POLITYKA OCHRONY DANYCH OSOBOWYCH

 

Uwzględniając obowiązki wynikające z art.25 oraz art.32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1),celem zapewnienia, że Dane osobowe w Centrum Edukacyjno-Turystycznym CENTAUREA Wojciech Frycz są przetwarzane i zabezpieczone zgodnie z postanowieniami prawa poprzez wdrożenia odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń. Centrum Edukacyjno-Turystyczne CENTAUREA Wojciech Frycz zapewnia, że domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

1. POSTANOWIENIA WSTĘPNE

1.1. Polityka określa zasady przetwarzania oraz zabezpieczania Danych Osobowych w C.E.T. Centaurea celem zapewnienia zbieżności przetwarzania z wymaganiami RODO oraz przepisami bezwzględnie obowiązującego prawa polskiego w zakresie przetwarzania danych osobowych. Polityka stanowi zbiór oraz podstawę wdrażanych w Przedsiębiorstwie wymogów, procedur oraz zasad ochrony danych osobowych.

a/ Polityka zawiera:

- opis zasad ochrony danych obowiązujących w C.E.T. Centaurea

- zbiór procedur, instrukcji i regulacji szczegółowych dotyczących przetwarzania Danych Osobowych w C.E.T. Centaurea, dotyczących poszczególnych obszarów z zakresu ochrony danych osobowych stanowiących załączniki do Polityki.

1.2. Polityka obowiązuje wszystkich pracowników oraz współpracowników C.E.T. Centaurea. Za przestrzeganie i utrzymanie postanowień Polityki odpowiedzialni są:

a/ Właściciel/Dyrektor C.E.T. Centaurea

b/ komórki organizacyjne utworzone w C.E.T. Centaurea, w których przetwarzane są Dane Osobowe

c/ pracownicy

1.3. Dla skutecznej realizacji Polityki, uwzględniając zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia C.E.T. Centaurea zapewnia:

a/ wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania Danych Osobowych z wymogami prawa oraz niezbędne zabezpieczenie przetwarzanych danych osobowych

b/ zabezpieczenie zasobów systemów informatycznych, infrastruktury technicznej, sprzętu i osprzętu przed zniszczeniem, uszkodzeniem lub kradzieżą

c/ uniemożliwienie dostępu do Danych Osobowych zawartych w systemach informatycznych oraz przechowywyanych w formie papierowej osobom do tego nieupoważnionym

d/ stałe monitorowanie zgodności przetwarzania Danych Osobowych z wymogami prawa oraz poddawanie środków, o których mowa w ust. powyżej ciągłym przeglądom oraz uaktualnianiu

e/ kontrolę i nadzór nad przetwarzaniem Danych Osobowych

1.4. Nadzór nad przestrzeganiem postanowień Polityki zapewnia Właściciel/Dyrektor C.E.T. Centaurea. Nadzór, o którym mowa w zdaniu poprzedzającym zmierza w szczególności, ale nie wyłącznie do zapewnienia, że czynności związane z przetwarzaniem Danych Osobowych w C.E.T. Centaurea są zgodne z wymogami prawa oraz postanowieniami Polityki.

1.5. C.E.T. Centaurea zapewnia zgodność postępowania kontrahentów C.E.T. Centaurea, w tym w szczególności podmiotów przetwarzających z postanowieniami Polityki w odpowiednim zakresie we wszystkich sytuacjach, w których dochodzi do przekazania tym podmiotom Danych Osobowych do przetwarzania, w tym przechowywania.

1.6. Polityka Ochrony Danych Osobowych jest przechowywana i udostępniana w wersji papierowej oraz elektronicznej w siedzibie C.E.T. Centaurea.

1.7. Politykę udostępnia się:

a/ obligatoryjnie wszystkim osobom upoważnionym do przetwarzania Danych Osobowych w C.E.T. Centaurea, celem zapewnienia osobom upoważnionym należytej wiedzy oraz informacji na temat zasad i wymogów dotyczących przetwarzania Danych Osobowych w C.E.T. Centaurea

b/ osobom zainteresowanym, w szczególności osobom fizycznym, których dane dotyczą – na ich wniosek

