POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
Kancelarii Wilijewicz i Partnerzy,
ul. Wigury 13/4, 90-302 Łódź
Sprawdził: Konrad Maciej Wilijewicz
Data: 24.05.2018 r.
Zatwierdził: Konrad Maciej Wilijeiwcz
Data: 24.05.2018 r.
Obowiązuje od: 25.05.2018 r.
Wymagania prawne: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z
dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
SPIS TREŚCI:
1. Wykaz podstawowych skrótów
2. Wykaz podstawowych definicji
3. Wprowadzenie
4. Cele Polityki Bezpieczeństwa Danych Osobowych
5. Zakres rozpowszechniania Polityki Bezpieczeństwa Danych 5 Osobowych
6. Inspektor Ochrony Danych
7. Osoby upoważnione do przetwarzania danych osobowych
8. Podstawowe zasady ochrony danych osobowych
9. Upoważnienie do przetwarzania danych osobowych
10. Powierzenie przetwarzania danych osobowych
11. Udostępnianie danych osobowych
12. Przekazywanie danych osobowych poza Polskę
13. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w
którym przetwarzane są dane osobowe
14. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych
15. Opis struktury zbiorów danych osobowych
16. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami
17. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych
18. Przepisy karne i porządkowe
19. Postanowienia końcowe
1. Wykaz podstawowych skrótów
Wykaz podstawowych definicji Ilekroć w niniejszej Polityce Bezpieczeństwa Danych
Osobowych mowa o:
Administratorze Danych Osobowych – rozumie się przez to Konrada Wilijewicza, który
samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych
osobowych;
Administratorze Systemu Informatycznego – rozumie się przez to pracownika
Administratora Danych Osobowych lub inne osoby odpowiedzialne za funkcjonowanie
systemów i sieci teleinformatycznych oraz za przestrzeganie zasad i wymogów
bezpieczeństwa systemów i sieci teleinformatycznych;
Inspektorze Ochrony Danych – rozumie się przez to osobę odpowiedzialną za bieżący
nadzór stosowania przepisów dot. ochrony danych osobowych;
Osobie upoważnionej – rozumie się przez to osobę upoważnioną przez Administratora
Danych Osobowych do przetwarzania danych osobowych. Osobą upoważnioną może być
pracownik Kancelarii, osoba wykonująca prace na podstawie umowy zlecenia lub innej
umowy cywilno-prawnej, a także osoba odbywająca wolontariat, praktykę lub staż;
Danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
Możliwej do zidentyfikowania osobie fizycznej – rozumie się przez to osobę, którą można
bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora
takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
internetowy, lub jeden, bądź kilka szczególnych czynników określających fizyczną,
fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość
osoby fizycznej;
Przetwarzaniu danych osobowych – rozumie się przez to operację lub zestaw operacji
wykonywanych na danych osobowych lub zestawach danych osobowych w sposób
zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie,
organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie,
pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie,
ograniczanie, usuwanie lub niszczenie;
Skrót Opis:
ADO Administrator Danych Osobowych
ASI Administrator Systemów Informatycznych
IOD Inspektor Ochrony Danych
SI System Informatyczny
PBDO Polityka Bezpieczeństwa Danych Osobowych
IZSI Instrukcja Zarządzania Systemem Informatycznym
RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27
kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie danych)
Zbiorze danych osobowych – rozumie się przez to uporządkowany zestaw danych o
charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy
zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub
geograficznie;
Podmiocie przetwarzającym – rozumie się przez to osobę fizyczną lub prawną, organ
publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu
Administratora Danych Osobowych;
Odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny,
jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy
jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach
konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego,
nie są uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi
być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów
przetwarzania;
Systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą
urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych osobowych;
Bezpieczeństwie danych osobowych – rozumie się przez to zespół zasad, jakimi należy się
kierować projektując oraz wykorzystując systemy i aplikacje służące do przetwarzania
danych osobowych, by w każdych okolicznościach dostęp do nich był zgodny
z założeniami i zapewniał ich poufność, integralność oraz dostępność;
Poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są
udostępniane nieupoważnionym osobom lub podmiotom;
Integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe
nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
Dostępności danych – rozumie się przez to właściwość zapewniającą, że dane są osiągalne
i możliwe do wykorzystania na żądanie, w założonym czasie, przez uprawnioną osobę lub
podmiot;
Zgodzie osoby, której dane dotyczą – rozumie się przez to dobrowolne, konkretne,
świadome i jednoznaczne okazanie woli przez osobę, której dane dotyczą, w formie
oświadczenia lub wyraźnego działania potwierdzającego, przyzwalające na przetwarzanie
dotyczących jej danych osobowych;
Państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru
Gospodarczego;
Incydencie – rozumie się przez to naruszenie bezpieczeństwa danych osobowych;
Zagrożeniu – rozumie się przez to potencjalną możliwość wystąpienia incydentu;
Naruszeniu ochrony danych osobowych – rozumie się przez to naruszenie bezpieczeństwa
danych osobowych prowadzące do przypadkowego lub niezgodnego z prawem
zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w
inny sposób przetwarzanych.
