Back to top

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

W INSTYTUCIE WSPÓŁPRACY POLSKO-WĘGIERSKIEJ
IM. WACŁAWA FELCZAKA


Postanowienia ogólne

§ 1.

  1. Polityka bezpieczeństwa przetwarzania danych osobowych w Instytucie Współpracy Polsko-Węgierskiej im. Wacława Felczaka zwana dalej „Polityką bezpieczeństwa”, określa zasady przetwarzania danych osobowych oraz środki techniczne i organizacyjne zastosowane dla zapewnienia ochrony danych osobowych:

  1. dla których administratorem danych jest dyrektor Instytutu, zwany dalej „Administratorem Danych Osobowych - ADO”;

  2. powierzonych do przetwarzania Instytutowi, na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016. str. 1), zwanego dalej „RODO”.

  1. Obowiązanymi do stosowania Polityki bezpieczeństwa są osoby, które przetwarzają dane osobowe, o których mowa w ust. 1.

  2. Celem Polityki bezpieczeństwa jest zapewnienie szczególnej ochrony interesów osób, których dane są przetwarzane oraz wysokiego poziomu bezpieczeństwa przetwarzania danych, uwzględniając charakter, zakres kontekst i cel przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

  3. Polityka bezpieczeństwa ma zastosowanie do danych osobowych przetwarzanych w Instytucie Współpracy Polsko-Węgierskiej im. Wacława Felczaka zwanym dalej „Instytutem”, w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

§ 2.

Użyte w Polityce bezpieczeństwa określenia oznaczają:

1 ASI Administratora systemu informatycznego - osobę odpowiedzialną za funkcjonowanie określonego systemu informatycznego oraz stosowanie technicznych i organizacyjnych środków ochrony danych osobowych w ramach tego systemu;
2 dane osobowe Oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
3 identyfikator Ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący użytkownika w systemie informatycznym;
4 Inspektor ochrony danych Osobę wyznaczoną przez administratora danych, zgodnie z art. 37 ust. 1 lit. a) RODO;
5 kierownik komórki organizacyjnej Dyrektora Instytutu, dyrektora lub zastępcę dyrektora zespołu,
6 naruszenie ochrony danych osobowych naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
7 przetwarzanie danych osobowych operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
8 System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych
w celu przetwarzania danych osobowych w Instytucie;
9 użytkownik pracownika oraz każdą osobę nie będącą pracownikiem Instytutu, upoważnioną do przetwarzania danych osobowych;
10 właściwa komórka organizacyjna Komórka organizacyjna, w której przetwarzane są dane osobowe
11 zabezpieczenie danych osobowych wdrożenie i eksploatację środków organizacyjnych, technicznych
i fizycznych, zapewniających ochronę tych danych przed ich nieuprawnionym przetwarzaniem, w tym zabezpieczenie zasobów technicznych oraz ochronę przed zniszczeniem, nieuprawnionym dostępem i modyfikacją, ujawnieniem lub pozyskaniem danych osobowych, bądź ich utratą;
12 zagrożenie potencjalną przyczynę incydentu związanego z przetwarzaniem danych osobowych, którego skutkiem może być naruszenie zabezpieczenia danych osobowych;

Sposób przetwarzania danych osobowych

§ 3.

  1. Dopuszcza się przetwarzanie danych osobowych wyłącznie w zakresie i trybie określonym w RODO, ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018, poz.1000), w ustawie z dnia 8 lutego 2018 r. o Instytucie Współpracy Polsko-Węgierskiej im. Wacława Felczaka (Dz.U. 2018, poz. 538), w innych ustawach szczególnych oraz w Polityce bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Instytucie.

  2. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z warunków, o których mowa w art.
    6 ust. 1 RODO, z zastrzeżeniem art. 9 ust. 1 i 2 RODO.

§ 4.

Jeżeli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, zgoda co do zasady, powinna być wyrażona pisemnie, w formie odrębnego oświadczenia.

§ 5.

Dyrektor Instytutu wydaje upoważnienia do przetwarzania danych osobowych dla pracowników Instytutu oraz członkom Komisji oceniającej wnioski o udzielenie stypendium, lub wsparcia.

§ 6.

  1. Każda osoba, przed rozpoczęciem przetwarzania danych osobowych, jest obowiązana zapoznać się z przepisami dotyczącymi ochrony danych osobowych, w tym rozporządzeniem RODO, ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych, przepisami ustaw szczególnych oraz z właściwymi procedurami postępowania zapewniającymi ochronę danych osobowych, w tym w zakresie ochrony danych przetwarzanych w systemie informatycznym.

  2. Każda osoba, przed rozpoczęciem przetwarzania danych osobowych, potwierdza zapoznanie się z przepisami i procedurami, o których mowa w ust. 1 i 2, przez złożenie podpisu na upoważnieniu do przetwarzania danych osobowych, którego wzór określa załącznik nr 1 do Polityki bezpieczeństwa.

 

 

§ 7.

