadministratorzy Danych Osobowych 1. Administratorem Danych Osobowych objętych ochroną przedmiotowej Polityki Bezpieczeństwa Przetwarzania Danych Osobowych jest Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH, ul. Grzybowska 80/82 lok. 700, 00- 844 Warszawa, NIP: 9512525377, REGON: 389833135. 2. Administrator danych danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane dotyczą,
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
c) adekwatne w stosunku do celów, w jakich są przetwarzane,
d) prawidłowe i w razie potrzeby uaktualniane,
e) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,
f) przechowywane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, przetwarzane zgodnie z prawem. 3. Obowiązki Administratora danych osobowych:
a) uwzględnienie charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia,
b) wdrażanie odpowiednich środków technicznych i organizacyjnych oraz poddawaniu ich w razie potrzeby przeglądowi i aktualizacji,
c) prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki,
d) zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru 9 wprowadzone oraz komu są przekazywane,
e) zapewnienie, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie, które ADO nadaje,
f) prowadzenie rejestru osób upoważnionych do przetwarzania danych osobowych,
g) poinformowanie osoby, której dane dotyczą o swojej tożsamości i o swoich danych kontaktowych, celu zbierania i przetwarzania danych oraz o podstawie prawnej przetwarzania, o odbiorcach tych danych, jeżeli będzie miało to zastosowanie to także informacje o zamiarze przekazania danych do państw trzecich lub organizacji międzynarodowej, oraz o prawie dostępu do danych i możliwości ich aktualizacji, a jeżeli dane osobowe są przetwarzane na podstawie zgody osoby, której dane dotyczą to także informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. 4. Administrator Danych Osobowych prowadzi rejestr czynności przetwarzania, o którym mowa w art. 30 RODO, wzór rejestru stanowi załącznik nr 5 do przedmiotowej Polityki. 2. Inspektor Ochrony Danych
1) Zarząd Administratora powołał Inspektora Ochrony Danych. Podlega on bezpośrednio Zarządowi Administratora. Zarząd zapewnia, że Inspektor Ochrony Danych nie będzie otrzymywał instrukcji dotyczących wykonywania zadań związanych z pełnieniem swojej funkcji. Nie będzie on odwoływany ani karany za wypełnianie swoich zadań.
2) Zgodnie z art. 37 ust. 1 RODO wyznaczenie Inspektora Ochrony Danych Osobowych jest obligatoryjne w sytuacji gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków 10 skazujących i naruszeń prawa. 3) Wobec Ihar Yoch prowadzącego działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH, nie zaistniały przesłanki, które obligują administratora do powołania Inspektora Ochrony Danych. 4) Administrator Danych Osobowych wyznacza Inspektora Ochrony Danych (wzór powołania Inspektora Ochrony Danych stanowi załącznik nr 6 do przedmiotowej Polityki). 5) Uprawnienia Inspektora Ochrony Danych:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO,
d) współpraca z organem nadzorczym,
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. 3. Podmiot przetwarzający dane osobowe – Procesor
1) Jeżeli przetwarzanie ma być dokonywane w imieniu Administratora, korzystać będzie on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
2) Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje Administratora o wszelkich 11 zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
3) Podmiot upoważniony do przetwarzania danych osobowych na podstawie umowy o powierzenie przetwarzania danych osobowych (która stanowi załącznik nr 7 do przedmiotowej Polityki), zobowiązany jest do ich ochrony w sposób zgodny z przepisami u.o.d.o., RODO, Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym.
4) Podmioty przetwarzające dane osobowe na podstawie umowy o powierzenie przetwarzania danych osobowych, obowiązane są do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu stosunku prawnego łączącego strony.
5) Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między Administratorem a podmiotem przetwarzającym, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym. 4. Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego Podmiot przetwarzający oraz każda osoba działająca z upoważnienia Administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie Administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
5. Zakres informacji objętych Polityką Bezpieczeństwa oraz zakres zastosowania Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe: 12 L.P Nazwa i adres siedziby firmy Liczba pomieszczeń Rodzaj pomieszczeń Ro d za j z a s to s o wa n e go zabezpieczenia pomieszczeń 1. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: u l . G r z y b o w s k a 80/82 lok. 700 00-844 Warszawa 1 pomieszczenie Budynek Piętro VII – pokój nr 700 Drzwi zewnętrzne do budynku wzmocnione, zamykane na klucz, zabezpieczenie alarmem. Wejście do budynku jest dodatkowo zabezpieczone przez ochronę. Winda na piętro, na którym znajduje się pomieszczenie wymaga użycia karty dostępu.
Dodatkowa kontrola dostępu z użyciem karty znajduje się na piętrze, na którym położone jest pomieszczenie. Monitoring w budynku oraz na piętrze, przy wejściu do pomieszczenia. Pomieszczenie zamykane na klucz, do którego dostęp mają wyłącznie ADO i ewentualnie uprawnieni pracownicy. Komputery zabezpieczone są hasłami oraz urządzeniem kryptograficznym, szafy zamykane na klucz. niszczarka, własny serwer zabezpieczony hasłami. 2. Księgowi i Prawnicy maksimiuk.pl Waldemar Maksimiuk ul. Fabryczna 8/4, 15-483 Białystok Dokumenty księgowe Makowska Radca Prawny sp k. 3 3 2 gabinety 1 pokój otwarty (open space) 2 gabinety 1 pokój otwarty Szafy zamykane na klucz, sejf,alarm, monitoring, własny serwer zabezpieczony hasłami, hasła do komputerów, obiekt objęty monitoringiem wizyjnym wraz z doraźną ochroną patrolu interwencyjnego, niszczarka. Szafy zamykane, alarm, monitoring, własny serwer 13 ul. Czysta 16/19 15-464 Białystok Dokumenty prawne (open space) zabezpieczo
ny hasłami, hasła do komputerów, obiekt objęty monitoringiem wizyjnym wraz z doraźną ochroną patrolu interwencyjnego, niszczarka. Wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych: 14 L.P. Zbiór danych Programy stosowane do przetwarzania danych Lokalizacja zbioru 1 Rekrutacja pracowników oraz osób zatrudnionych na podstawie umów cywilnoprawnych Forma papierowa, system operacyjny na stacjach roboczych, poczta elektroniczna; Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 2 Dane pracowników, zleceniobiorców i cudzoziemców.
Forma papierowa, system operacyjny na stacjach roboczych, poczta elektroniczna; Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 3 Prowadzenie rejestru pracowników, akt pracowniczych i ewidencji czasu ich pracy. Forma papierowa, system bazodanowy na serwerze, system magazynowania plików na serwerze, system operacyjny na stacjach roboczych, system poczty elektronicznej. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 4 Prowadzenie rejestru Zleceniobiorców Forma papierowa, system bazodanowy na serwerze, system magazynowania plików na serwerze, system operacyjny na stacjach roboczych, system poczty elektronicznej, Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 5 Dokumenty księgowe, Forma papierowa, system Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN 15 rejestracja transakcji. operacyjny na stacjach roboczych, system bazodanowy na serwerze, poczta elektroniczna; EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa Księgowi i Prawnicy maksimiuk.pl Waldemar Maksimiuk ul. Fabryczna 8/4 15-483 Białystok 6 Zawieranie i wykonywanie umów.
Forma papierowa, system operacyjny na stacjach roboczych, poczta elektroniczna; Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 7 Zgłoszenie pracowników i członków ich rodzin do ZUS, ich aktualizacja i przekazywanie danych o zwolnieniach. Forma papierowa, system bazodanowy na serwerze, system magazynowania plików na serwerze, system operacyjny na stacjach roboczych, system poczty elektronicznej. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 8 Prowadzenie rozliczeń z pracownikami, wypłata wynagrodzeń, naliczanie obciążeń oraz naliczanie składek do ZUS. Forma papierowa, system bazodanowy na serwerze, system magazynowania plików na serwerze, system operacyjny na stacjach roboczych, system poczty elektronicznej.
Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 9 Korespondencja przychodząca. Forma papierowa, system operacyjny na stacjach Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN 16 roboczych, poczta elektroniczna; EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa OPTI OFFICE GRZYBOWSKA sp. z o. o. Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 10 Zbiór danych zawierających dokumentację dotyczącą dochodzenia wierzytelności, postępowań prowadzonych przed sądami powszechnymi, sądami administracyjnymi, organami administracji. Forma papierowa, system operacyjny na stacjach roboczych, poczta elektroniczna; Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 11 Prowadzenie bazy obecnych i potencjalnych klientów, rozsyłanie informacji marketingowych, ofert współpracy.
