POLITYKA BEZPIECZEŃSTWA
w kancelarii Mariusz Orliński Robert Wtorek Kancelaria Adwokatów i Radców Prawnych
Spółka Partnerska z siedzibą w Katowicach
1. Podstawa prawna
- Polityka bezpieczeństwa w Spółce Mariusz Orliński Robert Wtorek Kancelaria Adwokatów i Radców Prawnych Spółka Partnerska z siedzibą w Katowicach jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora w celu spełnienia wymagań stawianych przez:
- rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej rozporządzeniem, (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04),
- ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych, (Dz.U.2019.1781 t.j. z dnia 2019.09.19).
2. Definicje
- Administrator danych – oznacza Spółkę Mariusz Orliński Robert Wtorek Kancelaria Adwokatów i Radców Prawnych Spółka Partnerska z siedzibą w Katowicach,
- Rozporządzenie – oznacza rozporządzenie parlamentu europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 4 maja 2016 r.),
- Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
- Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
- Ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania,
- Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,
- Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
- Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,
- Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora,
- Odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią,
- Strona trzecia – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które z upoważnienia Administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe,
- Anonimizacja – zmiana danych osobowych, w wyniku której dane te tracą charakter danych osobowych,
- Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych,
- Ocena skutków w ochronie danych – oznacza proces przeprowadzany przez Administratora, jeśli jest wymagany przez obowiązujące prawo i, jeśli to konieczne, z uczestnictwem inspektora ochrony danych, przed przetwarzaniem, w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób fizycznych jako rodzaju przetwarzania danych osobowych i zachodzi wraz z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania,
- Podmiot danych – oznacza osobę fizyczną, która jest podmiotem przetwarzanych danych osobowych,
- Inspektor Ochrony Danych – oznacza osobę formalnie wyznaczoną przez Administratora w celu informowania i doradzania Administratorowi, podmiotowi przetwarzającemu, pracownikom Administratora w zakresie obowiązującego prawa o ochronie danych i tej polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób przetwarzanych i organu nadzorczego,
- Naruszenie ochrony danych osobowych – jest to niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
3. Cel wdrożenia Polityki Bezpieczeństwa
Polityka Bezpieczeństwa w Spółce Mariusz Orliński Robert Wtorek Kancelaria Adwokatów i Radców Prawnych Spółka Partnerska z siedzibą w Katowicach stanowi środek organizacyjny, mający na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z rozporządzeniem, a także usprawnienie i usystematyzowanie organizacji pracy Administratora.
4. Prawa osób, których dane są przetwarzane
- Osoby, których dane osobowe są przetwarzane mają prawo do:
- dostępu do treści danych,
- sprostowania danych,
- usunięcia danych,
- ograniczenia przetwarzania danych,
- wniesienia sprzeciwu wobec przetwarzania danych,
- przenoszenia danych,
- cofnięcia zgody w dowolnym momencie,
- wniesienia skargi do organu nadzorczego.
5. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności i integralności przy przetwarzaniu danych osobowych
- Środki organizacyjne
- Wdrożenie Polityki Bezpieczeństwa,
- Przetwarzanie danych osobowych odbywa się wyłącznie przez osoby posiadające ważne upoważnienia nadane przez Administratora zaznajomionych z przepisami dotyczącymi ochrony danych osobowych,
- Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych,
Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego, - Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązano do zachowania ich w tajemnicy, co potwierdziły na piśmie,
- Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- Stosuje się pisemne umowy powierzenia przetwarzania danych dla współpracy z podwykonawcami przetwarzającymi dane osobowe.
- Środki ochrony fizycznej danych osobowych
- Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy,
- Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych osobowych objęte są systemem kontroli dostępu,
- Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych,
- Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony,
- Zbiór danych osobowych w formie papierowej jest przechowywany w zamkniętej szafie,
- Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego,
- Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
- Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej
- Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego,
- Zastosowano urządzenia chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania,
- Dostęp do zbioru danych osobowych, który przetwarzany jest na komputerze przenośnym został zabezpieczony przed nieautoryzowanym uruchomieniem za pomocą hasła,
- Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, jest zabezpieczony za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
- Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych,
- Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł,
- Zastosowano system rejestracji dostępu do zbioru danych osobowych.