W przypadku zmiany zakresu obowiązków użytkownika powodujących zaprzestanie przetwarzania danych osobowych przez użytkownika, albo rozszerzenia uprawnień, należy niezwłocznie powiadomić o tym fakcie inspektora ochrony danych osobowych.

§ 8.

  1. Upoważnienia do przetwarzania danych osobowych rejestrowane są w ewidencji osób upoważnionych do przetwarzania danych osobowych w Instytucie.

  2. Ewidencję, o której mowa w ust. 1, prowadzi inspektor ochrony danych osobowych.

  3. Ewidencja, o której mowa w ust. 1, nie obejmuje osób, dla których, w związku
    z zawartymi umowami powierzającymi przetwarzanie danych osobowych, obowiązek wydania upoważnień nie spoczywa na administratorze danych.


 

Realizacja praw osób, których dane dotyczą

 

§ 9.

  1. Każda z komórek organizacyjnych Instytutu, w zakresie swojej właściwości, jest odpowiedzialna za:

  1. przekazywanie informacji, o których mowa w art. 13 i 14 RODO, osobie, której dane dotyczą,

  2. realizację działań podjętych na podstawie art. 15-22 RODO w związku z żądaniem osoby, której dane dotyczą,

- zgodnie z wymaganiami oraz w terminie określonymi w art. 12 RODO, chyba że przepisy szczególne stanowią inaczej.

 

  1. Realizując żądania osoby, której dane dotyczą, na podstawie art. 15 – 22 RODO, komórka organizacyjna, w szczególności:

  1. w przypadku uzasadnionych wątpliwości co do tożsamości osoby fizycznej składającej żądanie, może:

  1. wezwać tę osobę do wystąpienia z żądaniem w formie pisemnej lub za pośrednictwem elektronicznej skrzynki podawczej (ePUAP) - gdy żądanie zostało przekazane za pośrednictwem poczty elektronicznej, lub

  2. zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą;

  1. powinna udzielać informacji w formie pisemnej, chyba że osoba, której dane dotyczą, wystąpiła z żądaniem drogą elektroniczną (ePUAP) oraz nie zażąda przekazania jej informacji w innej formie;

  2. powinna komunikować się z osobą, której dane dotyczą, w sposób zwięzły, przejrzysty, zrozumiały, w łatwo dostępnej formie, jasnym i prostym językiem;

  3. może udzielić informacji ustnie, jeżeli zażąda tego osoba, której dane dotyczą,
    o ile potwierdzi tożsamość osoby występującej z żądaniem;

  4. powinna udzielić informacji bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania, z zastrzeżeniem art. 12 ust. 3 RODO;

  5. w przypadku niepodjęcia działań związanych z żądaniem, najpóźniej w terminie miesiąca informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych oraz możliwości skorzystania ze środków ochrony prawnej przed sądem.

 

  1. W przypadku gdy, komórka organizacyjna w związku z żądaniem realizacji praw,
    o których mowa w art. 15-22 RODO, nie przetwarza danych osobowych osoby, która wystąpiła z żądaniem lub nie jest w stanie zidentyfikować czy przetwarza dane osobowe osoby, która wystąpiła z żądaniem, w miarę możliwości informuje o tym tę osobę.

  2. Komórki organizacyjne mogą konsultować z inspektorem ochrony danych sposób realizacji żądania osoby fizycznej, z którym wystąpiła do Instytutu na podstawie
    art. 15-22 RODO.

  3. Informacje, o których mowa w art. 13 RODO, mogą być przekazywane osobie, której dane dotyczą, niezwłocznie po pozyskaniu danych osobowych, jednakże nie później niż przy pierwszej komunikacji z osobą, której dane dotyczą.

  4. W przypadku gdy wystąpienie osoby nie wymaga podjęcia dalszych czynności przez właściwą komórkę organizacyjną, informacje, o których mowa w art. 13 RODO, powinny zostać przekazane niezwłocznie po pozyskaniu danych osobowych, jednakże nie później niż w terminie 30 dni od dnia wpłynięcia wystąpienia do Instytutu.

  5. Informacje, o których mowa w art. 14 RODO, mogą być przekazywane osobie, której dane dotyczą, za pośrednictwem poczty elektronicznej (e-mail) lub za pośrednictwem elektronicznej skrzynki podawczej (ePUAP) lub w formie pisemnej, jeżeli komórka organizacyjna dysponuje informacjami umożliwiającymi prowadzenie komunikacji w tej formie.

  6. W przypadku jeżeli sprawa należy do właściwości kilku komórek organizacyjnych Instytutu, informacje, o których mowa w art. 13 lub art. 14 RODO, przekazuje komórka wiodąca w danej sprawie, informując o tym pozostałe, współpracujące komórki organizacyjne.

§ 10.

  1. W Instytucie funkcjonuje skrzynka pocztowa Inspektora ochrony danych pod adresem
    e-mail: IOD@kurier.plus . Za pośrednictwem skrzynki pocztowej mogą być wnoszone żądania osób, które chcą skorzystać z uprawnień przysługujących na podstawie art. 15-22 RODO.