Forma papierowa, system bazodanowy na serwerze, system magazynowania plików na serwerze, system operacyjny na stacjach roboczych, system poczty elektronicznej. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 12 Weryfikacja danych i tożsamości Forma papierowa, system bazodanow
y na serwerze, system magazynowania plików na serwerze, system Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH 17 operacyjny na stacjach roboczych, system poczty elektronicznej. Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 13 Dane dotyczące transakcji Forma papierowa, system bazodanowy na serwerze, system magazynowania plików na serwerze, system operacyjny na stacjach roboczych, system poczty elektronicznej. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 14 Obsługa klienta Forma papierowa, system bazodanowy na serwerze, system magazynowania plików na serwerze, system operacyjny na stacjach roboczych, system poczty elektronicznej. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH Siedziba: ul. Grzybowska 80/82 lok. 700 00-844 Warszawa 18 VI Opis struktury zbiorów danych 1. W zbiorze danych rekrutacji pracowników i osób zatrudnionych na podstawie umów cywilnoprawnych przetwarzane są dane osobowe, w zakresie:
a) danych identyfikacyjnych,
b) danych adresowych,
c) danych o wykształceniu, stażu pracy, uprawnieniach zawodowych, zainteresowaniach,
d) danych co do karalności. 2.
W zbiorze danych pracowników, zleceniobiorców i cudzoziemców przetwarzane są dane osobowe w zakresie:
a) dane identyfikacyjne pracowników oraz zleceniobiorców,
b) danych adresowych,
c) danych kontaktowych,
d) danych o rachunkach bankowych,
e) danych o członkach rodziny,
f) danych o wykształceniu, stażu pracy, uprawnieniach zawodowych, zainteresowaniach,
g) danych o niekaralności,
h) płci, obywatelstwa,
i) nazwy, serii, numeru, daty ważności dokumentu tożsamości,
g) w przypadku cudzoziemców: pozwolenie na pobyt, zezwolenie na pracę
3. W zbiorze danych prowadzenia rejestru pracowników, akt pracowniczych i ewidencji czasu pracy przetwarzane są dane osobowe w zakresie:
a) danych identyfikacyjnych,
b) danych adresowych,
c) danych o wykształceniu, przebiegu pracy, absencji (urlopy, zwolnienia lekarskie, rehabilitacyjne,szkoleniowe i inne),
d) danych o zakresie obowiązków, stawce wynagrodzenia, karach i nagrodach, e) inne dane wymagane zgodnie z obowiązującymi przepisami prawa.
4. W zbiorze danych prowadzenia rejestru Zleceniobiorców przetwarzane są dane osobowe w zakresie:
a) danych identyfikacyjnych,
b) danych adresowych,
c) danych o wykształceniu, przebiegu pracy, absencji (urlopy, zwolnienia lekarskie, rehabilitacyjne,szkoleniowe i inne), 19
d) danych o zakresie obowiązków, stawce wynagrodzenia, karach i nagrodach,
e) inne dane wymagane zgodnie z obowiązującymi przepisami prawa.
5. W zbiorze danych dokumentów księgowych przetwarzane są dane osobowe w zakresie:
a) danych identyfikacyjnych (imię/ nazwisko/ nazwa/ PESEL/ NIP/ REGON/ KRS),
b) danych adresowych kontrahentów (adres zamieszkania: ulica/ nr domu/mieszkania/ kod pocztowy/ miejscowość, c) danych pracowników kontrahentów (imię/ nazwisko/ adres zamieszkania/ PESEL/ nr dowodu osobistego/ paszportu, zaświadczenie o niekaralności, dane z prawa jazdy).
6. W zbiorze danych zawierania i wykonywania umów przetwarzane są dane osobowe w zakresie:
a) danych identyfikacyjnych (imię/ nazwisko/ nazwa/ PESEL/ NIP/ REGON/ KRS),
b) danych adresowych kontrahentów (adres zamieszkania: ulica/ nr domu/mieszkania/ kod pocztowy/ miejscowość,
c) danych pracowników kontrahentów (imię/ nazwisko/ adres zamieszkania/ PESEL/ nr dowodu osobistego/ paszportu, zaświadczenie o niekaralności, dane z prawa jazdy).
7. W zbiorze danych zgłoszenia pracowników i członków ich rodzin do ZUS, ich aktualizacji i przekazywania danych o zwolnieniach przetwarzane są dane osobowe w zakresie:
a) danych identyfikacyjnych,
b) danych adresowych,
c) danych o Oddziale NFZ oraz innych danych wymaganych w formularzu zgłoszenia ZUS ZUA -zgłoszenie, ZUS IUA – zmiana danych, ZUS ZWUA -wyrejestrowanie, ZUS ZCNA -zgłoszenie członka rodziny, ZAS – wniosek o ustalenie okresu zasiłkowego, OL-2 – wniosek o kontrolę zaśw. lekarskiego, Z15a – zgłoszenie opieki nad dzieckiem, Z15B – zgłoszenie opieki nad innym członkiem rodziny.
8. W zbiorze danych prowadzenia rozliczeń z pracownikami, wypłaty wynagrodzeń, naliczania obciążeń oraz naliczania składek ZUS przetwarzane są dane osobowe w zakresie:
a) danych identyfikacyjnych,
b) danych adresowych,
c) danych kadrowych (wysługa lat pracy, stawka wynagrodzeń),
d) danych o czasie pracy, przyznanych nagrodach, potrąceniach (składki związkowe, zajęcia komornicze itp.) numery kont do przelewów bankowych wynagrodzenia na rzecz pracownika
9. W zbiorze danych korespondencji przychodzącej przetwarzane są dane osobowe w zakresie:
a) danych identyfikacyjnych (imię/ nazwisko/ nazwa/ PESEL/ NIP/ REGON/ KRS),
b) danych adresowych kontrahentów (adres zamieszkania: ulica/ nr domu/mieszkania/ kod 20 pocztowy/ miejscowość.
10. W zbiorze danych zawierających dokumentację dotyczącą dochodzenia wierzytelności, postępowań prowadzonych przed sądami powszechnymi, sądami administracyjnymi, organami administracji przetwarzane są dane osobowe w zakresie:
a) danych podmiotów będących w sporze z administratorem danych osobowych (imię i nazwisko/ nazwa/ adres zamieszkania bądź siedziby/ PESEL/ NIP/ REGON/ KRS),
b) danych dotyczących okoliczności sporu (przedmiot sprawy/ wysokość wierzytelności/ oznaczenie sprawy/ wykonywane umowy)
11. W zbiorze danych prowadzenia bazy obecnych i potencjalnych klientów, rozsyłania ofert marketingowych, ofert współpracy przetwarzane są dane osobowe w zakresie:
a) danych identyfikacyjne klientów, potencjalnych klientów (nazwa/ siedziba/ NIP/ REGON/ KRS/ email/ numer kontaktowy).
12. W zbiorze danych weryfikacji danych tożsamości przetwarzane są dane osobowe w zakresie: a) danych identyfikacyjnych (nazwa/ siedziba/ NIP/ REGON/ KRS/ email/ numer kontaktowy/ numer rachunku bankowego/ numer i seria dowodu osobistego lub paszportu).
13. W zbiorze danych dotyczących transakcji przetwarzane są dane osobowe w zakresie: a) danych identyfikacyjne klientów, potencjalnych klientów (nazwa/ siedziba/ NIP/ REGON/ KRS/ PESEL/email/ numer kontaktowy/ numer i seria dowodu osobistego lub paszportu/ numer rachunku bankowego).
14. W zbiorze danych dotyczących obsługi klienta przetwarzane są dane osobowe w zakresie: a)danych identyfikacyjnych (nazwa/ siedziba/ NIP/ REGON/ KRS/ email/ numer kontaktowy/ numer rachunku bankowego/ numer i seria dowodu osobistego lub paszportu). 21 VII Sposób przepływu danych pomiędzy poszczególnymi systemami
1. Obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi, winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych (informacji).
