POLITYKA PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH
OBOWIĄZUJĄCA W IVROXE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ WARSZAWIE
obowiązuje od dnia [•] 2023 r.
- Cel dokumentu
- Niniejszy dokument (zwany dalej „Polityką”) określa całość zasad przetwarzania i ochrony danych osobowych obowiązujących u IVROXE GDANSK SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ z siedzibą w Warszawie przy ulicy Postępu 10 lok. 88 (02-676 Warszawa), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001068404, NIP: 5214044233, REGON: 526908436 („Salon”).
- Dokument zawiera także wzory dokumentów stosowanych przez Salon w związku z przetwarzaniem danych osobowych.
- Polityka i wdrożone zasady ochrony danych osobowych zostały opracowane z uwzględnieniem przedmiotu działalności Salonu tj. działalnością w zakresie świadczenia usług związanych z poprawą kondycji fizycznej, w szczególności usług masażu.
- Zasady wdrożone w Polityce mają na celu zapewnienie najwyższej ochrony danych osobowych przetwarzanych przez Salon, z uwzględnieniem postanowień Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”).
- Niniejsza Polityka podlega aktualizacji wraz ze zmieniającymi się przepisami prawnymi oraz zmianami w Salonie dotyczącymi przeprowadzanych operacji na Danych Osobowych. Przegląd przeprowadzany jest przez Salon co najmniej raz do roku, chyba że konieczność częstszych aktualizacji spowodowana jest istotnymi zmianami w przepisach prawa lub planowaną zmianą działalności Salonu.
- Zakres stosowania
- Polityka obowiązuje wszystkich pracowników i współpracowników Salonu oraz inne osoby mające dostęp do danych osobowych. Dodatkowo Salon zapewnia stosowanie zasad wynikających z niniejszej Polityki przez podmioty przetwarzające dane osobowe na jej zlecenie na zasadach określonych w Punkcie 11.
- Terminologia
Skróty użyte w Polityce:
DANE OSOBOWE – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny PESEL, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
SZCZEGÓLNE KATEGORIE DANYCH OSOBOWYCH – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej (np. wizerunek twarzy lub dane daktyloskopijne), dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
OSOBA UPOWAŻNIONA – osoba, której Salon wydał upoważnienie do przetwarzania Danych Osobowych, w zakresie wskazanym w upoważnieniu.
PODMIOT DANYCH – osoba fizyczna, której Dane Osobowe są przetwarzane.
PRZETWARZANIE DANYCH OSOBOWYCH – operacja lub zestaw operacji wykonywanych na Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taki jak zbieranie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
SYSTEM INFORMATYCZNY – zespół współpracujących ze sobą urządzeń, programów, procedur i narzędzi programowych zastosowanych w celu Przetwarzania Danych Osobowych.
UODO – Urząd Ochrony Danych Osobowych.
USTAWA– ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, uzupełniająca postanowienia RODO. - Odpowiedzialność
- Za zapoznanie pracowników z Polityką i innymi zasadami Przetwarzania Danych Osobowych odpowiedzialny jest Ivan Filippov.
- Każdy pracownik i współpracownik Salonu, w szczególności Osoby Upoważnione, ponoszą odpowiedzialność za przestrzeganie bezpieczeństwa Danych Osobowych, w szczególności opisanych w niniejszej Polityce.
- Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie obowiązków określonych w niniejszej Polityce może być podstawą rozwiązania umowy o pracę lub umowy o współpracy z osobą, która dopuściła się zawinionego naruszenia tych zasad.
- Naruszenie zasad określonych w Polityce może być potraktowane jako nienależyte wykonanie umowy zlecenia/o dzieło, w szczególności gdy wykonawca w razie naruszenia zasad ochrony Danych Osobowych lub uzasadnionego podejrzenia takiego naruszenia nie poinformował o tym Salonu. Rozwiązanie umowy z wykonawcą nie wyklucza jego odpowiedzialności karnej.
