1. INFORMACJE OGÓLNE.

1. Pojęciom stosowanym na potrzeby niniejszej Polityki Bezpieczeństwa nadaje się następujące znaczenie:

1) Administrator Danych Osobowych (ADO) – osoba prawna, która samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych, którym jest Moje Ubezpieczenia Wacław Huczek, ul. Żeromskiego 6, 34-300 Żywiec.

2) IODO – Inspektor Ochrony Danych Osobowych – oznacza Inspektora ochrony danych, o którym mowa w Sekcji 4, art. 37-39 RODO.

3) Procesor – osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora;

4) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

W pozostałym zakresie pojęcia, terminy i zwroty mają znaczenie nadane im w przepisach powszechnie obowiązującego prawa, w szczególności w RODO.

2. Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania ADO z RODO oraz powszechnie obowiązującymi przepisami prawa polskiego w zakresie ochrony danych osobowych.

3. Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.

2. OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH.

2.1. INFORMACJE OGÓLNE.

Za przetwarzanie danych osobowych, zapewnienie im stopnia bezpieczeństwa zgodnie z RODO oraz za stosowanie niniejszej Polityki Bezpieczeństwa odpowiada zarząd ADO, osoby wyznaczone przez zarząd, zajmujące stanowiska kierownicze, odpowiedzialne za organizację i nadzór nad procesami, w których ma miejsce przetwarzanie danych osobowych oraz osoby upoważnione w formie pisemnej przez ADO do przetwarzania danych osobowych.

2.2. INSPEKTOR OCHRONY DANYCH OSOBOWYCH.

1. Powołanie Inspektora Ochrony Danych Osobowych (IODO) jest uzależnione od spełnienia jednej z następujących przesłanek:

1) główna działalność ADO będzie polegać na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

2) główna działalność ADO będzie polegać na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;

3) ADO, podejmie dobrowolną decyzję o powołaniu IODO, mimo braku prawnego obowiązku, wynikającego ze spełnienia przesłanki wskazanej w pkt 2.2. ust. 1 ppkt 1 lub 2 powyżej.

2. W przypadku spełnienia jednej z przesłanek wskazanych w pkt 2.2 ust. 1 ADO wyznacza jednego IODO dla wszystkich podmiotów, wchodzących w skład grupy.

3. IODO może być osoba, która:

1) ma pełną zdolność do czynności prawnych;

2) posiada szeroką wiedzę w zakresie przepisów prawa dotyczących ochrony danych osobowych, w szczególności RODO;

3) posiada wiedzę sektorową, dotyczą obszaru aktywności biznesowej ADO;

4) posiada wiedzę fachową dotyczącą ryzyk i zagrożeń związanych z przetwarzaniem danych osobowych, w tym w zakresie rozwiązań informatycznych i cyberbezpieczeństwa;

5) posiada wiedzę fachową dotyczą zarządzania ryzykiem;

6) posiada umiejętności szkoleniowe oraz komunikacyjne, pozwalające na promowanie u ADO zasad ochrony danych osobowych.

4. Do zadań IODO należy w szczególności:

1) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

2) monitorowanie przestrzegania RODO, przepisów prawa polskiego dotyczących ochrony danych osobowych oraz niniejszej Polityki Bezpieczeństwa;

3) prowadzenie działania zwiększających świadomość w zakresie ochrony danych osobowych, w szczególności szkolenie personelu uczestniczącego w operacjach przetwarzania danych osobowych;

4) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

5) współpraca z organem nadzorczym;

6) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz prowadzenie konsultacji we wszelkich innych sprawach związanych z przetwarzaniem danych osobowych (o ile okażą się niezbędne);

7) prowadzenie kontroli w obszarze ochrony danych osobowych.

5. ADO zapewnia odpowiedni statusu IODO w szczególności poprzez:

1) właściwie i niezwłocznie włączanie IODO we wszystkie sprawy dotyczące ochrony danych osobowych;

2) zapewnienie IODO zasobów niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasobów niezbędnych do utrzymania jego wiedzy fachowej;

3) brak przekazywania instrukcji dotyczących wykonywania zadań osobie pełniącej funkcję IODO;

4) brak możliwości odwołania lub ukarania IODO przez zarząd ADO za wypełnianie przez tę osobę zadań w ramach pełnienia funkcji IODO;

5) umiejscowienie IODO w strukturze organizacyjnej ADO, jako funkcji bezpośrednio podległej najwyższemu kierownictwu ADO.