2. Komunikacja w sieci komputerowej: przekazywanie informacji (danych) w systemie informatycznym poza sieć lokalną Jednostki odbywa się w relacji Jednostka – pracownicy, przedsiębiorcy, kontrahenci, Zakład Ubezpieczeń Społecznych, Urząd Skarbowy.
3. Dostęp do danych wprowadzonych przez użytkowników systemów informatycznych mają jedynie upoważnieni pracownicy do przetwarzania danych osobowych oraz Administrator Danych Osobowych zapewniający jego prawidłową eksploatację.
4. Wszyscy pracownicy, będący użytkownikami systemu zobowiązani są do zachowania tych danych w tajemnicy.
5. Ochronie podlegają dane osobowe gromadzone i przetwarzane w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz w urządzeniach i systemie informatycznym Jednostki.
6. Pomieszczenia, w których przetwarza się dane osobowe powinny być fizycznie zabezpieczone przed dostępem osób nieuprawnionych, to znaczy posiadać drzwi zabezpieczone zamkami zamykanymi na klucz oraz być wyposażone w środki ochrony ppoż., systemy alarmowe, monitoring antykradzieżowy. Pokój nr 2 powinien być zabezpieczony folią antywłamaniową oraz kratami w oknach.
7. Dokumenty i nośniki informacji, zawierające dane osobowe powinny być zabezpieczone przed dostępem osób nieupoważnionych do przetwarzania danych. Jeśli nie są aktualnie używane powinny być przechowywane w szafach lub w innych przeznaczonych do tego celu urządzeniach biurowych, posiadających odpowiednie zabezpieczenia.
Schemat obrazujący sposób współpracy pomiędzy różnymi systemami informatycznymi stosowanymi w przedsiębiorstwie Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH L. p. Zbiór danych osobowych Sposób współpracy
1 Dane pracowników i zleceniobiorców. Manualny (eksport import) elektroniczna transmisja danych. 22
2 Dane osób ubiegających się o zatrudnienie Manualny (eksport import), brak elektronicznej transmisji danych.
3 Dokumenty księgowe. Manualny (eksport import) elektroniczna transmisja danych.
4 Umowy handlowe. Manualny (eksport import) elektroniczna transmisja danych.
5 Korespondencja przychodząca. Manualny (eksport import) elektroniczna transmisja danych.
6 Zbiór danych zawierających dokumentację dotycząca dochodzenia wierzytelności, postępowań prowadzonych przed sądami powszechnymi, sądami administracyjnymi, organami administracji. Manualny (eksport import) elektroniczna transmisja danych. 23 VIII Środki techniczne i organizacyjne niezbędne dla zapewnienia bezpieczeństwa przetwarzanych danych
1. Środki ochrony fizycznej Budynek, w którym mieści się pomieszczenie objęty jest całodobowym monitoringiem wizyjnym. Urządzenia służące do przetwarzania danych osobowych znajdują się w zamkniętych pomieszczeniu, które jest zamykane i otwierane tylko przez Administratora, osobę przetwarzającą dane na zlecenie Administratora danych bądź upoważnionych pracowników.
2. Środki organizacyjne Nadzór nad przestrzeganiem zasad ochrony przetwarzanych danych osobowych sprawuje Administrator Danych Osobowych, wykonując zadania polegające w szczególności na:
1) opracowaniu i aktualizacji „Polityki Bezpieczeństwa”;
2) prowadzeniu wykazu zbiorów danych osobowych przetwarzanych w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH
3) prowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych, zgodnie z formularzem stanowiącym załącznik nr 8 do niniejszej Polityki Bezpieczeństwa;
4) prowadzenie ewidencji podmiotów którym udostępniono dane osobowe, stanowiącej załącznik nr 9 do przedmiotowej Polityki;
5) przeprowadzaniu szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych do przetwarzania danych osobowych. 3. Zasady zabezpieczania danych:
1) Zbiory kartotekowe winny znajdować się w pomieszczeniach zabezpieczonych przed dostępem osób nieupoważnionych w zamykanych na klucz szafach;
2) Zbiory teleinformatyczne powinny być zabezpieczone w odpowiedni sposób tj. za pomocą haseł, loginów, programów antywirusowych.
3) Należy mieć świadomość, że każdy, kto ma dostęp do pomieszczenia, w którym zainstalowano sprzęt systemu informatycznego może spowodować jego uszkodzenie lub może mieć dostęp do informacji wyświetlanych na monitorze lub wydruków.
4) Zagrożenia w stosunku do systemu mogą pochodzić również od każdej innej osoby np. personelu pomocniczego, technicznego, konsultanta itp., posiadającej wystarczające umiejętności i wiedzę, aby uzyskać dostęp do sieci. 24
5) Hasło podlega szczególnej ochronie. Użytkownik ma obowiązek stosowania haseł składających się z małych i dużych liter, cyfr, znaków specjalnych. Hasła nie mogą być zapisywane na kartkach, plikach tekstowych oraz naklejane w widocznych miejscach dla osób postronnych.
6) W przypadku, gdy użytkownik zapomni swojego hasła, może on uzyskać nowe hasło od administratora systemu bądź osoby działającej na jego zlecenie zgodnie z obowiązującą procedurą. Hasła są generowane przez administratora systemu bądź osoby działające na jego zlecenie.
7) Każdy z pracowników przedsiębiorstwa ma swoje unikatowe, indywidualne hasło dostępu zarówno do serwera jak i programów, w szczególności panelowych, aplikacyjnych, finansowo-księgowych, kadrowo-płacowych. 4. Bezpieczeństwo fizyczne
1) Informacja przetwarzana i przechowywana w systemie musi być zabezpieczona w szczególny sposób. Środki bezpieczeństwa fizycznego są konieczne dla zapobiegania niepowołanemu dostępowi do informacji, nieautoryzowanym operacjom w systemie, kontroli dostępu do zasobów oraz w celu zabezpieczenia sprzętu teleinformatycznego.
2) Pomieszczenia winny być odpowiednio przygotowane pod względem technicznym.
3) Obszar systemów informatycznych w Jednostce obejmuje wszystkie pomieszczenia. Pomieszczenia te zabezpieczone są w następujący sposób: zamki patentowe, całodobowy monitoring. 5. Ochrona serwera, stacji roboczych i nośników 1) Pomieszczenia, w których znajdują się stanowiska komputerowe są: a) zamknięte, jeśli nikt w nich nie przebywa; b) wyposażone w szafki zamykane na klucz lub inne miejsca umożliwiające przechowywanie dokumentów w sposób odpowiedni do istniejących warunków, c) instalacja urządzeń systemu i sieci teleinformatycznej odbywa się za wiedzą i pod kontrolą Administratora Danych Osobowych, który jest również odpowiedzialny za warunki wprowadzania do użycia, przechowywania, eksploatacji oraz wycofywania z użycia każdego urządzenia w porozumieniu z Administratorem systemu. d) sprzęt i oprogramowanie, indywidualnie lub łącznie mają ścisły związek z bezpieczeństwem systemu i sieci teleinformatycznej. Procedury bezpieczeństwa odnoszące się do tych elementów powinny być ściśle przestrzegane. 25
6. Bezpieczeństwo Sprzętowe Sieć teleinformatyczna jest organizacyjnym i technicznym połączeniem systemów teleinformatycznych wraz z łączącymi je urządzeniami i liniami telekomunikacyjnymi. Niedopuszczalne jest samowolne przemieszczanie lub zmiana konfiguracji stacji roboczej bez wiedzy Administratora Danych Osobowych bądź Administratora Systemu. Internet za pośrednictwem dostarcza firma ORANGE POLSKA S.A. Przedsiębiorstwo posiada własną wewnętrzną sieć, połączoną, która dostępna jest wyłącznie dla pracowników. Sieć zabezpieczona jest hasłem WPA2 – protokół sieci bezprzewodowych. Przedsiębiorstwo nie będzie udostępniać klientom i kontrahentom możliwości podłączenia do sieci internetowej. Hasła składają się z różnych znaków, tj., małych i wielkich liter, znaków specjalnych, cyfr. Zmiana haseł dokonywana będzie cyklicznie, 1 raz w miesiącu. Wszystkie stacje robocze posiadają oryginalne oprogramowanie softwarowe. Komputery korzystają korzysta z systemu Windows 11. Komputery korzystają z zabezpieczenia w postaci programu Antivirus Windows Defender wraz z uaktualnianą codziennie bazą wirusów. Komputery zabezpieczone są poprzez hasło i urządzenie kryptograficzne BitLocker. Hasła składają się z różnych znaków, tj, małych i wielkich liter, znaków specjalnych, cyfr. Każde wyłączenie komputera powoduje konieczność jego ponownego odblokowania z wykorzystaniem hasła zabezpieczającego dysk. Każde wylogowanie się z komputera powoduje konieczność ponownego zalogowania się do panelu użytkownika. Komputery wyposażone są w oprogramowanie, które powoduje, że następuje automatyczne wylogowanie z systemu, jeżeli pracownik nie wykonuje żadnych czynności z wykorzystaniem komputera, przez czas dłuższy niż 5 minut. Hasła składają się z różnych znaków, tj, małych i wielkich liter, znaków specjalnych, cyfr. Zmiana haseł dokonywana będzie cyklicznie, 1 raz w miesiącu. Zapisywanie plików bezpośrednio na pulpicie jest zabronione.