- Zasady podstawowe
- Salon podejmuje wszelkie kroki mające na celu zapewnienia rzetelnego Przetwarzania Danych Osobowych oraz zapewnienia najwyższej ochrony Danych Osobowych. W tym celu zapewnia:
- zgodność z prawem, rzetelność i przejrzystość Przetwarzania Danych Osobowych
- minimalizację danych – Dane Osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
- prawidłowość – Dane Osobowe są zgodne ze stanem faktycznym i w razie potrzeby uaktualniane;
- ograniczenie celu – zbieranie Danych Osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzania Danych Osobowych w sposób niezgodny z celami;
- integralność i poufność — Dane Osobowe są przetwarzane za pomocą odpowiednich środków technicznych oraz organizacyjnych; w sposób gwarantujący odpowiednie zabezpieczenie Danych Osobowych, w tym ochronę przed niezgodnym z prawem przetwarzaniem oraz przypadkowym udostępnieniem;
- ograniczenie przechowywania – Dane Osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których Dane Osobowe są przetwarzane;
- rozliczalność — Salon jest odpowiedzialna za przestrzeganie powyższych zasad, uwzględnienie ich na etapie projektowania (privacy by design) oraz wykazanie ich przestrzegania.
- Salon podejmuje wszelkie kroki mające na celu zapewnienia rzetelnego Przetwarzania Danych Osobowych oraz zapewnienia najwyższej ochrony Danych Osobowych. W tym celu zapewnia:
- Rejestr czynności przetwarzania
- Mając na względzie fakt, że przetwarzanie przez Salon danych nie ma charakteru sporadycznego, Salon prowadzi rejestr czynności przetwarzania, stanowiący Załącznik nr 1. Rejestr czynności przetwarzania przechowywany jest w formacie elektronicznym excel i jest na bieżąco aktualizowany.
- W Salonie może dochodzić do przetwarzania szczególnych kategorii Danych Osobowych m.in. w postaci Danych Osobowych pracowników obejmujących dane o stanie zdrowia, w zakresie dozwolonym przez przepisy prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
- Analiza ryzyka
- Salon dokonał analizy ryzyka Przetwarzania Danych Osobowych na podstawie kryteriów stanowiących Załącznik nr 2 do Polityki oraz informacji zawartych z niniejszej Polityce.
- W wyniku oceny:
- przeprowadzonej analizy ryzyka;
- sporządzonego rejestru czynności przetwarzania;
- zgodności przetwarzania danych osobowych z RODO;
- Salon uznał, że przeprowadzenie oceny skutków dla ochrony danych jest nie jest konieczne.
- Salon dokonuje ponownej analizy ryzyka w przypadku zmiany kategorii przetwarzanych Danych Osobowych, zmiany procedur obowiązujących w Salonie lub zmiany obowiązującego prawa.
- Podział zadań
- Postanowienia ogólne
- Salon jest administratorem danych osobowych, czyli podmiotem odpowiedzialnym za Przetwarzanie Danych Osobowych oraz za ich ochronę zgodnie z postanowieniami RODO, Ustawy i innych obowiązujących przepisów prawa.
- Bez względu na powyższe, wszystkie Osoby Upoważnione są zobowiązane do zapewnienia bezpieczeństwa Przetwarzania Danych Osobowych.
- Inspektor Ochrony Danych
- Mając na względzie fakt, że nie zachodzą przesłanki wskazane w art. 37 ust. 1 RODO, Salon nie powołuje inspektora ochrony danych.
- Administrator Danych Osobowych
- Administratorem Danych Osobowych jest IvRoxe spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie.
- Adres Salonu: ul. Postępu 10 lok. 88, 02-676 Warszawa
Dane kontaktowe do Salonu: e-mail: [_] - Adres korespondencyjny: ul. Postępu 10 lok. 88, 02-676 Warszawa
- Obowiązki Administratora wykonuje Ivan Filippov.
- Do podstawowych obowiązków Administratora należy
- identyfikacja obszarów, w których są przetwarzane Dane Osobowe;
- identyfikacja kategorii Danych Osobowych z uwzględnieniem zasady minimalizacji Danych Osobowych;
- nadzór nad prawidłowym Przetwarzaniem Danych Osobowych, w tym decydowanie o nadaniu upoważnień z uwzględnieniem zasady minimalizacji Danych Osobowych;
- zapewnienie prawidłowości przetwarzania oraz skutecznej ochrony Danych Osobowych zgodnie z zasadami wynikającymi z RODO;
- podział zadań i obowiązków związanych z ochroną Danych Osobowych;
- implementacja i aktualizacja środków technicznych i organizacyjnych zapewniających prawidłowe Przetwarzanie Danych Osobowych oraz możliwość wykazania prawidłowości Przetwarzania Danych Osobowych;
- zapewnienie okresowych przeglądów Przetwarzania Danych Osobowych, analizy ryzyka oraz obowiązującej Polityki.