  2. Po wpłynięciu żądania, o którym mowa w ust. 1, jest ono przekazywane do komórki organizacyjnej Instytutu właściwej do podjęcia działań związanych z żądaniem, zgodnie
    z § 9 ust. 2.

  3. W przypadku gdy żądanie, o którym mowa w ust. 1, wpłynie bezpośrednio do komórki organizacyjnej, komórka organizacyjna jest zobowiązana przekazać niezwłocznie informacje dotyczące żądania do wiadomości Inspektora ochrony danych, w tym za pośrednictwem skrzynki pocztowej.

  4. Komórki organizacyjne przekazują niezwłocznie Inspektorowi ochrony danych informacje dotyczące działań podjętych na podstawie art. 15-22 RODO w związku
    z żądaniem osoby, której dane dotyczą.

 

§ 11.

Kierownik komórki organizacyjnej Instytutu, w której dane osobowe zostały zgromadzone, może udostępnić te dane innym podmiotom w przypadku, gdy obowiązek taki wynika wprost
z przepisów prawa i przesłanki określone w tych przepisach zostały spełnione.

§ 12.

  1. Powierzenie przetwarzania danych osobowych, dla których administratorem danych jest Dyrektor Instytutu, innemu podmiotowi przetwarzającemu może nastąpić jedynie na podstawie umowy lub innego instrumentu prawnego, zgodnie z art. 28 ust. 3 RODO.

  2. Przed podjęciem działań zmierzających do powierzenia przetwarzania danych osobowych, kierownik komórki organizacyjnej, który planuje powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu, jest zobowiązany do przeprowadzenia oceny ryzyka naruszenia praw lub wolności osób, których dane są przetwarzane, w związku
    z planowanym powierzeniem, zgodnie z § 15.

  3. W zależności od wyników oceny ryzyka, o której mowa w ust. 2, kierownik komórki organizacyjnej, a jeżeli jest to związane z przetwarzaniem danych osobowych w systemie informatycznym w porozumieniu z kierownikiem komórki organizacyjnej właściwej do spraw informatyki, określa odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innym w stosownym przypadku:

  1. pseudonimizację i szyfrowanie danych osobowych;

  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;

  5. zapewnienie, aby ustawienia systemu informatycznego chroniące prywatność były ustawione domyślnie;

  6. zapewnienie, aby system informatyczny umożliwiał wprowadzenie ograniczenia przetwarzania danych osobowych, w szczególności poprzez czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych.

  1. Dopuszcza się korzystanie z usług podmiotu przetwarzającego jedynie w przypadku gdy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, określonych zgodnie z ust. 3. Odpowiednie wymagania powinny zostać uwzględnione w Specyfikacji Istotnych Warunków Zamówienia lub w Opisie Przedmiotu Zamówienia.

  2. Dopuszcza się możliwość konsultacji z Inspektorem ochrony danych w zakresie określenia wymagań dla podmiotów przetwarzających w dokumentacji przetargowej.

 

§ 13.

  1. Projekt umowy powierzenia przetwarzania danych lub innego instrumentu prawnego,
    o którym mowa w § 12 ust. 1, przed skierowaniem do zaopiniowania pod względem prawnym, powinien być uzgodniony pod względem merytorycznym z Inspektorem ochrony danych. Wraz z projektem Inspektorowi ochrony danych przekazuje się dokumentacje dotyczącą oceny ryzyka, o której mowa w § 12 ust. 2.

  2. Kopia zawartej umowy lub innego instrumentu prawnego, o których mowa w ust. 1, są niezwłocznie przekazywane do Inspektora ochrony danych.

 

Rejestry i wykazy

§ 14.

  1. Inspektor ochrony danych prowadzi:

  1. rejestr czynności przetwarzania danych osobowych, za które odpowiada Administrator danych;

  2. rejestr naruszeń ochrony danych osobowych;

  3. rejestr żądań osób, które chcą skorzystać z uprawnień przysługujących na podstawie art. 15-22 RODO;

  4. wykaz umów oraz innych instrumentów prawnych, dotyczących powierzenia przetwarzania danych osobowych, zawartych w Instytucie,

  5. kontrole przetwarzania danych osobowych u podmiotów, którym zostało powierzone przetwarzanie danych osobowych.

 

  1. Komórki organizacyjne są zobowiązane do przekazywania Inspektorowi ochrony danych informacji w celu aktualizacji rejestrów oraz wykazów, o których mowa w ust. 1.

 

Naruszenia ochrony danych osobowych i ich zgłaszanie

§ 15.