7. Bezpieczeństwo Oprogramowania 1) Nie zezwala się na korzystanie z jakiegokolwiek nowego oprogramowania bez zgody Administratora Danych Osobowych. Dodatkowe oprogramowanie może być instalowane wyłącznie po uzyskaniu zezwolenia Administratora Danych Osobowych. 2) Używanie oprogramowania prywatnego w sieci jest kategorycznie zabronione. Na stacjach roboczych powinno być zainstalowane jedynie niezbędne oprogramowanie 26 w stopniu umożliwiającym bezproblemową pracę.
8. Konserwacje i naprawy 1) Każde urządzenie użytkowane w systemie informatycznym powinno podlegać rutynowym czynnościom konserwacyjnym oraz przeglądom wykonywanym przez uprawnione osoby. 2) Upoważnienia winien udzielić Administrator Danych Osobowych bądź osoba działająca na jego zlecenie. 3) Za konserwację oprogramowania systemowego oraz aplikacyjnego serwera systemu informatycznego odpowiedzialny jest Administrator Danych Osobowych. Konserwacja ww. oprogramowania obejmuje także jego aktualizację oraz programów niezbędnych i wykorzystywanych przez pracowników. 4) Za konserwację oprogramowania stanowisk roboczych odpowiedzialny jest Administrator Danych Osobowych. 5) Administrator Danych Osobowych przed rozpoczęciem naprawy urządzenia przez zewnętrzne firmy sprawdza, czy spełnione są następujące wymagania: a) w przypadku uszkodzenia nośnika magnetycznego zawierającego dane osobowe należy komisyjnie dokonać jego zniszczenia; b) w przypadku niemożności lub nieobecności firmy zewnętrznej, upoważnionej do konserwacji i naprawy sprzętu ww. czynności dokonuje firma zastępcza po uzyskaniu zgody Administratora Danych Osobowych.
9. Plany awaryjne i zapobiegawcze Poszczególne stacje robocze powinny być zabezpieczone urządzeniami podtrzymującymi zasilanie (UPS), co umożliwi funkcjonowanie systemu w przypadku awarii zasilania.
10. Kopie zapasowe W celu zabezpieczenia ciągłości pracy, informacja przechowywana i przetwarzana w systemie powinna podlegać codziennej, przyrostowej archiwizacji oraz pełnej archiwizacji przeprowadzanej nie rzadziej niż raz na dwa tygodnie.
11. Polityka antywirusowa W zakresie ochrony antywirusowej wprowadza się następujące zalecenia: 1) nie należy używać oprogramowania na stacji roboczej innego niż zaleca Administrator Danych Osobowych i które zostało przez niego zainstalowane; 2) nie wolno instalować oprogramowania typu freeware czy shareware bez zgody Administrator Danych Osobowych; 27 3) należy regularnie uaktualniać bazę wirusów zainstalowanego oprogramowania antywirusowego, chyba że baza wirusów jest uaktualniana automatycznie; 4) przed użyciem nośnika danych należy sprawdzić czy nie jest zainfekowany wirusem komputerowym, dokonując jego skanowania.
12. Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych, stanowi załącznik nr 10 do przedmiotowej Polityki. 28 IX Zasady bezpieczeństwa obowiązujące przy przetwarzaniu danych osobowych 1. Pracownicy przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH oraz inne osoby świadczące usługi na podstawie umów cywilnoprawnych, mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych. 2. Osoby przetwarzające dane osobowe w miejscu przetwarzania danych osobowych utrwalonych w formie papierowej zobowiązane są do stosowania zasady tzw. „czystego biurka”. Zasada ta oznacza niepozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym.
Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników/ zleceniobiorców. 3. Osoby przetwarzające dane osobowe w miejscu przetwarzania danych osobowych utrwalonych w formie papierowej zobowiązane są do stosowania zasady tzw. „czystej d r u k a r k i ” . Z a s a d a ta polega na tym, iż wszystkie wydruki powinny być zabierane z drukarki natychmiast po wydrukowaniu. 4. Niszczenie niepotrzebnych lub błędnych kopii materiałów zawierających dane osobowe odbywa się przy użyciu niszczarki w sposób uniemożliwiający odczytanie zawartej w nich treści.
5. Każdorazowe odejście od komputera, na którym jest dostęp do programów zawierających dane osobowe musi zostać poprzedzone zablokowaniem komputera poprzez kombinację klawiszy lub inne odpowiednie zabezpieczenie stacji roboczej.
6. Służbowe telefony komórkowe muszą być zabezpieczone przed niepowołanym dostępem hasłem bezpieczeństwa.
7. Niedozwolone jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania, jeżeli nie ma to związku z wykonywaniem czynności służbowych. Odpowiedzialność za bezpieczeństwo i zwrot materiałów zawierających dane osobowe ponosi osoba dokonująca ich wyniesienia oraz jej bezpośredni przełożony. 29
8. W pomieszczeniach, w których przetwarzane są dane osobowe, mogą przebywać wyłącznie osoby upoważnione do przetwarzania danych osobowych. Pozostałe osoby mogą przebywać w tych pomieszczeniach jedynie w obecności osoby upoważnionej do przetwarzania danych osobowych. Osoby nieupoważnione do przetwarzania danych osobowych mogą przebywać w pomieszczeniach, w których przetwarzane są dane osobowe bez obecności osób upoważnionych do przetwarzania danych osobowych, jeżeli dane te są w odpowiedni sposób zabezpieczone przed dostępem.
9. Osoby upoważnione do przetwarzania danych osobowych zobowiązane są do zamykania na klucz wszelkich pomieszczeń wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w miejscu pracy, jak i po jej zakończeniu, przy czym klucze od pomieszczeń nie mogą być pozostawione w zamku w drzwiach. Ponadto wszystkie osoby przetwarzające dane osobowe zobowiązane są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionymi dostępem. 30 X Kontrola przetwarzania danych osobowych
1. Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH sprawuje Administrator Danych Osobowych.
2. Czynności kontrolne przeprowadzone są nie rzadziej niż raz w roku.
3. Z czynności kontrolnych sporządzany jest protokół, w którym dokonuje się dokładnego opisu zakresu kontroli i przeprowadzonych czynności.
4. Protokół podpisywany jest przez osoby wykonujące czynności kontrolne.
5. Wzór protokołu z kontroli stanowi Załącznik nr 11 do niniejszej Polityki. 31 XI Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych 1. Pojęcie naruszenia danych osobowych Incydentem naruszenia ochrony danych osobowych jest każde stwierdzone nieuprawnione ujawnienie danych osobowych, udostępnienie lub umożliwienie uzyskania nawet chwilowego dostępu do nich podmiotom nieupoważnionym, zabranie dokumentów zawierających dane osobowe przez osobę nieupoważnioną oraz uszkodzenie elementu systemu informatycznego, w tym w szczególności:
1) nieautoryzowany dostęp do danych,
2) nieautoryzowane modyfikacje lub zniszczenie danych,
3) udostępnienie danych nieautoryzowanym podmiotom,
4) nielegalne ujawnienie danych,
5) pozyskiwanie danych z nielegalnych źródeł.