- Osoby upoważnione
- Do przetwarzania Danych Osobowych dopuszczane są jedynie osoby posiadające upoważnienie do przetwarzania danych osobowych.
- Nadawaniem uprawnień do przetwarzania Danych Osobowych zajmuje się Ivan Filippov.
- Dostęp do Danych Osobowych jest przyznawany tylko takim osobom, dla których dostęp jest niezbędny do wykonania ich obowiązków lub zapewnienia ochrony Danych Osobowych.
- Upoważnienia są wydawane przed rozpoczęciem Przetwarzania Danych Osobowych po dostarczeniu Salonie podpisanego Oświadczenia, którego wzór stanowi Załącznik nr 3 do niniejszej Polityki.
- Upoważnienie sporządzane jest zgodnie ze wzorem stanowiącym Załącznik nr 4 do Polityki.
- Ewidencja Osób Upoważnionych do Przetwarzania Danych Osobowych jest prowadzona przez Salon zgodnie ze wzorem stanowiącym Załącznik nr 5.
- Osoba Upoważniona zobowiązana jest do znajomości obowiązujących zasad ochrony Danych Osobowych, w tym niniejszej Polityki i powinna stosować w możliwie najszerszym zakresie wszelkie dostępne środki tej ochrony, co w szczególności dotyczy uniemożliwienia osobom nieuprawnionym dostępu do Przetwarzanych Danych Osobowych.
- Osoby Upoważnione do przetwarzania Danych Osobowych przechodzą okresowe szkolenia dotyczące obowiązujących w Salonie zasad przetwarzania i ochrony Danych Osobowych.
- Do obowiązków Osoby Upoważnionej należy także:
- przetwarzanie Danych Osobowych zgodnie z obowiązującymi przepisami prawa oraz obowiązującą Polityką i innymi wewnętrznymi regulacjami;
- zachowanie w tajemnicy Danych Osobowych oraz informacji o sposobach ich zabezpieczenia;
- niezwłoczne informowanie Salonu o wszelkich podejrzeniach incydentów związanych z naruszeniem zasad Przetwarzania Danych.
- Realizacja uprawnień podmiotu danych
- Podstawowe zasady
- Podmiot Danych jest uprawniony do:
- otrzymania informacji o danych Salonu, zasadach przetwarzania danych oraz przysługujących jej uprawnieniach, na zasadach określonych w pkt 9.2 poniżej;
- uzyskania potwierdzenia, czy przetwarzane są dane jego dotyczące, a jeżeli ma to miejsce – uzyskania dostępu oraz otrzymania informacji, o których mowa w pkt 9.3 poniżej (prawo dostępu);
- żądania niezwłocznego sprostowania dotyczących jego Danych Osobowych, które są nieprawidłowe oraz (z uwzględnieniem celów przetwarzania) żądania uzupełniania niekompletnych danych Osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia;
- żądania niezwłocznego usunięcia dotyczących go Danych Osobowych (prawo do bycia zapomnianym);
- żądania ograniczenia przetwarzania Danych Osobowych;
- przenoszenia Danych Osobowych;
- wniesienia sprzeciwu wobec przetwarzania dotyczących go Danych Osobowych;
- Działania, o których mowa w ust. 9.1.1 pkt b)-g), podejmowane są na wniosek Podmiotu danych.
- Wnioski powinny być kierowane na adres e-mail: [_] lub na adres:
- ul. Postępu 10 lok. 88, 02-676 Warszawa.
- Wnioski, o których mowa w pkt 9.1.3, rozpatrywane są przez Ivan Filippov.
- Jeżeli wniosek budzi wątpliwości osoby go rozpatrującej, w tym co do zakresu żądanych informacji, osoba ta może zwrócić się do Podmiotu danych z prośbą o wyjaśnienie niejasności.
- Odpowiedzi na wnioski, o których mowa w pkt 9.1.1 pkt b)-f) udziela się pisemnie w terminie miesiąca od otrzymania wniosku, chyba że Podmiot danych wskazał inną formę.
- Termin, o którym mowa w pkt 9.1.6 może być przedłużony o dwa miesiące ze względu na skomplikowany charakter żądania lub liczbę żądań. Osoba rozpatrująca wniosek jest zobowiązana do poinformowania Podmiotu danych o przedłużeniu terminu oraz jego przyczynach.