  1. Do naruszenia ochrony danych osobowych może dojść w szczególności poprzez:

  1. przetwarzanie danych bez upoważnień, o których mowa w § 6 ust. 3;

  2. nieuprawnione udostępnienie danych osobowych przetwarzanych w Instytucie lub kradzież danych;

  3. wystąpienie sytuacji losowych lub nieprzewidziane oddziaływanie czynników zewnętrznych, zagrażających bezpieczeństwu danych osobowych (np. zalanie pomieszczeń, wybuch gazu, pożar, katastrofa budowlana, działania terrorystyczne);

  4. wystąpienie awarii urządzenia, na którym są przetwarzane dane osobowe;

  5. atak szkodliwego oprogramowania (wirusy, konie trojańskie, robaki, spyware, rootkit, itp.);

  6. błąd w oprogramowaniu, które wykorzystywane jest do przetwarzania danych osobowych;

  7. naruszenie zabezpieczenia systemu informatycznego wywołane przez użytkownika lub osobę niebędącą użytkownikiem (tzw. hakera, krakera, itp.).

  8. próbę pozyskania danych osobowych poprzez podszywanie się pod zaufany podmiot (phishing, spoofing).

  1. Każdy użytkownik, w przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych jest obowiązany do niezwłocznego poinformowania o tym fakcie właściwego kierownika komórki organizacyjnej Instytutu, a jeżeli jest to związane z przetwarzaniem danych osobowych w systemie informatycznym, również ASI. Jeżeli inny sposób postępowania określony został odrębnymi dokumentami, w tym instrukcjami, regulaminami lub procedurami, użytkownicy obowiązani są postępować zgodnie
    z postanowieniami określonymi w tych dokumentach.

  2. Kierownik komórki organizacyjnej Instytutu niezwłocznie, jednak nie później niż
    w terminie 24 godzin od stwierdzenia naruszenia, zgłaszają Inspektorowi ochrony danych, każdy przypadek naruszenia ochrony danych osobowych przetwarzanych w Instytucie.

  3. Zgłoszenie powinno zawierać co najmniej:

  1. opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

  2. opis możliwych konsekwencji naruszenia ochrony danych osobowych;

  3. opis środków zastosowanych lub proponowanych do zastosowania w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków;

  4. stanowisko czy naruszenie ochrony danych osobowych może skutkować naruszeniem praw lub wolności osób fizycznych;

  5. stanowisko czy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

 

§ 16.

 

  1. Inspektor ochrony danych, po otrzymaniu informacji, o których mowa w § 15 ust. 3 i 4:

  1. weryfikuje informacje i okoliczności związane z danym zdarzeniem, w tym dokładny czas uzyskania informacji o naruszeniu ochrony danych osobowych;

  2. zasięga opinii ASI, jeżeli naruszenie ochrony danych osobowych nastąpiło w obszarze systemów informatycznych funkcjonujących w Instytucie;

  3. może przekazać do komórki organizacyjnej wytyczne dotyczące wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zaradzenia naruszeniu ochrony danych osobowych, w szczególności w zakresie:

  1. wyeliminowania przyczyn naruszenia związanego z przetwarzaniem danych osobowych,

  2. powstrzymania lub ograniczenia niepożądanych skutków zaistniałego naruszenia,

  3. zminimalizowania szkód,

  4. zabezpieczenia przed usunięciem śladów naruszenia związanego
    z przetwarzaniem danych osobowych, a jeżeli okoliczności zdarzenia wskazują potrzebę zabezpieczenia miejsca zdarzenia lub zgromadzonego materiału dowodowego, poinformowania o tym fakcie komórki organizacyjnej Instytutu właściwej w sprawach powierzone do przetwarzania dane osobowe poza Instytutem,

  5. właściwego zabezpieczenia danych osobowych lub sprawdzenia istniejących zabezpieczeń.;

  1. bez zbędnej zwłoki, nie później jednak niż w terminie 72 godzin po stwierdzeniu naruszenia, po uprzednim uzgodnieniu zgłoszenia z Administratorem danych lub osobą upoważnioną przez administratora, przekazuje Prezesowi Urzędu Ochrony Danych Osobowych zgłoszenie zawierające informacje, o których mowa w art. 33 ust. 3 RODO, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;

  2. bez zbędnej zwłoki, po uprzednim uzgodnieniu zawiadomienia z Administratorem danych lub osobą upoważnioną przez administratora, zawiadamia osobę, której dane dotyczą, zgodnie z art. 34 ust. 2 RODO, o naruszeniu ochrony danych osobowych, jeżeli oceni, że naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

  1. W przypadku braku możliwości uzyskania przez Inspektora ochrony danych bez zbędnej zwłoki stanowiska Administratora danych lub osoby upoważnionej przez administratora, Inspektor ochrony danych dokonuje zgłoszenia, o którym mowa w ust. 1 pkt 4, lub zawiadomienia, o którym mowa w ust. 1 pkt 5, informując Administratora lub osobą upoważnioną przez administratora o podjętych czynnościach.