2. Postępowanie w sytuacji zaistnienia incydentu naruszenia danych osobowych Każda osoba zatrudniona w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH, która odnotuje naruszenie ochrony danych przez osobę przetwarzającą dane osobowe objęte przedmiotową Polityką bezpieczeństwa lub weszła w posiadanie informacji mogącej mieć wpływ na bezpieczeństwo danych osobowych ma obowiązek niezwłocznie zgłosić ten fakt Administratorowi Danych ewentualnie Inspektorowi Ochrony Danych. Osoba, która stwierdziła naruszenie bezpieczeństwa danych jest zobowiązana do podjęcia czynności koniecznych celem powstrzymania skutków naruszenia ochrony danych lub ograniczenia ich rozmiaru, jak również zobowiązana jest podjąć starania w kierunku określenia przyczyny i sprawcy naruszenia. W sytuacji stwierdzenia incydentu naruszenia bezpieczeństwa danych – osoby przebywające na obszarze określonej przedmiotowym dokumentem strefy przetwarzania danych, winny powstrzymać się od wszelkich działań, które mogłyby utrudnić przeprowadzenie kompleksowej analizy zaistnienia naruszenia i udokumentowanie jego przebiegu oraz pozostać w miejscu zdarzenia aż do przybycia Administratora Danych.
3. W przypadku naruszenia ochrony danych osobowych Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Wzór 32 zgłoszenia naruszenia do organu nadzorczego stanowi załącznik nr 12.
4. Zgłoszenie naruszenia powinno zawierać następujące elementy: 1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; 2) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; 3) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; 4) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
5. W sytuacji gdy informacji wskazanych w ust. 2 i 3 nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.
6. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych w rejestrze w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Wzór ewidencji naruszeń bezpieczeństwa danych osobowych stanowi załącznik nr 13.
7. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Wzór zawiadomienia osoby o naruszeniu ochrony danych osobowych stanowi załącznik nr 14 do przedmiotowej Polityki.
8. Obowiązek zawiadomienia przez Administratora osoby, której dane dotyczą, o naruszeniu danych osobowych nie ma zastosowania w następujących przypadkach:
1) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
2) Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1 c,
3) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób. 4) podmiot przetwarzający w przypadku wykrycia naruszenia ochrony danych osobowych bez 33 zbędnej zwłoki zgłasza je Administratorowi. 34 XII Załącznik nr 1 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH I. Podstawowe pojęcia i zakres przedmiotowy instrukcji 1 Niniejszym ustala się treść Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH. 2 Ilekroć w instrukcji jest mowa o:
1) systemie informatycznym – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
2) zabezpieczeniu systemu informatycznego – należy przez to rozumieć zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mające na celu w szczególności zabezpieczenie danych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą uszkodzeniem lub zniszczeniem;
3) zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie 35 od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
4) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
5) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
6) Administratorze Danych Osobowych – dalej jako Administrator danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych;
7) użytkowniku – rozumie się przez to upoważnionego przez osobę przetwarzającą dane osobowe na zlecenie Administratorów danych, wyznaczonego do przetwarzania danych osobowych pracownika, który odbył stosowne szkolenie w zakresie ochrony tych danych oraz o osobie zatrudnionej na podstawie umowy o pracę, umowy cywilnoprawnej. 3
1. Instrukcja określa: 1) sposób przydziału haseł dla użytkowników i częstotliwości ich zmiany oraz wskazania osób odpowiedzialnych za te czynności; 2) sposób rejestrowania i wyrejestrowywania użytkowników oraz wskazania osób odpowiedzialnych za te czynności; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy; 4) metody i częstotliwość tworzenia kopii awaryjnych; 5) metodę i częstotliwość sprawdzania obecności wirusów komputerowych oraz metodę ich usuwania; 6) sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków; 7) sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych.
2. Działaniem instrukcji objęci są: 1) Administrator Danych; 2) osoba przetwarzająca dane osobowe na zlecenie Administratora danych; 3) osoby zatrudnione w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH. 36 II. Nadawanie uprawnień do przetwarzania danych 1. Uprawnienia do przetwarzania danych osobowych w systemach informatycznych nadaje każdorazowo Administrator danych bądź osoba działająca na jego zlecenie. 2. Uprawnienie do przetwarzania danych osobowych w systemach informatycznych może zostać nadane wyłącznie pracownikom/ zleceniobiorcom, którzy uzyskali upoważnienie do przetwarzania danych osobowych nadane przez ww. osoby. 3. Administrator danych każdorazowo decyduje czy istnieje techniczna możliwość nadania upoważnionemu pracownikowi uprawnienia do przetwarzania danych osobowych w systemach informatycznych. 4. Zakres uprawnienia (zakres dostępu do danych osobowych przetwarzanych w systemach informatycznych) nie może być szerszy niż w wydanym upoważnieniu. 5. Przydzielanie poszczególnym pracownikom/ zleceniobiorcom Przedsiębiorstwa uprawnień do przetwarzania danych osobowych w systemach informatycznych następuje poprzez nadanie im loginu oraz hasła tymczasowego pozwalającego na dostęp do danego systemu informatycznego. 6. Cofnięcia uprawnienia dostępu do danego systemu informatycznego dokonuje Administrator danych.
III. Metody i środki uwierzytelnienia oraz procedury z nimi związane 3. Dla każdego użytkownika systemu informatycznego ustala się odrębne konto, które zabezpieczone jest odpowiednim i indywidualnym hasłem, znanym tylko danemu użytkownikowi. 4. Hasła do konta użytkownika (w przypadku utworzenia nowego konta, a także w sytuacjach awaryjnych związanych np.: z zagubieniem, utratą lub zapomnieniem hasła osobistego przez użytkownika konta) tworzone są przez Administratora danych. 5. Tryb przekazywania ww. hasła tymczasowego odbywa się w sposób zapewniający bezpieczeństwo i poufność przekazywanych informacji, w szczególności w sposób uniemożliwiający innej osobie ich nieuprawnione wykorzystanie. 6. Zakazuje się przekazywania haseł poprzez osoby trzecie lub przy użyciu metod, które nie gwarantują zachowania jego poufności oraz niezaprzeczalnego ustalenia nadawcy i odbiorcy hasła, np.: przez niechronione wiadomości przekazywane elektronicznie, wiadomości na portalach informacyjnych. 37 7. Po otrzymaniu hasła użytkownik ma obowiązek niezwłocznego zalogowania się do systemu informatycznego przy użyciu tego hasła lub poprzez hasło nadane mu przez Administratora danych. 8. Ujawnianie przez użytkownika komukolwiek, jakichkolwiek aktualnych lub poprzednich haseł tymczasowych lub innych haseł mu powierzonych, jest zabronione. 9. Jeżeli do uwierzytelniania użytkowników używa się hasła, jego zmiana musi następować nie rzadziej niż co 30 dni, hasło musi się składać z co najmniej 8 znaków oraz jednocześnie zawierać małe i wielkie litery, cyfry lub znaki specjalne. 10. W celu zapewnienia odpowiedniego poziomu bezpieczeństwa haseł i innych identyfikatorów pozwalających na autoryzację w programach przetwarzających dane osobowe, nie zaleca się stosowania jakichkolwiek programów i systemów umożliwiających zapamiętywanie identyfikatorów i haseł. 11. Dostęp do każdego z profili użytkowników ograniczony jest wyłącznie do jednego pracownika, zleceniobiorcy, Administratora danych.
IV. Rozpoczęcie pracy W momencie rozpoczęcia pracy każdy z pracowników zobowiązany jest do zwrócenia uwagi na wystąpienie możliwych ingerencji w system informatyczny, tj. naruszenie struktury danych osobowych. Momentem rozpoczęcia pracy jest uruchomienie jednostki komputerowej poprzez wprowadzenie na swoim koncie loginu oraz hasła. W niektórych przypadkach koniecznym jest wprowadzenie samego hasła. W trakcie logowania pracownik pod żadnym pozorem nie może opuszczać swego stanowiska. W przypadku powzięcia lub wystąpienia nieprawidłowości w dostępie do systemu informatycznego, pracownik niezwłocznie informuje Administratora danych.
V. Zawieszenie Pracy W przypadku zaistnienia konieczności zawieszenia dotychczasowej pracy np. z uwagi na opuszczenie stanowiska pracy, pracownik/użytkownik zobowiązany jest do zablokowania dostępu do swojego konta poprzez odpowiednią kombinację klawiszy. Krótkotrwałe przerwy w pracy bez opuszczania stanowiska pracy, nie wymagają zamykania aplikacji i wylogowania się z systemu. 38 W przypadku dłuższej, niezawinionej nieobecności pracownika jednostka informatyczna sama dokonuje blokady konta użytkownika.
