Polityka prywatności - PZZ S

Polityka prywatności

Polityka Ochrony Danych Osobowych
w firmie:

Podlaskie Zakłady Zbożowe S.A.,
ul. Elewatorska 14, 15-959 Białystok,
NIP: 542-26-62-269, KRS: 0000038920

 

WSTĘP

Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora w celu spełnienia wymagań Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).

Polityka stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z powyższym Rozporządzeniem.

1. Inwentaryzacja danych, zgodność z prawem, upoważnienia

 

1.1 Inwentaryzacja danych

1. Dane osobowe wymagające ochrony zostały wykazane w załączniku 01a Wykaz zbiorów danych osobowych.

2. Wykaz obejmuje zbiory ze stwierdzonym potencjalnym ryzykiem naruszenia praw lub wolności osób fizycznych.

3. Każdy ze zbiorów jest opisany w sposób umożliwiający przeprowadzenie analizy ryzyka.

4. Opis zbiorów obejmuje takie informacje, jak:

a. nazwę zbioru;

b. opis celów przetwarzania;

c. charakter, zakres, kontekst, dokumentowane dane osobowe;

d. odbiorcy;

e. funkcjonalny opis operacji przetwarzania;

f. aktywa służące do przetwarzania danych osobowych (Informacje, Programy, systemy operacyjne, Infrastruktura IT, Infrastruktura, Pracownicy i współpracownicy, Outsourcing);

g. Informacja o konieczności wpisu do rejestru czynności przetwarzania;

h. Informacja o konieczności przeprowadzenia oceny skutków dla zbioru.

1.2 Zgodność z prawem

1.2.1 Administrator zapewnia, że:

1. dane są legalnie przetwarzane (na podstawie art. 6, 9);

2. dane osobowe są adekwatne w stosunku do celów przetwarzania;

3. dane osobowe są przetwarzane przez określony konkretny czas (retencja danych);

4. wobec osób, które przetwarza administrator wykonano tzw. obowiązek informacyjny (art. 12, 13 i 14) wraz ze wskazaniem im praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu);

5. zapewniono ochronę danych w przypadku powierzenia przetwarzania danych w postaci umów powierzenia z podmiotami przetwarzającymi (art. 28).

1.2.2 Potwierdzenie zgodności z prawem przetwarzanych danych osobowych w zbiorach, znajduje się w załączniku 01a Wykaz zbiorów danych osobowych.

1.2.3 Klauzule informacyjne znajdują się w załączniku 01b Klauzule informacyjne.

1.3 Upoważnienia

1. Administrator odpowiada za nadawanie / anulowanie upoważnień do przetwarzania danych w zbiorach papierowych, systemach informatycznych.

2. Każda osoba upoważniona musi przetwarzać dane wyłącznie na polecenie administratora lub na podstawie przepisu prawa.

3. Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Upoważnienia określają zakres operacji na danych, np. tworzenie, usuwanie, wgląd, przekazywanie – patrz załącznik 01d Upoważnienie do przetwarzania danych osobowych.

4. Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia administratora w postaci umowy powierzenia.

5. Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osób upoważnionych. Ewidencja ma charakter pomocniczy i nie jest wymagana przepisami RODO. Patrz załącznik 01c Ewidencja osób upoważnionych.

2. Procedura analizy ryzyka / ocena skutków

 

1. Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń.

2. Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru danych osobowych lub grupy zbiorów charakteryzujących się podobieństwem celów i sposobów przetwarzania.

3. W przypadku konieczności przeprowadzenia oceny skutków (Art. 35), wymagane jest wykonanie następujących czynności:

a. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania – zawarty w załączniku 01a Wykaz zbiorów danych osobowych;

b. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów – zawartą w załączniku 01a Wykaz zbiorów danych osobowych.

c. ocenę ryzyka – patrz załącznik 02a Procedura analizy ryzyka.

d. środki planowane w celu zaradzenia ryzyku, przedstawione w postaci planu postępowania z ryzykiem – patrz załącznik 02a Procedura analizy ryzyka.

3. Instrukcja postępowania z incydentami

 

Procedura definiuje katalog podatności i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Jej celem jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa oraz ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.

1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do powiadamiania o stwierdzeniu podatności lub wystąpieniu incydentu bezpośredniego przełożonego (lub jeśli jest powołany – Inspektora Ochrony Danych).

2. Do typowych podatności bezpieczeństwa danych osobowych należą:

a. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;

b. niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;

c. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).

3. Do typowych incydentów bezpieczeństwa danych osobowych należą:

a. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);

b. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/ zagubienie danych);

c. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).

4. W przypadku stwierdzenia wystąpienia incydentu, Administrator (lub w przypadku powołania – IOD) prowadzi postępowanie wyjaśniające w toku, którego:

a. ustala zakres i przyczyny incydentu oraz jego ewentualne skutki;

b. inicjuje ewentualne działania dyscyplinarne;

c. działa na rzecz przywrócenia działań organizacji po wystąpieniu incydentu;

d. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych incydentów w przyszłości lub zmniejszenia strat w momencie ich zaistnienia.

 

5. Administrator dokumentuje powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze –patrz załącznik 03 Formularz rejestracji incydentu.

6. Zabrania się świadomego lub nieumyślnego wywoływania incydentów przez osoby upoważnione do przetwarzania danych.

7. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Regulamin Ochrony Danych Osobowych.

Regulamin ma na celu zapewnienie wiedzy osobom przetwarzającym dane osobowe odnośnie bezpiecznych zasad przetwarzania. Patrz załącznik – 04 Regulamin Ochrony Danych Osobowych .
Po zapoznaniu się z zasadami ochrony danych osobowych, osoby zobowiązane są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, patrz załącznik 04a Oświadczenie poufności.

4. Szkolenia

 

1. Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami RODO.

2. Za przeprowadzenie szkolenia odpowiada Administrator.

3. W przypadku przeprowadzenia szkolenia wewnętrznego z zasad ochrony danych osobowych wskazane jest udokumentowanie odbycia tego szkolenia za pomocą 05a Załącznika Plan szkolenia RODO.

4. Materiały szkoleniowe dla uczestników szkolenia opracowano w formie załącznika 05b Szkolenie wewnętrzne RODO.

5. Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania, patrz załącznik 04a Oświadczenie poufności.

5. Rejestr czynności przetwarzania

 

1. W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Administratora, wypełnia załącznik 06a Rejestr czynności prowadzony przez Administratora.

2. W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Podmiot przetwarzający, wypełnia załącznik 06b Rejestr czynności prowadzony przez Podmiot przetwarzający.

6. Audyty

 

Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W tym celu Administrator stosuje procedurę audytów – patrz załącznik 07 Procedura audytu.

7. Procedura przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (BCP)

 

Zgodnie z art. 32 RODO, Administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator opracował procedury przywracania, opisane w załączniku 04 Plan ciągłości działania.

8 Wykaz zabezpieczeń

 

1. Administrator prowadzi wykaz zabezpieczeń, które stosuje w celu ochrony danych osobowych, patrz załącznik Wykaz zabezpieczeń.

2. W wykazie wskazano stosowane zabezpieczenia proceduralne oraz zabezpieczenia jako środki techniczne.

3. Wykaz jest aktualizowany po każdej analizie ryzyka.

Obserwuj nas