  2. W przypadku gdy zawiadomienie, o którym mowa w ust. 1 pkt 5, wymagałoby niewspółmiernie dużego wysiłku, Inspektor ochrony danych, po uprzednim uzgodnieniu stanowiska z Administratorem lub osobą upoważnioną przez administratora, nie dokonuje zawiadomienia i przekazuje do publikacji w Biuletynie Informacji Publicznej Instytutu komunikat, zawierający w szczególności:

  1. imię i nazwisko oraz dane kontaktowe Inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego osoba fizyczna może uzyskać więcej informacji;

  2. opis możliwych konsekwencji naruszenia ochrony danych osobowych;

  3. opis środków zastosowanych lub proponowanych do zastosowania przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

§ 17.

  1. Po przywróceniu właściwego stanu ochrony danych osobowych, Inspektor ochrony danych przy współudziale ASI, dokonuje szczegółowej analizy przyczyn wystąpienia naruszenia ochrony danych osobowych oraz podejmuje kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości, z zastrzeżeniem ust. 2.

  2. Jeżeli naruszenie ochrony danych osobowych dotyczy podmiotu przetwarzającego, Inspektor ochrony danych podejmuje działania, o których mowa w ust. 1, we współpracy z tym podmiotem.

  3. Inspektor ochrony danych sporządza raport końcowy dotyczący zaistniałego naruszenia ochrony danych osobowych, zawierający informacje o przyczynach zdarzenia, jego przebiegu, skutkach oraz przedstawiający rekomendacje mające zapewnić poprawę bezpieczeństwa przetwarzanych danych osobowych. Rekomendacje w obszarze systemów informatycznych Instytutu opracowuje ASI.

  4. Raport, o którym mowa w ust. 3, jest przekazywany Administratorowi danych lub osobie upoważnionej przez administratora.

Ocena ryzyka oraz ocena skutków dla ochrony danych osobowych

 

§ 18.

  1. Kierujący komórką organizacyjną jest obowiązany do dokonywania systematycznego przeglądu czynności przetwarzania danych osobowych realizowanych w zakresie nadzorowanej komórki organizacyjnej, uwzględniając charakter, zakres oraz kontekst przetwarzania, w celu identyfikacji i oceny ryzyk naruszenia ochrony danych osobowych.

  2. W przypadku każdego zidentyfikowania ryzyka należy określić:

  1. skutek zmaterializowania się ryzyka dla osoby, której dotyczą, oraz dla Instytutu, uwzględniając możliwość wystąpienia dyskryminacji, kradzieży tożsamości lub oszustwa dotyczącego tożsamości, naruszenia poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionego odwrócenia pseudonimizacji, innych znaczących szkód gospodarczych lub społecznych oraz

  2. prawdopodobieństwo jego wystąpienia i zaplanować działania zaradcze.

  1. Należy określić poziom ryzyka na podstawie prawdopodobieństwa wystąpienia danego ryzyka oraz skutku jego zmaterializowania się:

  1. poziom niski jest ryzykiem akceptowalnym, co oznacza brak obowiązku podejmowania działań ograniczających ryzyko, ryzyko należy monitorować;

  2. poziom średni jest ryzykiem nieakceptowalnym, wymaga ustalenia działania, działanie może zostać przesunięte w czasie, ale wymaga okresowego monitorowania;

  3. poziom wysoki jest ryzykiem nieakceptowalnym, wymaga natychmiastowego działania.

  1. Postępowanie z ryzykiem może polegać na:

  1. modyfikowaniu (redukcji) ryzyka poprzez podjęcie działań mających na celu zmniejszenia wartości ryzyka;

  2. zachowaniu (akceptacji ryzyka) w przypadku gdy poziom ryzyka spełnia przyjęte kryteria akceptowania ryzyka zapewniając poufność, integralność i dostępność danych osobowych;

  3. unikaniu ryzyka, poprzez unikanie działań, które powodują powstanie określonych typów ryzyka, np. w przypadku, gdy zidentyfikowane ryzyka są zbyt wysokie lub koszt wdrożenia zabezpieczeń nie jest adekwatny do zysków;

  4. dzieleniu ryzyka (przeniesienie ryzyka).

  1. Ocena ryzyka powinna zostać przeprowadzona zgodnie z Oceną ryzyka naruszenia ochrony danych osobowych, stanowiącym załącznik nr 2 do Polityki.

§ 19.

 

  1. Ocena ryzyka w zakresie przetwarzania danych osobowych w ramach czynności objętych rejestrem czynności przetwarzania danych osobowych jest przeprowadzane co najmniej raz w roku, w terminie do dnia 31 marca w roku.

  2. W przypadku zamiaru przetwarzania danych osobowych w ramach czynności nieobjętych rejestrem czynności przetwarzania danych osobowych, administrator dokonuje oceny ryzyka przed rozpoczęciem przetwarzania danych osobowych.

 

§ 20.

 

  1. Do zadań Inspektora ochrony danych należy w szczególności:

  1. analiza rejestru ryzyk zidentyfikowanych w Instytucie pod względem poprawności dokonanej oceny ryzyka;

  2. analiza/ocena postępowania z ryzykiem, proponowanego przez komórkę organizacyjną, której dotyczy ryzyko.