2.3. ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH.

1. ADO może wyznaczyć Administratora Systemów Informatycznych.

2. Do uprawnień i obowiązków Administratora Systemów Informatycznych należą w szczególności:

1) nadzór nad nadawaniem uprawnień do przetwarzania danych osobowych w systemach informatycznych;

2) nadzór nad stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do tych systemów;

3) podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń;

4) identyfikacja i analiza zagrożeń oraz ocena ryzyka, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych;

5) sprawowanie nadzoru nad kopiami zapasowymi w sposób opisany w Instrukcji zarządzania systemem informatycznym.

3. W przypadku braku powołania Administratora Systemu Informatycznego ADO zobowiązany jest wyznaczyć osobę lub funkcję, odpowiedzialną za realizację postanowień Polityki Bezpieczeństwa, przypisanych do Administratora Systemu Informatycznego.

2.4. OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH.

1. Każda osoba, która uzyskała pisemne upoważnienie do przetwarzania danych osobowych zobowiązana jest do ich ochrony w sposób zgodny z przepisami RODO, przepisów prawa polskiego dot. ochrony danych osobowych, Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym.

2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia lub rozwiązaniu umowy cywilnoprawnej.

3. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH.

1. Upoważnienia do przetwarzania danych osobowych nadawane są przez osoby zajmujące stanowisko kierownicze (dyrektor) w ADO, którym zarząd powierzył zarządzanie procesem, w którym ma miejsce dany rodzaj przetwarzanie danych osobowych, którego upoważnienie dotyczy.

2. Do nadania upoważnienia niezbędne jest uzyskanie pozytywnej opinii Departamentu Prawnego i Compliance oraz Inspektora Ochrony Danych Osobowych (jeśli zostanie powołany), na wniosek przekazywany w formie elektronicznej przez osobę wskazaną w pkt 3 ust. 1.

3. Upoważnienia do przetwarzania danych osobowych, które wymagają dostępu do systemu informatycznego, wymagają dodatkowo złożenia wniosku przez osobę wskazaną w pkt 3 ust. 1 o nadanie dostępu do systemu informatycznego do Administratora Systemu Informatycznego. Tryb składania wniosku o dostęp do systemu informatycznego określa Instrukcja bezpieczeństwa systemu informatycznego.

4. Upoważnienie do przetwarzania danych osobowych wymaga zachowania formy pisemnej.

5. Przed uzyskaniem upoważnienia osoba mająca je uzyskać musi zostać przeszkolona z przepisów prawa dotyczących ochrony danych osobowych oraz z regulacji wewnętrznych, stosowanych u ADO w zakresie ochrony danych osobowych (w szczególności z niniejszej Polityki Bezpieczeństwa).

6. Osoby, o których mowa w pkt 3 ust. 1 są zobowiązane do prowadzenia w formie elektronicznej Rejestru osób upoważnionych do przetwarzania danych osobowych w zarządzanym przez nie procesie oraz do każdorazowego informowania Departamentu Prawnego i Compliance o zamieszczeniu lub zmianie wpisu do tego rejestru oraz o treści tego wpisu.

7. W uzasadnionych przypadkach upoważnienie do przetwarzania danych osobowych może zostać wydane przez Inspektora Ochrony Danych Osobowych, a w przypadku braku jego powołania, przez Dyrektora Departamentu Prawnego i Compliance, na wniosek osoby, która ma otrzymać upoważnienie.

8. Administrator Systemu Informatycznego prowadzi Rejestr osób mających dostęp do systemu informatycznego. Formę i zakres Rejestru osób mających dostęp do systemu informatycznego określa Instrukcja bezpieczeństwa systemu informatycznego.