VI. Zakończenie pracy Zakończenie pracy polega na wybraniu odpowiedniego polecenia systemowego umożliwiającego zakończenie pracy np. poprzez „zamknij system”. Zaleca się zamknięcie wszystkich programów i zapisanie wszystkich otwartych plików oraz upewnienie się co do wykonanych czynności. Użytkownik powinien pozostać przy komputerze do chwili jego wyłączenia.
VII. Miejsce i sposób przechowywania elektronicznych nośników informacji dotyczących danych osobowych oraz sposób wykonywania kopii Wszelkie dane zapisywane są na stacjach roboczych użytkownych przez pracowników przedsiębiorstwa. Dostęp do nich mają pracownicy oraz Administrator Danych Osobowych.
VIII. Zabezpieczenie systemów informatycznych Niedopuszczalne jest samowolne przemieszczanie lub zmiana konfiguracji stacji roboczej bez wiedzy Administratora Danych Osobowych bądź Administratora Systemu. Internet za pośrednictwem dostarcza firma ORANGE POLSKA S.A. Przedsiębiorstwo posiada własną wewnętrzną sieć, połączoną, która dostępna jest wyłącznie dla pracowników. Sieć zabezpieczona jest hasłem WPA2 – protokół sieci bezprzewodowych. Przedsiębiorstwo nie będzie udostępniać klientom i kontrahentom możliwości podłączenia do sieci internetowej. Hasła składają się z różnych znaków, tj., małych i wielkich liter, znaków specjalnych, cyfr. Zmiana haseł dokonywana będzie cyklicznie, 1 raz w miesiącu. Wszystkie stacje robocze posiadają oryginalne oprogramowanie softwarowe. Część komputerów korzysta z systemu Windows Home, natomiast część z systemu Windows Professional. Komputery korzystają z zabezpieczenia w postaci programu Norton 360 wraz z uaktualnianą codziennie bazą wirusów. Komputery zabezpieczone są poprzez użycie podwójnego szyfrowania – pracownik aby uruchomić komputer musi w pierwszej kolejności wpisać indywidualne hasło zabezpieczające dysk. Następnie konieczne jest zalogowanie się do panelu użytkownika z użyciem indywidualnego hasła. Hasła 39 składają się z różnych znaków, tj, małych i wielkich liter, znaków specjalnych, cyfr. Każde wyłącznie komputera powoduje konieczność jego ponownego odblokowania z wykorzystaniem hasła zabezpieczającego dysk. Każde wylogowanie się z komputera powoduje konieczność ponownego zalogowania się do panelu użytkownika. Komputery wyposażone są w oprogramowanie, które powoduje, że następuje automatyczne wylogowanie z systemu, jeżeli pracownik nie wykonuje żadnych czynności z wykorzystaniem komputera, przez czas dłuższy niż 5 minut. Hasła składają się z różnych znaków, tj, małych i wielkich liter, znaków specjalnych, cyfr. Zmiana haseł dokonywana będzie cyklicznie, 1 raz w miesiącu. Zapisywanie plików bezpośrednio na pulpicie jest zabronione. Stacje robocze wyposażone są ponadto w programy antywirusowe, których baza danych jest uaktualniana codziennie. Serwer wyposażony jest także w kopię bezpieczeństwa oraz system awaryjnego podtrzymywania napięcia tzw. UPS. Zabronione jest również używanie nośników informacji niepochodzących z zasobów Administratora danych. Każda osoba przetwarzająca dane osobowe przy użyciu komputera ma obowiązek w przypadku powzięcia jakichkolwiek podejrzeń dotyczących obniżenia bezpieczeństwa danych osobowych, poinformować o tym fakcie Administratora danych. Wszyscy użytkownicy systemu muszą stosować się do obowiązujących procedur bezpieczeństwa.
IX. Przeglądy, konserwacje i nośniki danych Przeglądy i konserwacje systemów oraz nośników informacji służących do przetwarzania danych, a także wstępne czynności serwisowe dokonywane są w biurze Przedsiębiorstwa przez Administratora danych. W razie awarii istnieje możliwość zlecenia naprawy firmie zewnętrznej. W wypadku przekazania sprzętu lub nośników informacji służących do przetwarzania danych osobowych podmiotowi trzeciemu, pozbawia się je zapisanych danych osobowych w sposób, który uniemożliwi ich odtworzenie. W obydwu przypadkach, zostaną zachowane szczególne warunki ostrożności, w celu zabezpieczenia danych osobowych przed dostępem osób 40 nieuprawnionych. Wykryte podczas przeglądu i konserwacji nieprawidłowości w działaniu sprzętu lub programów służących do przetwarzania danych osobowych, usuwa się niezwłocznie. Za prawidłowość przeprowadzenia przeglądów i konserwacji systemu informatycznego odpowiada Administrator danych.
X. Bezpieczeństwo danych Administrator danych zastosował i wdrożył środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Zabezpieczył także dane osobowe przed ich udostępnieniem i zabraniem przez osobę/osoby nieuprawnione, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Dane, o których mowa powyżej zabezpieczone przed uszkodzeniem – dostęp do danych mają tylko i wyłącznie upoważnione do tego osoby oraz jednostki komputerowe. Dostęp do dysków mają tylko wybrani użytkownicy posiadający hasło, zaś dostęp do sieci mają tylko upoważnione komputery. Komputery klientów Przedsiębiorstwa korzystają z odrębnej sieci informatycznej i łączą się za pośrednictwem innych haseł niż jednostki komputerowe użytkowników.
XI. Poziom bezpieczeństwa danych W zależności od właściwości zbioru danych wyróżnia się następujące poziomy bezpieczeństwa przetwarzania danych: podstawowy, podwyższony lub wysoki. Poziom podstawowy znajduje zastosowanie, gdy w systemie informatycznym nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom co najmniej podwyższony znajduje zastosowanie, gdy w systemie informatycznym przetwarzane są dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 41 Poziom wysoki znajduje zastosowanie, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. W działalności Przedsiębiorstwa stosowany poziom zabezpieczeń określony jest jako poziom co najmniej podwyższony, z uwagi na to że w systemie informatycznym przetwarzane są dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 42
XIII Załącznik nr 2 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość,
data …………………………………………………..
Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa
NIP: 9512525377 Upoważnienie nr ….. do przetwarzania danych osobowych Na podstawie art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane dalej R O D O , upoważniam Pana/Panią ………………………………….. legitymującą się dowodem osobistem seria numer ……………………… do przetwarzania w zakresie swoich obowiązków służbowych danych osobowych objętych Polityką bezpieczeństwa przetwarzania danych osobowych wdrożoną w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH, zawartych w następujących
zbiorach danych:
□ Zbiór danych pracowników i zleceniobiorców.
□ Zbiór danych osób ubiegających się o zatrudnienie.
□ Zbiór danych w postaci dokumentów księgowych.
□ Zbiór danych w postaci umów handlowych.
□ Zbiór danych w postaci korespondencji przychodzącej.
□ Zbiór danych zawierający dokumentację prowadzonych z udziałem przedsiębioestwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH spraw dotyczących: dochodzenia wierzytelności, postępowań prowadzonych przed sądami powszechnymi, sądami administracyjnymi, organami administracji.
W wyżej wymienionych zbiorach danych dane osobowe przetwarzane są w sposób tradycyjny oraz przy użyciu określonych systemów informatycznych. Osoba upoważniona do przetwarzania danych osobowych na podstawie niniejszego upoważnienia została wpisana do Rejestru osób upoważnionych do przetwarzania danych osobowych. Osoba upoważniona zobowiązuje się do przetwarzania danych osobowych zgodnie z udzielonym upoważnieniem oraz z przepisami RODO wydanymi na jego podstawie krajowymi aktami prawnymi oraz obowiązującymi w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH wewnętrznymi regulacjami w sprawie ochrony danych osobowych.