§ 21.

 

  1. Kierujący komórką organizacyjną w imieniu administratora danych, przed rozpoczęciem przetwarzania danych osobowych w zakresie zadań realizowanych w nadzorowanej komórce organizacyjnej przeprowadza, z zastrzeżeniem art. 35 ust. 10 RODO, ocenę skutków dla ochrony danych osobowych gdy:

  1. przepis prawa powszechnie obowiązującego nakłada obowiązek przeprowadzenia oceny w zakresie określonego rodzaju przetwarzania danych osobowych;

  2. dany rodzaj przetwarzania został wskazany w wykazie podanym do publicznej wiadomości przez Prezesa Urzędu Ochrony Danych Osobowych;

  3. wartość ryzyka naruszenia praw lub wolności osób, których dane dotyczą, w ramach oceny ryzyka, o której mowa w § 20 ust. 2, została określona jako wysoka.

  1. Kierujący komórką organizacyjną, w przypadkach o których mowa w ust. 1 pkt 2 i 3, dokonuje oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą, zgodnie z § 18.

  2. Ocena skutków dla ochrony danych osobowych powinna zawierać co najmniej informacje, o których mowa w art. 35 ust. 7 RODO, przedstawione w postaci tabelarycznej, zgodnie z załącznikiem nr 3 do Polityki bezpieczeństwa (Arkusz oceny skutków dla ochrony danych osobowych).

  3. Kierujący komórką organizacyjną, przeprowadzając ocenę skutków dla ochrony danych osobowych, konsultuje się z Inspektorem ochrony danych.

§ 22.

 

  1. Kierujący komórka organizacyjną, w przypadku gdy:

  1. wynik przeprowadzonej oceny skutków dla ochrony danych osobowych będzie wskazywał na wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz nie zostaną zastosowane środki w celu zminimalizowania tego ryzyka,

  2. przepis prawa powszechnie obowiązującego nakłada obowiązek przeprowadzenia konsultacji z Prezesem Urzędu Ochrony Danych Osobowych

- informuje Inspektora ochrony danych o konieczności podjęcia konsultacji
z Prezesem Urzędu Ochrony Danych Osobowych.

  1. Kierujący komórką organizacyjną, w przypadkach o których mowa w ust. 1, przekazuje Inspektorowi ochrony danych w szczególności informacje o:

  1. celach i sposobach zamierzonego przetwarzania;

  2. środkach i zabezpieczeniach mających chronić prawa i wolności osób, których dane dotyczą;

  3. ocenie skutków dla ochrony danych osobowych.

  1. Inspektor ochrony danych na podstawie informacji, o których mowa w ust. 2, przygotowuje projekt zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych
    i przedkłada go do akceptacji administratora danych lub osoby upoważnionej przez administratora.

  2. Inspektor danych osobowych odpowiedzialny jest za:

  1. przygotowywanie materiałów instruktażowych i informacyjnych dotyczących obowiązujących w Instytucie procedur ochrony przetwarzanych danych osobowych,
    w szczególności na potrzeby nowo zatrudnionych pracowników Instytutu;

  2. opiniowanie projektów wewnętrznych regulacji Instytutu w zakresie ochrony przetwarzanych danych osobowych;

  3. sprawdzanie zgodności przetwarzania danych osobowych w Instytucie z przepisami
    o ochronie danych osobowych;

  4. zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych
    z przepisami o ochronie danych osobowych.

§ 23.

 

Osobami odpowiedzialnymi za prawidłowe i bezpieczne funkcjonowanie systemu informatycznego oraz stosowanie odpowiednich fizycznych, technicznych
i organizacyjnych środków ochrony danych osobowych w ramach tego systemu
w Instytucie jest ASI wyznaczony przez Dyrektora Instytutu do pełnienia funkcji ASI.

Zadania osób upoważnionych do przetwarzania danych osobowych

§ 24.

 

Do zadań osoby upoważnionej do przetwarzania danych osobowych należy w szczególności:

  1. przestrzeganie zasad ochrony danych osobowych określonych w przepisach o ochronie danych osobowych oraz trybu ochrony danych osobowych określonego w Polityce bezpieczeństwa obowiązującej w Instytucie;

  2. przetwarzanie danych osobowych zgodnie z celami przetwarzania;

  3. przetwarzanie danych osobowych w odpowiednio zabezpieczonych pomieszczeniach służbowych lub wyznaczonych ich częściach;

  4. informowanie kierującego komórką organizacyjną o każdym przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych oraz wszelkich zauważonych nieprawidłowościach i incydentach skutkujących obniżeniem poziomu ochrony danych osobowych;

  5. realizacja obowiązków informacyjnych, o których mowa w art. 13 i 14 RODO, wobec osób, których dane przetwarza w zakresie prowadzonych spraw, po uprzedniej akceptacji kierownika komórki organizacyjnej;