9. Centralny rejestr osób upoważnionych do przetwarzania danych osobowych u ADO jest prowadzony przez Departament Prawny i Compliance.

10. Wzory upoważnienia do przetwarzania danych osobowych oraz Rejestru osób upoważnionych do przetwarzania danych osobowych stanowią odpowiednio Załącznik nr 1 oraz Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa.

4. UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH.

1. Umowa powierzenia przetwarzania danych osobowych powinna zostać przygotowana w oparciu o oficjalny wzór umowy powierzenia, przygotowany dla ADO przez Departament Prawny i Compliance.

2. Umowa powierzenia musi zawierać wszystkie elementy określone w RODO, w szczególności w art. 28.

3. Umowa powierzenia przetwarzania danych osobowych, zawierana przez ADO, musi zostać pozytywnie zaopiniowania przez Departament Prawny i Compliance oraz Inspektora Ochrony Danych Osobowych (o ile zostanie powołany).

4. Umowa powierzenia przetwarzania danych osobowych może być przez ADO zawarta wyłącznie z takim podmiotem przetwarzającym, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, powszechnie obowiązujących przepisów prawa polskiego, w szczególności dotyczących ochrony danych osobowych, i zapewniało stopień bezpieczeństwa danych osobowych, odpowiedni do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

5. Informacja o zawarciu takiej umowy z innym podmiotem niż partner lub osoba fizyczna wykonująca czynności agencyjne, w ramach wykonywania umów agencyjnych z zakładami ubezpieczeń, musi zostać przekazana niezwłocznie do Departamentu Prawnego i Compliance oraz do Inspektora Ochrony Danych Osobowych (o ile zostanie powołany).

6. Rejestr umów powierzenia, o których mowa w pkt 4 ust. 5, jest prowadzony przez Departament Prawny i Compliance.

7. Umowa powierzenia jest zawierana przez osobę upoważnioną do dokonania takiej czynności prawnej przez zarząd ADO lub bezpośrednio przez ten zarząd.

5. OGÓLNE ZASADY OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH.

1. Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi każdy pracownik oraz współpracownik ADO, mający dostęp do danych osobowych.

2. Pracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych.

3. Każdy pracownik oraz współpracownik ADO jest zobowiązany do przestrzegania podstawowych zasad dotyczących przetwarzania danych osobowych, zgodnie z którymi dane osobowe muszą być:

1) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

2) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);

3) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

4) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

5) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);

6) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

4. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej wszyscy pracownicy i współpracownicy ADO zobowiązani są do stosowania polityki „czystego biurka”, zgodnie z którą:

1) Na biurku należy przechowywać tylko te dokumenty, które są niezbędne w danym momencie pracy do wykonania bieżących zadań;

2) Po zakończonej pracy pracownik zobowiązany jest odłożyć wszystkie dokumenty do:

a) w przypadku pomieszczeń, do których szeroki dostęp mają osoby trzecie – zamykanej na klucz wzmocnionej szafy lub dedykowanego pomieszczenia-archiwum,

b) w przypadku pomieszczeń, do których dostęp osób trzecich jest kontrolowany (np. zamknięte drzwi lub wejście dla osób posiadających kartę dostępu – do zamykanej szafy lub szafki przy biurku.

5. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.

6. Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia oraz jej bezpośredni przełożony.

7. Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych i pod jej bezpośrednim nadzorem, chyba że dane te są w odpowiedni sposób zabezpieczone, w szczególności fizycznie, przed dostępem osób nieuprawnionych (np. wzmocniona szafa zamknięta na klucz).

8. Pracownicy zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem.

9. Komputery i urządzenia mobilne, wykorzystywane do przetwarzania danych osobowych, muszą być zabezpieczone przed dostępem osób nieuprawnionych do przetwarzania przynajmniej hasłem do indywidualnego konta użytkownika, posiadającego uprawnienia do przetwarzania danych osobowych. Wymogi dotyczące formy hasła oraz cykliczności jego aktualizowania, uzależnione od rodzaju urządzenia i wykorzystywanego oprogramowania, określa polityka haseł, zawarta w Instrukcji bezpieczeństwa systemu informatycznego.

10. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, ADO w przypadku występowania w roli administratora danych osobowych – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO, przepisów prawa polskiego dotyczących ochrony danych osobowych oraz zapewnić odpowiedni stopień bezpieczeństwa danych osobowych.

11. ADO, w przypadku, gdy występuje w roli administratora danych osobowych, wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

6. ZASADY POSTĘPOWNIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH.

1. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić do Departamentu Prawnego i Compliance, Inspektora Ochrony Danych Osobowych (o ile zostanie powołany) oraz Administratorowi Systemów Informatycznych (w odniesieniu do danych przetwarzanych w systemach infor matycznych).

2. Do czasu przybycia otrzymania dalszych instrukcji od wskazanych w pkt 6 ust. 1 osób/jednostek , osoba powiadamiająca powinna:

1) niezwłocznie podjąć czynności niezbędne dla powstrz ymania niepożądanych skutków, a następnie ustalić przyczyny, lub s prawców zaistniałego zdarzenia, jeżeli jest to możliwe,

2) zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę,

3) udokumentować wstępnie zaistniałe naruszenie

4) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia (o ile zdarzenia nie dotyczy systemu informatycznego bez żadnych widocznych oznak naruszenia w miejscu przetwarzania danych)

3. Po przybyciu na miejsce naruszenia ochrony danych osobowych, pracownik Departamentu Prawnego i Compliance albo Inspektor Ochrony Danych Osobowych (w przypadku jego powołania)

1) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metod dalszego postępowania

2) wysłuchuje relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji ka żdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem

4. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, osoba wskazana w pkt 6 ust. 3, po uzyskaniu opinii Administratora Systemów Informatycznych (w odni esieniu do naruszeń dotyczących danych przetwarzanych w systemach informatycznych), proponuje adekwatne działania naprawcze i mitygujące ryzyko wystąpienia naruszenia w przyszłości (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabez pieczeń) i zarządza termin wznowienia przetwarzania danych.

5. Osoba wskazana w pkt 6 ust. 3 dokumentuje zaistniały przypadek naruszenia oraz sporządza raport, w którym zawiera co najmniej:

1) Opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

2) Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych (o ile został powołany) lub oznaczenie innego punktu kontaktowego, od którego można uzyskać informacje w sprawie zdarzenia;

3) Opis możliwych konsekwencji naruszenia ochrony danych osobowych;

4) Opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

7. KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH.

1. Weryfikacja bieżąca i kontrola funkcjonalna w zakres ie przetwarzania i stanu zabezpieczenia danych osobowych jest prowadzona przez osoby, którym zarząd ADO, powierzył zarządzanie procesami, w których dochodzi do przetwarzania danych osobowych

2. W zakresie przetwarzania danych osobowych w systemach informatyc znych, weryfikacja bieżąca i kontrola funkcjonalna w zakresie przetwarzania i stanu zabezpieczenia danych osobowych jest niezależnie od obowiązków wskazanych w pkt 7 ust. 2 prowadzona przez Administratora Systemu Informatycznego.

3. Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych u ADO sprawuje Departament Prawny i Compliance albo Inspektor Ochrony Danych Osobowych (w przypadku jego powołania).

4. Przez funkcję właściwą zgodnie z pkt 7 ust. 3, kontrola je st prowadzona przy pomocy następujących mechanizmów kontroli ryzyka naruszenia przepisów dotyczących ochrony danych osobowych

1) analiza nowych produktów i usług wprowadzanych do oferty ADO , analiza modyfikacji tych produktów i usług oraz analiza procesów przetwarzania danych osobowych w ramach procesów dotyczących tych produktów i usług, pod kątem zgodności z przepisami prawa dotyczącymi ochrony danych osobowych

2) wydawanie szczegółowych wytycznych dotyczących określonego postępowania lub przetwarzania danych osobowych;

3) uczestnictwo w kluczowych projektach wdrożeniowych, w kontekście zapewniania zgodności z przepisami prawa dotyczącymi ochrony danych osobowych;

4) przeprowadzanie lub zlecanie przeprowadzenia szkoleń we wskazywanym zakresie;

5) monitorowanie rodzaj u i ilości naruszeń ochrony danych osobowych

6) kontroli doraźnych w przypadku powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia, niezwłocznie po powzięciu takich informacji

5. Funkcja właściwa zgodnie z pkt 7 ust. 3 ma prawo do kontroli podmiotów, którym powierzono przetwarzanie danych osobowych w trybie określonym w Polityce Bezpieczeństwa.