6. Ocena skutków (analiza ryzyka)
- Ocena skutków jest procedurą przeprowadzenia analizy ryzyka, za wykonanie której odpowiada Administrator. W przypadku powołania Inspektora Ochrony Danych – ocena skutków musi być wykonana z jego współudziałem oraz po wyrażeniu przez niego opinii.
- W celu dokonania analizy ryzyka wymagane jest zidentyfikowanie danych osobowych, które należy zabezpieczyć.
- W ramach przeprowadzenia oceny skutków (analizy ryzyka) Administrator zobowiązany jest do zapewnienia:
- Legalności przetwarzania danych osobowych,
- Adekwatności danych w stosunku do celów przetwarzania,
- Przetwarzania danych osobowych przez określony czas,
- Wykonania obowiązku informacyjnego wobec osób, których dane są przetwarzane, wraz ze wskazaniem ich praw,
- Opracowania klauzul informacyjnych,
- Zawarcia umów powierzenia z podmiotami przetwarzającymi.
- Procedura analizy ryzyka opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
- Postepowanie z ryzykiem – wszędzie tam, gdzie Administrator decyduje się obniżyć ryzyko, wyznacza listę zabezpieczeń do wdrożenia, termin realizacji i osoby odpowiedzialne oraz zobowiązany jest do monitorowania wdrożenia zabezpieczeń.
7. Upoważnienia do przetwarzania danych osobowych
- Administrator odpowiada za nadawanie i anulowanie upoważnień do przetwarzania danych w zbiorach papierowych, systemach informatycznych.
- Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób.
- Upoważnienia określają zakres operacji na danych osobowych.
- Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia Administratora w postaci umowy powierzenia.
- Administrator prowadzi ewidencję osób upoważnionych w celu sprawowania kontroli nad prawidłowym dostępem do danych osobowych osób upoważnionych.
8. Postępowanie w razie incydentu
- Incydentem jest sytuacja naruszenia bezpieczeństwa informacji ze względu na dostępność, integralność i poufność.
- Incydenty powinny być wykrywane, rejestrowane i monitorowane w celu zapobieżenia ich ponownemu wystąpieniu.
- Przykładowy katalog incydentów:
- losowe zdarzenie wewnętrzne, np. awaria komputera, serwera, twardego dysku, błąd użytkownika, informatyka, zgubienie danych,
- losowe zdarzenie zewnętrzne, np. klęski żywiołowe, zalanie, awaria zasilania, pożar,
- incydent umyślny, np. wyciek informacji, ujawnienie danych nieupoważnionym osobom, świadome zniszczenie danych, działanie wirusów komputerowych, włamanie do pomieszczeń lub systemu informatycznego.
- Postępowanie Administratora lub właściwej osoby przez niego upoważnionej w przypadku stwierdzenia wystąpienia incydentu:
- ustalenie czasu, zakresu, przyczyn i skutków zdarzenia będącego incydentem,
- zabezpieczenie dowodów,
- ustalenie osób odpowiedzialnych za naruszenie,
- usunięcie skutków incydentu, w tym ograniczenie szkód wywołanych incydentem,
- zainicjowanie działań dyscyplinarnych,
- zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
- udokumentowanie prowadzonego postępowania w rejestrze naruszeń.
9. Szkolenia
- Każda osoba przed dopuszczeniem do pracy z danymi osobowymi powinna być poddana przeszkoleniu i zapoznana z przepisami rozporządzenia.
- Za przeprowadzenie szkolenia odpowiada Administrator.
- Po przeszkoleniu z zasad ochrony danych osobowych, uczestnicy zobowiązani są do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.
10. Audyty
- Administrator regularnie testuje i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, przynajmniej raz na rok.