2. Wprowadzenie
Polityka Bezpieczeństwa Danych Osobowych określa reguły przetwarzania danych
osobowych oraz sposobów ich zabezpieczenia, jako zestaw praw, zasad i zaleceń
regulujących sposób ich zarządzania, ochrony i dystrybucji w firmie Polityka zawiera
informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz
wprowadzonych zabezpieczeń techniczno-organizacyjnych, zapewniających ochronę
przetwarzanych danych osobowych. Niniejszy dokument jest zgodny z obowiązującymi
przepisami prawa, a w szczególności z Rozporządzeniem Parlamentu Europejskiego i
Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE.
3. Cele Polityki Bezpieczeństwa Danych Osobowych
Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie oraz wdrożenie zasad
bezpieczeństwa i ochrony danych osobowych przetwarzanych w Wilijewicz i Partnerzy,
ul. Wigury 13/4, 90-302 Łódź, a w szczególności:
1) zapewnienie spełnienia wymagań prawnych;
2) zapewnienie poufności, integralności oraz rozliczalności danych osobowych
przetwarzanych w firmie;
3) podnoszenie świadomości osób przetwarzających dane osobowe;
4) zaangażowanie osób przetwarzających dane osobowe firmy w ich ochronę.
4. Zakres rozpowszechniania Polityki Bezpieczeństwa Danych Osobowych
1) Z treścią niniejszej Polityki Bezpieczeństwa Danych Osobowych powinny
zapoznać się wszystkie podmioty przetwarzające dane osobowe w imieniu
Administratora Danych Osobowych.
5. Inspektor Ochrony Danych
1) Inspektor Ochrony Danych, jeżeli zostaje powołany, monitoruje
przestrzeganie zasad bezpieczeństwa oraz prowadzi kontrolę przetwarzania
danych osobowych.
2) Inspektor Ochrony Danych wykonuje w szczególności następujące zadania:
a) zapewnienia przestrzeganie przepisów o ochronie danych
osobowych, w szczególności poprzez:
b) opiniowanie, pod względem zgodności z PBDO oraz z przepisami
prawa umów, procedur i innych wytworzonych dokumentów
dotyczących bezpieczeństwa i przetwarzania danych osobowych;
c) podejmowanie lub wnioskowanie o podjęcie odpowiednich działań w
przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa
danych osobowych oraz prowadzenie adekwatnej dokumentacji w
tym zakresie;
3) Inspektor Ochrony Danych uprawniony jest do żądania włączenia go w
procesy mające miejsce w organizacji w obszarach, które swoim zakresem
obejmują dane osobowe.
4) Inspektor Ochrony Danych może wykonywać swoje obowiązki poprzez
wyznaczonych zastępców.
5) Administrator Danych Osobowych upoważnia Inspektora Ochrony Danych do
przetwarzania danych osobowych we wszystkich zbiorach Administratora
Danych Osobowych oraz poza nimi w zakresie niezbędnym dla należytego
wykonywania funkcji Inspektora Ochrony Danych, a także do wydawania w
imieniu Administratora Danych Osobowych upoważnień do przetwarzania
danych osobowych.