8. REJESTRY DOTYCZĄCE PRZETWARZANYCH DANYCH OSOBOWYCH.

8.1 REJESTR CZYNNOŚCI PRZETWARZANIA.

ADO prowadzi w formie elektronicznej rejestr czynności przetwarzania danych osobowych, który obejmuje w szczególności następujące informacje:

1) nazwę oraz dane kontaktowe administratorów danych osobowych,

2) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych,

3) cele przetwarzania,

4) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

5) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,

6) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,

7) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.

8.2 REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA.

ADO prowadzi w formie elektronicznej rejestr kategorii czynności przetwarzania, który obejmuje w szczególności następujące informacje:

1) nazwę oraz dane kontaktowe podmiotów przetwarzających,

2) nazwę oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający,

3) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych,

4) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

5) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

9. ZASADY POSTĘPOWANIA PRZY REALIZACJI ŻĄDAŃ PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ.

1. Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, ADO zapewnia ochronę praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), ADO może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.

2. Nieprzetwarzanie. ADO informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.

3. Odmowa. ADO informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.

4. Dostęp do danych. Na żądanie osoby dotyczące dostępu do jej danych, ADO informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych, z zastrzeżeniem, że kopii danych wydanej w wykonaniu prawa dostępu do danych ADO nie uzna za pierwszą nieodpłatną kopię danych na potrzeby opłat za kolejne kopie danych.

5. Kopie danych. Na żądanie ADO wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych. Za kolejne kopie danych ADO może pobrać opłatę, skalkulowaną w oparciu o oszacowany jednostkowy koszt obsługi żądania wydania kopii danych.

6. Sprostowanie danych. ADO dokonuje sprostowania nieprawidłowych danych na żądanie osoby. ADO ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.

7. Uzupełnienie danych. ADO uzupełnia i aktualizuje dane na żądanie osoby. ADO ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. ADO może polegać na udokumentowanym oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle RODO, powszechnie obowiązujących przepisów prawa polskiego lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.

8. Usunięcie danych. Na żądanie osoby, ADO usuwa dane, gdy:

1) Dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach;

2) Zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania;

3) Osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;

4) Dane były przetwarzane niezgodnie z prawem;

5) Konieczność usunięcia wynika z obowiązku prawnego;

6) Żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).

ADO obsługuje prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
Jeżeli dane podlegające usunięciu zostały upublicznione przez ADO, to ADO podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
W przypadku usunięcia danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.

9. Ograniczenie przetwarzania. ADO dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:

1) Osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość;

2) Przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

3) ADO nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

4) Osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie ADO zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.

W trakcie ograniczenia przetwarzania ADO przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
ADO informuje osobę przed uchyleniem ograniczenia przetwarzania.
W przypadku ograniczenia przetwarzania danych ADO informuje osobę o odbiorcach danych, na żądanie tej osoby.

10. Przenoszenie danych. Na żądanie osoby ADO wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona ADO, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych ADO.

11. Sprzeciw w szczególnej sytuacji. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez ADO w oparciu o uzasadniony interes ADO lub o powierzone ADO zadanie w interesie publicznym, ADO uwzględni sprzeciw, o ile nie
zachodzą po stronie ADO ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

12. Sprzeciw przy badaniach naukowych, historycznych lub celach statystycznych. W zakresie prowadzonego przez ADO przetwarzania danych w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. ADO uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

13. Sprzeciw względem marketingu bezpośredniego. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez ADO na potrzeby marketingu bezpośredniego (w tym ewentualnie profilowania), ADO uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

14. Prawo do ludzkiej interwencji przy automatycznym przetwarzaniu. Jeżeli ADO przetwarza dane w sposób automatyczny, w tym w szczególności profiluje osoby, i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, ADO zapewnia możliwość odwołania się do interwencji i decyzji człowieka po stronie ADO, chyba że taka automatyczna decyzja:

1) jest niezbędna do zawarcia lub wykonania umowy między odwołującą się osobą a ADO;

2) jest wprost dozwolona przepisami prawa;

3) opiera się o wyraźną zgodę odwołującej osoby.