- Działania, o których mowa w niniejszym rozdziale, podejmowane są bezpłatnie. Jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, Salon może zadecydować o:
- odmowie podjęcia działań;
- pobraniu opłaty, która nie może być wyższa niż koszty faktycznie poniesione przez Salon w związku z rozpatrywaniem wniosku;
- Osoba rozpatrująca wniosek jest upoważniona do dokonania weryfikacji tożsamości Podmiotu danych, o ile zachodzą co do tego wątpliwości, poprzez wgląd do dowodu osobistego lub innego dokumentu tożsamości.
- Salon w terminie 14 dni informuje o sprostowaniu lub usunięciu Danych Osobowych lub ograniczeniu ich przetwarzania zgodnie z wnioskiem, każdego odbiorcę, któremu ujawniono Dane Osobowe, chyba że będzie to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
- Podmiot Danych jest uprawniony do:
- Podstawowe zasady
- Informacja udzielana podmiotowi danych
- Podmiot Danych przed rozpoczęciem Przetwarzania Danych Osobowych otrzymuje od Salonu na piśmie następujące informacje:
- dane Salonu;
- cel i podstawę prawną Przetwarzania Danych Osobowych;
- okres, przez który Dane Osobowe są przetwarzane lub kryteria ustalenia tego okresu;
- prawo dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu wobec ich przetwarzania;
- prawo do cofnięcia zgody w dowolnym momencie (jeżeli przetwarzanie danych odbywa się na podstawie zgody);
- prawo do wniesienia skargi do organu nadzorczego;
- kategorie odbiorców Danych Osobowych;
- informację, czy podanie danych jest wymogiem ustawowym czy umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
- Informacji, o których mowa w ust. 9.2.1, nie udziela się, jeżeli Podmiot Danych dysponuje już tymi danymi.
- Informacje zawarte są w klauzulach informacyjnych, stanowiących Załącznik nr 6 do Polityki. Klauzule informacyjne są udostępniane Podmiotom Danych w następujący sposób:
- Pracownikom i Współpracownikom – jako załącznik do umowy;
- Kandydatom do pracy – pierwsza warstwa w ogłoszeniu o pracę, pozostałe informacje są przekazywane przy pierwszym kontakcie z kandydatem;
- Osobom zakładającym konto, dokonującym zakupów w serwisie Administratora, odbiorcom newslettera, osobom korzystającym z formularza kontaktowego oraz publikującym opinie w Serwisie – poprzez odesłanie do klauzuli informacyjnej na stronie internetowej Salonu;
- Klientom korzystającym z usług Salonu – w formie klauzuli informacyjnej udostępnionej w siedzibie Salonu;
- Pozostałym osobom, w tym potencjalnym klientom, klientom, podwykonawcom, dostawcom, partnerom – jako załącznik do umowy.
- Podmiot Danych przed rozpoczęciem Przetwarzania Danych Osobowych otrzymuje od Salonu na piśmie następujące informacje:
- Prawo dostępu przysługujące podmiotowi danych
- Podmiot Danych może uzyskać od Salonu potwierdzenie, czy jego Dane Osobowe są przetwarzane a jeżeli tak, jest uprawniony do uzyskania dostępu do nich oraz uzyskania informacji o:
- celach przetwarzania;
- źródle danych (jeżeli nie zostały zebrane bezpośrednio od Podmiotu Danych);
- kategoriach przetwarzanych Danych Osobowych;
- odbiorcach lub kategoriach odbiorców, którym Dane Osobowe zostały lub zostaną ujawnione;
- planowanym okresie przechowywania Danych Osobowych, a gdy nie jest to możliwe – o kryteriach ustalania tego okresu;
- przysługujących mu prawach.
- Wraz z informacją, o której mowa powyżej, Podmiotowi Danych dostarcza się kopię Danych Osobowych podlegających przetwarzaniu. Kopia przekazywana jest w formie e-mail, chyba że Podmiot Danych wskazał inną formę.
- Za wszelkie kolejne kopie, o które zwróci się Podmiot Danych w przeciągu dwóch miesięcy od otrzymania poprzedniej kopii, Salon pobiera opłatę w wysokości odpowiadającej kosztom administracyjnym poniesionym przez Salon w związku ze sporządzeniem takiej kopii.