  6. realizację działań podjętych na podstawie art. 15-22 RODO w związku z żądaniem osoby, której dane dotyczą;

  7. zapewnienie poufności danych osobowych, do których uzyskuje dostęp w związku
    z wykonywaniem czynności służbowych (udostępnianie danych osobowych innym podmiotom jest możliwe w sytuacji, gdy obowiązek taki wynika wprost z przepisów prawa i tylko w sytuacji, gdy przesłanki określone w tych przepisach zostały spełnione);

  8. ochrona danych osobowych przed zniszczeniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych;

  9. niepozyskiwanie danych osobowych z nielegalnych źródeł;

  10. przestrzeganie zasad ochrony antywirusowej;

  11. niszczenie wszystkich zbędnych dokumentów zawierających dane osobowe w sposób uniemożliwiający ich odczytanie.

§ 25.

 

  1. Bieżący nadzór nad przetwarzaniem danych osobowych w komórkach organizacyjnych Instytutu jest sprawowany przez kierowników komórek organizacyjnych.

  2. W ramach nadzoru, o którym mowa w ust. 1, kierownicy komórek organizacyjnych Instytutu są zobowiązani do zapewnienia przestrzegania postanowień Polityki bezpieczeństwa przez użytkowników przetwarzających dane osobowe w danej komórce organizacyjnej Instytutu i do informowania Inspektora ochrony danych o naruszeniu ochrony danych osobowych oraz wszelkich zauważonych nieprawidłowościach
    i incydentach skutkujących obniżeniem poziomu ochrony danych osobowych.

  3. Kierownik komórki organizacyjnej:

  • dokonuje systematycznego przeglądu czynności przetwarzania danych osobowych realizowanych w zakresie nadzorowanej komórki organizacyjnej, uwzględniając charakter, zakres oraz kontekst przetwarzania, w celu identyfikacji i oceny ryzyk naruszenia ochrony danych osobowych,

  • dokonuje oceny skutków dla ochrony danych, o której mowa w art. 35 RODO;

  • informuje Inspektora ochrony danych o zmianach dotyczących rejestru czynności przetwarzania danych osobowych, za które odpowiada administrator danych.

Środki ochrony danych osobowych

§ 26

 

  1. W celu zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych stosuje się:

  • środki techniczne,

  • środki organizacyjne.

  1. Każdy użytkownik w systemie informatycznym stosuje identyfikator i hasło do logowania.

  2. Identyfikator użytkownika:

  • jest unikalny dla każdego użytkownika systemu informatycznego, w którym został utworzony;

  • nie powinien być zmieniany bez wyraźnej, udokumentowanej przyczyny;

  • nie jest przydzielany innej osobie po wyrejestrowaniu użytkownika z systemu informatycznego.

  1. Hasło użytkownika:

  • jest indywidualnie dla każdego z użytkowników;

  • składa się z minimum 8 znaków;

  • spełnia zasady złożoności (powinno zawierać małe litery, wielkie litery oraz cyfry lub znaki specjalne);

  • nie powinno składać się z kombinacji znaków (np.: imię, nazwisko, identyfikator użytkownika) mogących ułatwić jego odgadnięcie lub odszyfrowanie przez osoby nieuprawnione;

  • po każdej przeprowadzonej jego zmianie musi się składać się z innego ciągu znaków niż poprzednio wykorzystywany, nawet jeśli system informatyczny nie weryfikuje tej zależności;

  • nie jest zapisane w systemie informatycznym w postaci jawnej;

  • w przypadku gdy system informatyczny nie wymusza zmiany hasła zgodnie
    z częstotliwością 30 dni oraz wskazanymi wymaganiami, użytkownik zobowiązany jest do zastosowania powyższych zasad we własnym zakresie;

  • W przypadku powzięcia podejrzenia lub stwierdzenia, że z hasłem mogły się zapoznać osoby trzecie, użytkownik powinien niezwłocznie zmienić hasło.

  1. Osoby upoważnione do przetwarzania danych osobowych stosują następujące reguły postępowania ze zbiorami danych osobowych:

  • dokumenty zawierające dane osobowe, po zakończeniu dnia pracy, przechowywane są w szafach zamykanych na klucz lub na regałach w pomieszczeniach zamykanych na klucz;

  • klucze od szaf, w których przechowywane są dokumenty zawierające dane osobowe, umieszczane są przez osobę upoważnioną do przetwarzania danych osobowych, po zakończeniu dnia pracy tej osoby, w ustalonym, przeznaczonym do tego miejscu;

  • drukowanie dokumentów zawierających dane osobowe odbywa się wyłącznie w obecności osoby uprawnionej do przetwarzania danych osobowych zawartych w drukowanych dokumentach;

  • ekrany komputerowe ustawione są w sposób uniemożliwiający zapoznanie się z treścią na nich wyświetloną przez osoby nieupoważnione do przetwarzania danych zawartych w tych komputerach;

  • osoba upoważniona do przetwarzania danych osobowych, na czas swojej nieobecności zamyka drzwi pokoju na klucz;

  • osoba upoważniona do przetwarzania danych osobowych, po zakończeniu dnia jej pracy, zamyka okna, zamyka drzwi pokoju na klucz;

  • osoby nieuprawione nie mogą być pozostawiane bez nadzoru w pokojach, w których przetwarzane są dane osobowe;

  • osoba upoważniona do przetwarzania danych osobowych nie dopuszcza do sytuacji, w której stanowisko pracy pracownika zajmie osoba nieuprawniona do przetwarzania danych osobowych.