Naruszenie w/w obowiązków może skutkować poniesienie odpowiedzialności karnej na podstawie przepisów określonych w Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych oraz odpowiedzialności cywilnej. …………………………………………. ……………………………………………. (data i podpis upoważniającego) (data i podpis osoby upoważnionej) 44
XIV Załącznik nr 3 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość,
data ………………………………………………….. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa NIP: 9512525377 Odwołanie upoważnienia nr ….. do przetwarzania danych osobowych Na podstawie art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane dalej RODO, odwołuję upoważnienie nr …………….. z dnia ……………………….., udzielone ……………………………………………….. do przetwarzania danych osobowych objętych Polityką bezpieczeństwa przetwarzania danych osobowych wdrożoną w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH, zawartych w zbiorach danych określonych przedmiotowym upoważnieniem. Tym samym w/w osoba zostaje odsunięta od wszelkich czynności związanych z przetwarzaniem danych osobowych objętych ochroną przedmiotowej Polityki bezpieczeństwa. ………………………………………………………………………………. (podpis administratora danych osobowych) 45
XV Załącznik nr 4 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość,
data ………………………………………………….. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa NIP: 9512525377 Oświadczenie o zachowaniu poufności i zapoznaniu się z polityką bezpieczeństwa danych osobowych wdrożoną w przedsiębiorstwie oraz obowiązującymi przepisami prawa powszechnego dotyczącymi standardów przetwarzania danych osobowych Ja, niżej podpisany/a ………………………………………………………………. oświadczam, że:
1. Zobowiązuję się do zachowania w tajemnicy danych osobowych, z przetwarzaniem których wiążą się wykonywane przeze mnie obowiązki służbowe, jak również informacji o sposobach zabezpieczenia tych danych oraz wdrożonych w przedsiębiorstwie procedurach ich przetwarzania.
2. Zostałem/am poinformowany/a o obowiązujących w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH procedurach przetwarzania danych osobowych ustanowionych w dokumencie Polityka bezpieczeństwa przetwarzania danych osobowych wdrożonej w przedsiębiorstwie. Zobowiązuję się do przestrzegania wszelkich standardów przetwarzania danych osobowych uregulowanych w przedmiotowym dokumencie. 46
3. Zostałem/am poinformowany/a o wynikających z obowiązujących przepisów prawa powszechnego obowiązkach nałożonych na osobę upoważnioną do przetwarzania danych osobowych oraz administratorów tych danych, t. j. z postanowień Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
4. Jestem świadomy/a sankcji grożących za wszelkie naruszenia przyjętych standardów przetwarzania danych, w tym odpowiedzialności karnej określonej przepisami Ustawy o ochronie danych osobowych oraz odpowiedzialności dyscyplinarnej związanej z ciężkim naruszeniem podstawowych obowiązków pracowniczych. ………………………………………………………………………… (podpis pracownika) ………………………………………………………………………………. (podpis administratora danych osobowych) 47
XVI Załącznik nr 5 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH: 48
XVII Załącznik nr 6 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość, data ………………………………………………….. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa NIP: 9512525377 Zarządzenie o powołaniu Inspektora Danych Osobowych 1. Na podstawie art. 37 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane dalej RODO powołuję na funkcję Inspektora Ochrony Danych w przedsiębiorstwie prowadzonym przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH ……………………………………………………………………………. (imię i nazwisko), ……………………………………………… ………. ……………………………… (adres zamieszkania), ……………………………………………….. (PESEL).
2. Inspektor Ochrony Danych wykonuje obowiązki określone w art. 39 RODO. 3. Zarządzenie wchodzi w życie z dniem wydania. ………………………………………………………………………………. (podpis administratora danych osobowych) 49
XVIII Załącznik nr 7 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH Załącznik do umowy nr………./ z dnia ……………… Umowa o powierzenie przetwarzania danych osobowych Zawarta dnia …………………….. r. w …………………………………… pomiędzy: Ihar Yoch prowadzącym działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH, ul. Grzybowska 80/82 lok. 700, 00-844 Warszawa, prowadzącym działalność gospodarczą na podstawie wpisu w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP 9512525377, REGON 389833135, zwanym dalej „Zleceniodawcą” a ……………………………………….., zam. ………………………………, legitymującym się dowodem osobistym nr ……………………………… PESEL ……………………, NIP ………………., REGON ……………………., prowadzącym działalność gospodarczą pod firmą …………………………………, adres: …………………………………………………………… wpisany do Centralnej Informacji i Ewidencji o Działalności Gospodarczej zwanym dalej „Wykonawcą”; zwanymi łącznie „Stronami”.
§ 1 Powierzenie przetwarzania danych osobowych 1. Celem realizacji umowy z dnia ……………….. r., dotyczącej ……………….zawartej pomiędzy Stronami, Zleceniodawca powierza Wykonawcy w trybie art. 28 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części RODO) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. Wykonawca zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą 50 umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Wykonawca oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi RODO.
4. Zleceniodawca oświadcza, że jest administratorem danych osobowych, których przetwarzanie powierza.
§ 2 Cel i zakres przetwarzania danych 1. Na podstawie niniejszej umowy Wykonawca jest upoważniony do przetwarzania następujących kategorii danych osobowych:
1) imię i nazwisko,
2) numer ewidencyjny PESEL,
3) seria i numer dowodu osobistego,
4) adres/siedziba,
5) NIP/REGON/KRS,
6) adres e-mail,
7) dane zawarte w dokumentacji księgowej,
8) dane zawarte w dokumentacji ZUS.
2. Zleceniodawca upoważnia Wykonawcę do przetwarzania powierzonych danych osobowych wyłącznie w celu i zakresie wykonania przez Wykonawcę umowy, o której mowa w § 1 ust. 1 niniejszej Umowy. Sposób przetwarzania danych określają postanowienia Umowy.
§ 3 Obowiązki Wykonawcy
1. Wykonawca zobowiązuje się, że wszelkie osoby upoważnione do przetwarzania danych w jego przedsiębiorstwie, które będą miały dostęp do danych powierzonych przez Administratora, zostaną przeszkolone w zakresie obowiązujących przepisów dot. danych osobowych oraz, że zostaną im udzielone pisemne upoważnienia do przetwarzania danych osobowych.
2. Wykonawca zobowiązuje się, do zabezpieczenia danych osobowych przy ich przetwarzaniu oraz do stosowania odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
3. Wykonawca zobowiązuje się dołożyć należytej staranności przy przetwarzaniu 51 powierzonych danych osobowych.
4. Wykonawca zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust. 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich przez Wykonawcę, jak i po jego ustaniu.
5. W miarę możliwości Wykonawca pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
6. Wykonawca w razie stwierdzenia naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi.
7. Wykonawca zobowiązuje się nie przekazywać danych osobowych do żadnego państwa poza Unią Europejską bez uprzedniej wyraźnej zgody Zleceniodawcy.
§ 4 Kontrola wykonywana przez Administratora 1. Administrator Danych Osobowych zgodnie z art. 28 ust. 3 pkt h RODO ma prawo kontroli, czy środki zastosowane przez Wykonawcę przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
2. Administrator Danych Osobowych realizować będzie prawo kontroli w godzinach pracy Wykonawcy i z minimum 7-dniowym jego uprzedzeniem.
3. Wykonawca zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora Danych Osobowych nie dłuższym niż 14 dni.
4. Wykonawca udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 5 Odpowiedzialność Wykonawcy
1. Wykonawca odpowiada za nieuprawnione udostępnienie oraz wykorzystanie powierzonych danych osobowych niezgodnie z Umową lub RODO w tym za udostępnienie danych osobom nieupoważnionym.
2. Wykonawca zobowiązuje się do niezwłocznego poinformowania Administratora Danych Osobowych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, 52 dotyczącym przetwarzania przez Wykonawcę danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Wykonawcy, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania.
§ 6 Dalsze powierzenie danych do przetwarzania
1. Wykonawca może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora Danych Osobowych.
2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora Danych Osobowych, chyba że obowiązek taki nakłada na Zleceniodawcę prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora Danych Osobowych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Podwykonawca, o którym mowa w § 6 ust. 1 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie.