- Podmiot Danych może uzyskać od Salonu potwierdzenie, czy jego Dane Osobowe są przetwarzane a jeżeli tak, jest uprawniony do uzyskania dostępu do nich oraz uzyskania informacji o:
- Bezpieczeństwo przetwarzania danych osobowych
- Osoby Upoważnione mają obowiązek podejmowania działań w celu zapewnienia najwyższej ochrony Danych Osobowych.
- Salon ustala następujące podstawowe zasady bezpieczeństwa:
- wydruki ograniczone do minimum;
- dokumenty papierowe nie są pozostawiane bez nadzoru;
- zasada ograniczonego dostępu do danych, upoważnienia nadawane są zgodnie z zakresem obowiązków;
- hasła zabezpieczające komputery składają się z co najmniej 6 znaków;
- logowanie do smartfonów odbywa się poprzez wpisanie obowiązkowego pinu (co najmniej 6 znaków);
- każda osoba mająca dostęp do danych zostaje zapoznana z zasadami ochrony danych;
- osoby mające dostęp do danych osobowych zobowiązane są do zachowania danych osobowych oraz informacji o sposobach ich zabezpieczenia w tajemnicy;
- zobowiązanie do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia odbywa się także za pośrednictwem odbieranych pisemnych oświadczeń od osób dopuszczonych do przetwarzania danych osobowych.
- Udostępnianie i powierzanie przetwarzania danych osobowych
- Udostępnianie danych osobowych
- Dane Osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa oraz Podmiotom danych.
- Zasady udostępniania Danych Osobowych Podmiotom Danych wskazane są w punkcie 9.
- Udostępnianie Danych Osobowych następuje wyłącznie za zgodą Salonu z uwzględnieniem zasad ich bezpieczeństwa, w tym zasady minimalizacji danych.
- Informacje zawierające Dane Osobowe powinny być przekazywane uprawnionym podmiotom w sposób gwarantujący ochronę Danych osobowych.
- Udostępniając Dane Osobowe innym podmiotom, Salon ma obowiązek odnotowywać informacje o udostępnieniu, w tym: informacje o odbiorcy Danych Osobowych, datę i zakres udostępnionych Danych Osobowych, podstawę prawną udostępnienia.
- Udostępniając Dane Osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
- Udostępnianie danych osobowych
- Powierzanie przetwarzania danych osobowych
- Salon powierza przetwarzanie Danych Osobowych przede wszystkim podmiotom, które na jej zlecenie świadczą usługi księgowe.
- Powierzenie Przetwarzania Danych Osobowych następuje wyłącznie na podstawie pisemnej umowy, która określa w szczególności:
- rodzaj Danych Osobowych;
- kategorie osób, których dane dotyczą;
- okres na jaki dane są powierzone;
- obowiązki i prawa Salon;
- zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych, z tytułu niewykonania lub nienależytego wykonania umowy;
- zobowiązanie podmiotu zewnętrznego do Przetwarzania Danych Osobowych wyłącznie na udokumentowane polecenie Salonu.
- Powierzenie Przetwarzania Danych Osobowych musi uwzględniać wymogi określone w art. 28 RODO. W szczególności podmiot zewnętrzny, któremu ma zostać powierzone Przetwarzanie Danych Osobowych, jest obowiązany przed rozpoczęciem Przetwarzania Danych Osobowych do podjęcia środków wymaganych na mocy art. 32 RODO.
- Podmiot Przetwarzający Dane Osobowe nie może podzlecać przetwarzania Danych Osobowych bez uzyskania uprzedniej pisemnej zgody Salon.
- Powierzenie Przetwarzania Danych Osobowych nie oznacza zwolnienia Salonu z odpowiedzialności za zgodne z prawem Przetwarzanie Danych Osobowych, co oznacza konieczność zapewnienia Salonie uprawnienia do przeprowadzenia w siedzibie podmiotu zewnętrznego kontroli wykonania umowy stanowiącej podstawę powierzenia Przetwarzania Danych Osobowych m. in. w zakresie obowiązujących regulacji wewnętrznych, udzielonych Upoważnień do przetwarzania danych oraz zobowiązań do zachowania tajemnicy. Podmiot zewnętrzny powinien także udostępnić Salonowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Rozporządzeniu.
- Zarządzanie incydentami
- Zdarzenia naruszające bezpieczeństwo danych osobowych
- zagrożenia losowe wewnętrzne (np. pomyłki, błędy oprogramowania, awarie sprzętu);
- zagrożenia losowe zewnętrzne (np. przerwy w dostawie prądu, klęski żywiołowe,).