  1. W celu zapewnienia integralności i dostępności systemów informatycznych regularnie tworzy się ich kopie zapasowe. Sporządzanie kopii zapasowych jest realizowane przez upoważnionych użytkowników.

  2. W celu ochrony danych osobowych zgromadzonych w postaci kopii zapasowych na dyskach twardych oraz na elektronicznych, wymiennych nośnikach informacji (płyty CD/DVD, PenDrive, karty pamięci, zewnętrzne dyski twarde) przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, usunięciem lub zniszczeniem, wprowadza się następujące zasady ich przechowywania:

  • elektroniczne nośniki informacji zawierające kopie zapasowe przechowuje się w lokalizacjach innych niż urządzenia, z których w/w kopie zostały wykonane;

  • elektroniczne nośniki informacji, zawierające kopie zapasowe, których użyteczność ustała, są nadpisywane kolejnymi kopiami;

  • elektroniczne nośniki informacji, zawierające kopie zapasowe, które uległy uszkodzeniu, podlegają likwidacji.

  1. Dostęp do elektronicznych nośników informacji, o których mowa w ust. 1, na których zostały utrwalone dane osobowe, jest ograniczony wyłącznie do osób posiadających stosowne upoważnienie do przetwarzania danych osobowych.

  2. W ramach ochrony systemów informatycznych przed wrogim oprogramowaniem odbywa się bieżące i bezpośrednie sprawdzanie obecności złośliwego oprogramowania przy zastosowaniu zainstalowanego na każdej stacji roboczej programu antywirusowego, automatycznie monitorującego występowanie złośliwego oprogramowania podczas operacji wykonywanych na plikach.

  3. Użytkownik jest zobowiązany do stałego monitorowania komunikatów pochodzących
    z oprogramowania antywirusowego zainstalowanego na stacji roboczej i reagowania na nie.

  4. W ramach ochrony przed zagrożeniami pochodzącymi z sieci publicznej Instytut stosuje urządzenia typu firewall oraz stale monitoruje ruch przychodzący do sieci oraz ruch wychodzący z sieci Instytutu.

  5. Przeglądy i konserwacje sprzętu komputerowego wynikające z zużycia sprzętu oraz warunków eksploatacji, z uwzględnieniem znaczenia sprzętu dla funkcjonowania całości systemu informatycznego, są dokonywane przez zewnętrzną firmę serwisową.

  6. W przypadku ujawnienia w ramach przeglądów lub konserwacji, o których mowa w ust. 12, podatności na ryzyko naruszenia praw i wolności osoby fizycznej, zastosowanie ma §15 Polityki Bezpieczeństwa.

  7. Elektroniczne nośniki informacji, zawierające dane osobowe, umieszczone
    w urządzeniach przeznaczonych do napraw, gdzie jest wymagane zaangażowanie zewnętrznych firm serwisowych, usuwa się z tych urządzeń lub pozbawia się przed naprawą zapisu danych osobowych, ewentualnie naprawy dokonuje się pod nadzorem użytkownika systemu.

  8. Elektroniczne nośniki informacji, zawierające dane osobowe przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający odczytanie zawartości utrwalonej na nich.

  9. Elektroniczne nośniki informacji, o których mowa w ust. 15, nie są przekazywane innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych.

  10. Decyzję o instalacji jakiegokolwiek oprogramowania systemowego lub użytkowego obsługującego przetwarzanie danych osobowych podejmuje Dyrektor Instytutu.

§ 27.

  1. Osoby upoważnione do przetwarzania danych osobowych mają obowiązek zachować
    w tajemnicy przetwarzane dane osobowe oraz sposoby ich zabezpieczenia, w tym także po zakończeniu ich przetwarzania.

  2. Za naruszenie obowiązku, o którym mowa w ust. 1, a także obowiązków, o których mowa w § 24, oraz innych obowiązków w zakresie ochrony danych osobowych wynikających
    z RODO, pracownicy Instytutu oraz osoby niebędące pracownikami Instytutu, podlegają odpowiedzialności wynikającej z przepisów prawa.

Postanowienia końcowe

§ 28.

Do spraw nieuregulowanych w Polityce bezpieczeństwa stosuje się przepisy RODO oraz przepisy ustaw szczegółowych, dotyczących przetwarzania danych osobowych.

§ 29.

Polityka bezpieczeństwa nie wyłącza stosowania innych instrukcji dotyczących w szczególności zabezpieczenia systemu informatycznego.