6. Osoby upoważnione do przetwarzania danych osobowych
1) Do obowiązków osób upoważnionych do przetwarzania danych osobowych
należy:
• zapoznanie się z przepisami prawa w zakresie ochrony danych osobowych oraz
postanowieniami Polityki Bezpieczeństwa Danych Osobowych i Instrukcji
Zarządzania Systemami Informatycznymi;
• stosowanie się do zaleceń Inspektora Ochrony Danych;
• przetwarzania danych osobowych wyłącznie w zakresie ustalonym
indywidualnie przez Administratora Danych Osobowych w pisemnym
upoważnieniu i tylko w celu wykonywania nałożonych obowiązków służbowych;
• niezwłoczne informowanie Inspektora Ochrony Danych o wszelkich
nieprawidłowościach dotyczących bezpieczeństwa danych osobowych
przetwarzanych w firmie;
• ochronę danych osobowych oraz środków wykorzystywanych do przetwarzania
danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją,
zniszczeniem lub zniekształceniem;
• korzystanie z systemów informatycznych firmy w sposób zgodny ze
wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład
systemów informatycznych;
• bezterminowe zachowanie w tajemnicy danych osobowych oraz sposobów ich
zabezpieczenia;
• zachowanie szczególnej staranności w trakcie wykonywania operacji
przetwarzania danych osobowych w celu ochrony interesów osób, których dane
dotyczą.
7. Podstawowe zasady ochrony danych osobowych
1) Wszystkie dane osobowe w firmie należy przetwarzać zgodnie z
obowiązującymi przepisami prawa.
2) W stosunku do osób, których dane osobowe są przetwarzane należy spełnić
obowiązek informacyjny wynikający z przepisów RODO.
3) Zebrane dane osobowe należy przetwarzać dla oznaczonych i zgodnych z
prawem celów i nie poddawać dalszemu przetwarzaniu niezgodnemu z tymi
celami.
4) Należy zadbać, aby przetwarzanie danych osobowych odbywało się zgodnie z
zasadami dotyczącej merytorycznej poprawności oraz adekwatnie do celów w
jakich zostały zebrane.
5) Dane osobowe w firmie można przetwarzać nie dłużej niż jest to niezbędne do
osiągnięcia celu ich przetwarzania.
6) Należy zapewnić poufność, integralność oraz rozliczalność danych osobowych
przetwarzanych w firmie.
7) Przetwarzane dane osobowe nie mogą być udostępniane bez zgody osób,
których dane dotyczą, chyba że udostępnia się te dane osobom, których dane
dotyczą, osobom upoważnionym do przetwarzania danych osobowych,
podmiotom którym przekazano dane na podstawie umowy powierzenia oraz
organom państwowym lub organom samorządu terytorialnego w związku z
prowadzonym postępowaniem.
8) Przetwarzanie danych osobowych w firmie może odbywać się zarówno w
systemach informatycznych, jak i w formie tradycyjnej: kartotekach,
skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
9) W zakresie danych osobowych przetwarzanych w innych systemach niż
informatyczne, obowiązują nadal dotychczasowe przepisy o tajemnicy
służbowej, obiegu i zabezpieczaniu dokumentów służbowych.
10)Wszystkim osobom, których dane są przetwarzane przysługuje prawo do
ochrony danych ich dotyczących, do kontroli przetwarzania tych danych oraz
do ich uaktualniania, usunięcia jak również do uzyskiwania wszystkich
informacji o przysługujących im prawach.
8. Upoważnienie do przetwarzania danych osobowych
1) Do przetwarzania danych osobowych i obsługi zbiorów informatycznych
zawierających te dane mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie do przetwarzania danych osobowych wydane przez
Administratora Danych Osobowych oraz złożyły stosowne oświadczenie dot.
właściwej realizacji przepisów RODO.
2) Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych
do przetwarzania danych osobowych
9. Powierzenie przetwarzania danych osobowych
1) Administrator Danych Osobowych może zlecić innemu podmiotowi
przetwarzanie danych osobowych w celu realizacji określonego zadania.