- Zagrożenia mogą być również celowe, do których zalicza się:
- nieuprawniony dostęp do Systemu Informatycznego z zewnątrz (włamanie),
- nieuprawniony dostęp do Systemu Informatycznego spowodowany przez pracownika,
- nieuprawnione udostępnienie Danych Osobowych,
- pogorszenie jakości Systemu Informatycznego skutkujące utratą lub obniżeniem poziomu ochrony poufności.
- Naruszeniem bezpieczeństwa Danych Osobowych jest także nieprawidłowe zabezpieczenie miejsc przechowywania Danych Osobowych, w tym dostęp do komputerów dla osób nieupoważnionych, otwarte szafy z aktami, pozostawienie nośników w miejscu publicznym.
- Zdarzenia naruszające bezpieczeństwo danych osobowych
- Monitorowanie i zgłaszanie incydentów
- Każda osoba, która zauważyła zdarzenie mogące spowodować naruszenie bezpieczeństwa Danych Osobowych zobowiązana jest do natychmiastowego poinformowania Ivan Filippov.
- Po otrzymaniu zgłoszenia o możliwości naruszenia bezpieczeństwa Danych Osobowych osoba poinformowana o incydencie Ivan Filippov bezzwłocznie podejmuje działania mające na celu:
- wyjaśnienie zdarzenia, w tym stwierdzenie czy miało miejsce naruszenie bezpieczeństwa Danych Osobowych,
- wyjaśnienie przyczyn naruszenia i zebrania ewentualnych dowodów naruszenia zasad ochrony Danych Osobowych,
- minimalizację skutków naruszenia Danych Osobowych,
- usunięcie skutków incydentu.
- Wyjaśnienie zgłoszonego zdarzenia następuje w szczególności poprzez:
- przeprowadzenie analizy poprawności funkcjonowania systemu informatycznego,
- weryfikację sposobów zabezpieczenia przetwarzania danych w systemie informatycznym, w szczególności danych konfiguracyjnych tego systemu informatycznego.
- Po wyjaśnieniu incydentu związanego z bezpieczeństwem Danych Osobowych, Ivan Filippov sporządza raport, który zawiera między innymi:
- Opis zidentyfikowanego incydentu;
- Podjęte działania mające na celu zminimalizowanie skutków incydentu;
- Ewentualne działania mające na celu zapobieżenie wystąpienia takiego incydentu w przyszłości;
- Raporty z incydentów archiwizuje się w Salonie do celów dowodowych. Wzór raportu z incydentu stanowi Załącznik nr 7 do Polityki.
- Salon prowadzi ewidencję interwencji związanych z zaistniałymi incydentami w zakresie bezpieczeństwa Danych Osobowych zawierającą następujące informacje:
- imię i nazwisko zgłaszającego incydent,
- imię i nazwisko osoby przyjmującej zgłoszenie incydentu,
- datę zgłoszenia incydentu,
- okoliczności naruszenia Ochrony Danych Osobowych,
- skutki naruszenia Ochrony Danych Osobowych,
- przeprowadzone działania wyjaśniające przyczyny zaistnienia incydentu,
- wyniki przeprowadzonych działań,
- podjęte akcje naprawcze i ocena ich skuteczności.
- Ewidencja interwencji stanowi Załącznik nr 8 do Polityki. Ewidencja interwencji prowadzona jest w wersji papierowej lub w wersji elektronicznej.
- Co najmniej raz do roku Salon przeprowadza analizę zaistniałych incydentów w celu:
- określenia skuteczności podejmowanych działań wyjaśniających i naprawczych,
- określenia wymaganych działań zwiększających bezpieczeństwo Systemu Informatycznego i minimalizujących ryzyko zaistnienia incydentów,
- określenia potrzeb w zakresie szkoleń Osób Upoważnionych.
- Zgłaszanie naruszeń do UODO
- W przypadku naruszenia bezpieczeństwa Danych Osobowych Salon nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je do UODO.
- Zgłoszenia nie dokonuje się, jeżeli, w oparciu o raport z incydentu, jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
- Jeżeli zgłoszenie jest dokonane po upływie 72 godzin od stwierdzenia naruszenia, do zgłoszenia załącza się wyjaśnienie przyczyn opóźnienia.
- Salon dokonuje powiadomienia za pomocą formularza dostępnego w serwisie UODO.
- Postanowienia ogólne