4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
§ 7 Czas obowiązywania Umowy powierzenia Przedmiotowa Umowa została zawarta na czas obowiązywania umowy, o której mowa w § 1 ust. 1. § 8 Warunki rozwiązania Umowy 1. Zleceniodawca może rozwiązać niniejszą Umowę bez zachowania terminu wypowiedzenia zakreślonego w umowie, o której mowa w § 1 ust. 1. w następujących przypadkach: 1) Wykonawca wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową lub RODO,
2) Wykonawca mimo wcześniejszego wezwania Zleceniodawcy do zaniechania naruszeń nie 53 zaprzestał przetwarzania powierzonych danych osobowych w sposób niezgodny z postanowieniami przedmiotowej umowy lub RODO,
3) Wykonawca zawiadomi o niemożliwości kontynuowania prawidłowego wykonywania niniejszej Umowy, w szczególności ze względu na niespełnienie wytycznych określonych w §3. 2. Rozwiązanie przedmiotowej Umowy przez Zleceniodawcę na warunkach określonych w § 8 ust. 1 jest równoznaczne z wypowiedzeniem umowy, o której mowa w § 1 ust. 1.
§ 9 Postanowienia końcowe 1. Wszelkie zmiany niniejszej umowy wymagają zachowania formy pisemnej pod rygorem nieważności. 2. W sprawach nieuregulowanych przedmiotową Umową mają zastosowanie odpowiednie przepisy Kodeksu Cywilnego oraz Ustawy z dnia 10.05.2018 r. o ochronie danych osobowych (Dz.U 2018 poz. 1000).
3. Spory wynikłe w związku z realizacją przedmiotowej Umowy będą rozstrzygane przez właściwy rzeczowo sąd powszechny w Białymstoku. 4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron. …………………………………….. ……………………………………. Zleceniodawca Wykonawca 54
XIX Załącznik nr 8 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość, data ………………………………………………….. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa NIP: 9512525377 Ewidencja pracowników/ osób zatrudnionych na podstawie umów cywilnoprawnych upoważnionych do przetwarzania danych osobowych L.p. Imię i nazwisko Oznaczenie użytkownika Zakres upoważnienia Data nadania uprawnień Data odebrania uprawnień Uwagi 1. ………………………………………………………………………………. (podpis administratora danych osobowych) 55
XX Załącznik nr 9 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość, data ………………………………………………….. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa NIP: 9512525377 Ewidencja podmiotów, którym udostępniono dane osobowe L.p. Nazwa podmiotu Cel udostępnienia danych Zakres udostępnienia danych Data udostępnienia Data odebrania dostępu Uwagi 1. ………………………………………………………………………………. (podpis administratora danych osobowych) 56
XXI Załącznik nr 10 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH Opis środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych: Środek ochrony technicznej i fizycznej Zastosowano (TAK / NIE) Uwagi
1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
2. Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
3. Pomieszczenie, w którym przetwarzany jest zbiór danych osobowych, wyposażone jest w system alarmowy przeciwwłamaniowy.
4. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, objęty jest systemem kontroli dostępu.
5. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
6. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony.
7. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. 57
8. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie.
9. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej.
10. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.
11. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie.
17. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych, zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolno stojącej gaśnicy.
18. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. Środek organizacyjny Zastoso wano (TAK / NIE) Uwagi Do przetwarzania danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienie nadane przez administratora danych Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych Opracowano i wdrożono Politykę Bezpieczeństwa. o której mowa w ustawie o ochronie danych osobowych 58 Opracowano i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. Monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. ………………………………………………………………………………. (podpis administratora danych osobowych) 59
XXII Załącznik nr 11 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość, data ………………….. PROTOKÓŁ KONTROLI w zakresie ochrony danych osobowych
1. Nazwa kontrolowanego przedsiębiorstwa __________________________________________ ____________________________________________________________________________
2. Zbiory danych osobowych, których przetwarzanie podlega kontroli ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________
3. Data wykonania czynności kontrolnych: ___________________________________________
4. Imię i nazwisko osoby wykonującej czynności kontrolne: _____________________________
5. Imiona i nazwiska osób udzielających informacji dotyczących ochrony danych osobowych w kontrolowanym przedsiębiorstwie: ________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________
6. Ustalenia dokonane w trakcie czynności kontrolnych: ________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 60 ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________
7. Wnioski i zalecenia pokontrolne: ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ………………………………..… (data i podpis osoby wykonującej czynności kontrolne) 61
XXIII Załącznik nr 12 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość, data …………………..………………….. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa NIP: 9512525377 Wzór zgłoszenia incydentu do organu nadzorczego Prezes Urząd Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa
1. Godzina/ data/ miejsce zdarzenia. ____________________________________________________________________________
2. Opis charakteru naruszenia ochrony danych osobowych w tym kategoria i przybliżona liczbę osób, których dane dotyczą, oraz kategoria i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie. ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ _____________________________________________________________________________ ____________________________________________________________________________
3. Okoliczności zdarzenia ____________________________________________________________________________ 62 ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________
4. Konsekwencje naruszenia ochrony danych osobowych ____________________________________________________________________________ _____________________________________________________________________________ ____________________________________________________________________________
5. Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochro[1]ny danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ …………………………………………………… (podpis administratora danych osobowych) 63
XXIV Załącznik nr 13 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość, data …………………………………………………. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa NIP: 9512525377 Ewidencja naruszeń bezpieczeństwa danych osobowych 1 2 3 4 5 6 7 8 9 10 11 12 Nazwa oraz adres siedziby Administra tora Nazwa i adres podmiotu powierzają cego (jeżeli do naruszenia doszło u podmiotu) Data i godzina Miejsce incydentu prowadząc ego do naruszenia Opis incydentu/ naruszenia ochrony danych Kategorie osób, których danych osobowych dotyczy naruszenie Przybliżon a liczba osób, których danych osobowych dotyczy naruszenie Kategorie danych osobowych, których dotyczy naruszenie Możliwe konsekwen cje naruszenia ochrony danych osobowych dla osób fizycznych Zastosowan e środki w celu zaradzenia naruszeniu ochrony danych, w tym w celu zminimaliz owania jego ewentualny ch negatywnyc h skutków Czy naruszenie zostało zgłoszone do organu nadzorczego? Czy osoby, których dane dotyczą, zostały zawiadomione o naruszeniu ochrony danych? wystąpienia incydentu prowadząc ego do naruszenia stwierdzeni a naruszenia Jeżeli tak – data i godzina zgłoszenia naruszenia do organu nadzorczeg o i link do treści zgłoszenia Jeżeli nie – wyjaśnienie powodów braku zgłoszenia naruszenia do organu nadzorczeg o Jeżeli tak – sposób i data wysłania zawiadomie nia oraz link do jego treści Jeżeli nie – wyjaśnienie powodów braku zawiadomieni a osób, których dane dotyczą 64 …………………………………………………… (podpis administratora danych osobowych) 65
XXV Załącznik nr 14 do Polityki bezpieczeństwa przetwarzania danych osobowych przedsiębiorstwa prowadzonego przez Ihar Yoch pod firmą COIN EXPERT IHAR YOCH miejscowość, data …………………………………………………. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa NIP: 9512525377 Zawiadomienie o naruszeniu ochrony Pani/Pana danych osobowych Niniejszym zawiadamiam, iż w dniu ………………….. doszło do incydentu, w wyniku którego Pani/Pana dane mogły znaleźć się w posiadaniu osób nieupoważnionych. W związku z powyższym przekazujemy informacje dotyczące tego incydentu, a także działań, jakie zostały podjęte przez Administratora Danych oraz informacje o działaniach, jakie może Pan/ Pani podjąć w związku z incydentem. Prosimy o zapoznanie się z przedmiotowym zawiadomieniem.
1. Opis zdarzenia ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________
2. Możliwe konsekwencje dla Pana/Pani ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 66 ____________________________________________________________________________ ____________________________________________________________________________
3. Działania podjęte przez Administratora Danych. ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________
4. Jakie działania mogą być podjęte przez Panią/Pana. ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________
5. Jeżeli ma Pan/Pani pytania odnośnie przedmiotowego zdarzenia istnieje możliwość zwrócenie się do administratora danych o uzyskanie szczegółowych informacji.
Poniżej dane kontaktowe do Administratora Danych. Ihar Yoch prowadzący działalność gospodarczą pod firmą COIN EXPERT IHAR YOCH ul. Grzybowska 80/82 lok. 700 00-844 Warszawa Tel. +48 797 377 373 adres e-mail: biuro@coinexpert.pl