2) W sytuacji powierzenia przetwarzania danych osobowych podmiotowi
zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych
określa się przede wszystkim przedmiot i czas trwania przetwarzania,
charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób,
których dane dotyczą, obowiązki i prawa administratora.
10. Udostępnianie danych osobowych
1) Dane osobowe udostępnia się na wniosek.
2) Wniosek o udostępnienie danych, który wpłynął do firmy rozpatruje Właściciel
zbioru.
3) Wniosek o udostępnienie danych osobowych, którego sposób rozpatrzenia budzi
uzasadnione wątpliwości, może zostać przesłany, wraz z informacjami niezbędnymi
dla jego rozpatrzenia, do Inspektora Ochrony Danych w celu zajęcia stanowiska w
sprawie. Do wniosku dołącza się projekt odpowiedzi wraz z uzasadnieniem.
4) Informacje, zawierające dane osobowe są udostępniane uprawnionym podmiotom:
a) w formie wydruku listem poleconym lub za potwierdzeniem
osobistego odbioru,
b) w drodze teletransmisji danych (w sposób gwarantujący poufność
przesyłanych danych),
c) na elektronicznych nośnikach informacji, za potwierdzeniem odbioru,
d) w inny sposób określony przepisami prawa lub umową.
5) Udostępniane dane osobowe podlegają kontroli przez Właściciela zbioru, z którego
one pochodzą.
6) Ewidencja przypadków udostępnienia danych prowadzona jest przez Właścicieli
zbiorów w wersji elektronicznej lub papierowej.
7) Ewidencja udostępnień prowadzona jest wg wzoru
8) Właściciel zbioru zobowiązany jest umożliwić dostęp Inspektorowi Ochrony Danych
do prowadzonych ewidencji udostępnień.
11. Przekazywanie danych osobowych poza Polskę
1) Administrator Danych Osobowych może przekazywać dane osobowe do:
• państw Europejskiego Obszaru Gospodarczego;
• pozostałych państw (państwa trzecie).
2) Przekazywanie danych osobowych w ramach EOG traktuje się tak, jakby były
przetwarzane na terenie Polski.
3) W przypadku przekazywania danych osobowych do państwa trzeciego, przekazywanie
następuje zgodnie z Rozdziałem V art. 44 – 49 RODO.
12. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w
którym przetwarzane są dane osobowe
Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie
dokumentacji zawierającej wykaz budynków, pomieszczeń lub części pomieszczeń tworzący
obszar, w którym przetwarzane są dane osobowe zarówno w formie papierowej jak i
elektronicznej. Aktualny wykaz obszarów przetwarzania danych osobowych zawarto w
załączniku Z -PBDO.
13. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych
Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie
dokumentacji zawierającej wykaz wszystkich zbiorów danych osobowych wraz ze
wskazaniem programów zastosowanych do przetwarzania tych danych.
14. Opis struktury zbiorów danych osobowych
Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie
dokumentacji zawierającej opis struktury zbiorów danych osobowych przetwarzanych w
firmie.
15. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami
Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie
dokumentacji zawierającej opis sposobu przepływu danych pomiędzy poszczególnymi
systemami.
16. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych
Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie
dokumentacji zawierającej określone środki techniczne i organizacyjne niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Aktualny opis
stosowanych środków technicznych i organizacyjnych zawarto w AUDYCIE.
17. Zarządzanie incydentami bezpieczeństwa danych osobowych
Szczegółowy sposób zarządzania incydentami dot. ochrony danych osobowych reguluje
przyjęta przez Administratora Danych Osobowych „Polityka zarządzania incydentami
bezpieczeństwa danych osobowych”.
18. Przepisy karne i porządkowe
Przepisy karne i porządkowe reguluje: Rozporządzenie Parlamentu Europejskiego i Rady
(UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz
uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
19. Postanowienia końcowe
W sprawach nieuregulowanych w niniejszej Polityce Bezpieczeństwa Danych Osobowych
mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE)
2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz
uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).