15. Wszystkie żądania realizacji praw osób, których dane dotyczą, powinny być przekazane niezwłocznie do Departamentu Prawnego i Compliance albo do Inspektora Ochrony Danych Osobowych (jeżeli zostanie powołany).

10. ZASADY DOTYCZĄCE PRZECHOWYWANIA, MONITOROWANIA I PRZESTRZEGANIA OKRESÓW RETENCJI DANYCH.

1. Dane osobowe mogą być przetwarzane i przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których dane te zostały pozyskane.

2. Po realizacji ostatniego z celów, dla którego dane osobowe zostały pozyskane, dane osobowe powinny zostać niezwłocznie usunięte lub zanonimizowane (tj. zmodyfikowane w sposób uniemożliwiający identyfikację osoby, której dane dotyczą).

3. Za weryfikację bieżącą i kontrolę funkcjonalną danych przetwarzanych w postaci papierowej odpowiada osoba upoważniona przez zarząd podmiotu wchodzącego w skład ADO do zarządzania procesem, w którym odbywa się przetwarzanie danych osobowych.

4. Za weryfikację bieżącą i kontrolę funkcjonalną danych przetwarzanych w systemach informatycznych odpowiada Administrator Systemu Informatycznego.

5. Za określenie okresów retencji dla poszczególnych celów i podstaw do przetwarzania danych osobowych odpowiada osoba, której zarząd podmiotu wchodzącego w skład ADO powierzył zarządzanie procesem, w którym odbywa się przetwarzanie danych osobowych.

6. Osoba, o której mowa w pkt 10 ust. 5, przy określania okresów retencji dla poszczególnych celów i podstaw do przetwarzania danych osobowych, ma obowiązek uzyskania pozytywnej opinii Inspektora Ochrony Danych Osobowych, jeżeli zostanie powołany, a w przypadku braku jego powołania – Departamentu Prawnego i Compliance.

11. ZASADY DOKONYWANIA OCENY SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH.

1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, osoba wyznaczona do prowadzenia projektu lub wprowadzenia czynności związanych z tym rodzajem przetwarzania u ADO, przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz dokumentuje jej wynik. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

2. Ocena skutków dla ochrony danych powinna zostać zaopiniowania przez Departament Prawny i Compliance oraz Inspektora Ochrony Danych Osobowych (jeśli zostanie powołany).

3. Wynik oceny wraz z rozwiązaniem biznesowym uwzględniającym problematyczny rodzaj przetwarzania oraz opinią Departamentu Prawnego i Compliance oraz Inspektora Ochrony Danych Osobowych, musi zostać przedstawiony do zatwierdzenia przez ADO.

4. Ocena musi zawierać w szczególności:

1) opis planowanych operacji przetwarzania i celów przetwarzania, w tym prawnie uzasadnionych interesów realizowanych przez administratora;

2) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

3) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

4) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

12. ŚRODKI BEZPIECZEŃSTWA (ROZWIĄZANIA ORGANIZACYJNE I TECHNICZNE) NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI I INTEGRALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH.

Wykaz środków bezpieczeństwa (rozwiązań organizacyjnych i technicznych) niezbędnych dla zapewnienia poufności i integralności przetwarzanych danych osobowych.

Część I – rozwiązania organizacyjne.

1. Do przetwarzania danych osobowych dopuszczano są wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania danych osobowych (zgodne ze wzorem stosowanym przez ADO).

2. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych (odrębna dla każdego procesu przetwarzania).

3. Powołano Inspektora Ochrony Danych Osobowych.

4. Wdrożono Politykę Bezpieczeństwa dot. ochrony danych osobowych.

5. Wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

6. Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych (obowiązek udokumentowania).

7. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy (obowiązek udokumentowania).

8. Wprowadzono politykę haseł (konieczność cyklicznej aktualizacji, wymogi dot. formatu i złożoności hasła).

9. Wprowadzono politykę tzw. „czystego biurka” (zakaz przechowywania dokumentów zawierających dane osobowe w miejscach powszechnie dostępnych, w szczególności na meblach takich jak biurka, czy szafki).

10. Wprowadzono obowiązek dokonywania i dokumentowania regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.

Część II – Rozwiązania techniczne.

1. Monitory komputerów, na których przetwarzane są dane osobowe w pomieszczeniach, do których mają dostęp osoby trzecie, ustawione są w sposób uniemożliwiający wgląd osobom postronnym. Obowiązek blokowania klawiatury przy odejściu od komputera. Zakaz korzystania z niezabezpieczonych sieci publicznych (w szczególności wi-fi).

2. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. Dostęp do tego pomieszczenia ograniczony jest do listy upoważnionych osób.

3. Dane osobowe zapisywane na dyskach fizycznych (komputery stacjonarne, przenośne, serwery) są szyfrowane.

4. Przy połączeniach do aplikacji webowych stosowany jest protokół HTTP OVER SSL (HTTPS).

5. Szyfrowanie wiadomości mail zawierających dane osobowe (zarówno wewnętrznych i zewnętrznych).

6. Zabezpieczenie urządzeń mobilnych (telefony, tablety), na których są incydentalnie przetwarzane dane osobowe – przynajmniej hasłem.

7. Zabezpieczenie urządzeń mobilnych, na których są przetwarzane dane osobowe w szerokim zakresie (np. odbieranie mail) co najmniej dodatkowym hasłem do aplikacji (w której dane są przetwarzane). W przypadku przetwarzania danych osobowych w urządzeniu mobilnym na szeroką skalę, gdzie dane zapisywane są na tym urządzeniu, należy urządzenie szyfrować.

8. Wprowadzono obowiązek usuwania danych osobowych na urządzeniach, na których nie można wprowadzić zabezpieczeń przed dostępem przez osoby nieupoważnione (np. aparat fotograficzny).

9. Zastosowano techniki pseudonimizacji danych osobowych (np. tokenizacja lub szyfrowanie AES).

10. Ograniczono uprawnienia do instalacji oprogramowania na komputerach służbowych dla użytkowników nieposiadających uprawnień administratora.

11. Zapewniono możliwość ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów służących do przetwarzania danych osobowych oraz usług przetwarzania, w szczególności poprzez brak przechowywania danych w sposób niezabezpieczony; wyłączenie możliwości dostępu do zbiorów danych przez osoby nieupoważnione – zarówno poprzez zabezpieczenia fizyczne – drzwi antywłamaniowe, odpowiednie zamki, zamykane szafy, wyodrębnione pomieszczenia archiwum dla większych zbiorów danych; jak i informatyczne – konta użytkowników zabezpieczone hasłem; program internet security (antywirus+firewall); odpowiednie zabezpieczenie serwerów i dysków, na których przechowywane są dane. Wprowadzono procedury regularnego aktualizowania oprogramowania serwerowego pod kątem poprawek dot. Bezpieczeństwa.

12. Zapewniono możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (umowy z dostawcą zewnętrznym lub przyjęte wewnętrznie standardy kopii zapasowych i możliwości ich przywrócenia przez IT).

13. Wprowadzono okresy retencji i usuwania danych, wynikające z realizacji celu przetwarzania, okresu przedawnienia roszczeń lub ze szczególnych przepisów prawa oraz zapewniono monitorowania tych okresów.

14. Do pracy z wykorzystaniem danych osobowych mogą być wykorzystywane tylko komputery służbowe z dedykowanym kontem dla użytkownika upoważnionego do przetwarzania danych, posiadające odpowiedni standard zabezpieczenia, zgodny z w/w wymogami oraz podlegające weryfikacji zarówno ze strony ADO, Grupy Unilink, jak i w razie audytu/kontroli ze strony ubezpieczyciela współpracującego.