2. SŁOWNIK POJĘĆ

2.1. Ilekroć w niniejszej Polityce zostaną wykorzystane poniższe definicje lub zwroty, należy nadawać im następujące znaczenie:

a/ Administrator Systemu Informatycznego – oznacza osobę odpowiedzialną za nadzór i bezpieczeństwo nad systemami informatycznymi użytkowanymi w C.E.T. Centaurea oraz infrastrukturą IT

b/ Dane Osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, takie jak imię i nazwisko, miejsce zamieszkania, numer identyfikacyjny, dane o lokalizacji, jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, o których mowa w art. 4 pkt 1 RODO

c/ Dane wrażliwe – oznaczają Dane Osobowe, o których mowa w art. 9 RODO

d/ Dokumenty z danymi osobowymi – oznaczają wszelkie dokumenty, w których zawarte są dane osobowe, z wyjątkiem wizytówek, kalendarzy i notatników prowadzonych w formie papierowej lub elektronicznej

e/ Właściciel/Dyrektor C.E.T. Centaurea – oznacza właściciela i/lub dyrektora C.E.T. Centaurea

f/ Login – oznacza ciąg znaków literowych, cyfrowych lub innych, identyfikujący Użytkownika do Przetwarzania Danych Osobowych w systemie informatycznym

g/ Nośniki danych – oznaczają wszelkie nośniki, na których są zapisane informacje w postaci elektronicznej, w szczególności: dyski CD–ROM, DVD–ROM, BluRay, dyski, pamięć USB i inne pamięci przenośne, karty magnetyczne oraz dokumenty papierowe zawierające dane osobowe

h/ Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego

i/ Osoba upoważniona – oznacza osobę upoważnioną przez C.E.T. Centaurea do przetwarzania Danych Osobowych w danym zakresie

j/ Podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu C.E.T. Centaurea

k/ Polityka – oznacza niniejszą Politykę Ochrony Danych Osobowych C.E.T. Centaurea wraz ze wszystkimi ewentualnymi załącznikami

l/ Pracownicy – oznaczają zarówno osoby zatrudnione w C.E.T. Centaurea na podstawie stosunku pracy, jak również osoby fizyczne współpracujące z C.E.T. Centaurea na podstawie umowy cywilnoprawnej

ł/ C.E.T. Centaurea (Administrator Danych Osobowych) – oznacza Centrum Edukacyjno-Turystyczne CENTAUREA Wojciech Frycz z siedzibą w Łodzi, ul. Łagiewnicka 118b, NIP: 947-105-07-81, REGON: 470992888

m/ Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, o których mowa w art. 4 pkt 2 RODO

n/ Rejestr - oznacza Rejestr Czynności Przetwarzania Danych Osobowych C.E.T. Centaurea

o/ RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1)

p/ Sieć lokalna – oznacza połączenie systemów informatycznych C.E.T. Centaurea wyłącznie dla własnych jej potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych

r/ Sieć rozległa – należy przez to rozumieć sieć publiczną (telekomunikacyjną) w rozumieniu ustawy z dnia 16 lipca 2004 r., Prawo telekomunikacyjne (Dz.U. 2004 nr 171poz. 1800)

s/ System – oznacza System ochrony Danych Osobowych w C.E.T. Centaurea, o którym mowa w § 5 Polityki

t/ System informatyczny – oznacza zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania Danych Osobowych

u/ Urządzenie mobilne – oznaczają komórkowe telefony przenośne, tablety oraz inne urządzenia przenośne, które za pomocą posiadanych właściwości przeznaczone są lub mogą służyć do Przetwarzania Danych Osobowych

w/ Uwierzytelnienie – oznacza działanie, którego celem jest weryfikacja deklarowanej tożsamości Użytkownika

y/ Użytkownik – oznacza osobę upoważnioną przez Administratora Danych Osobowych do przetwarzania Danych Osobowych umieszczonych w systemach, oprogramowaniu, zasobach sieciowych, plikach i folderach zapisanych na komputerach, serwerach, nośnikach danych i innych urządzeniach elektronicznych oraz dokumentach papierowych

z/ Zbiór danych – oznacza każdy uporządkowany zestaw Danych Osobowych, dostępny według określonych kryteriów

3. DANE OSOBOWE

3.1. C.E.T. Centaurea przetwarza Dane Osobowe gromadzone w zbiorach danych. Zbiory danych przetwarzane w C.E.T. Centaurea określa Załącznik nr 1 do Polityki.

3.2. Uaktualnienie lub poszerzenie listy Zbiorów danych następuje po uprzednim przeprowadzeniu analizy skutków oraz ryzyka przetwarzania Danych osobowych dla praw i wolności osób fizycznych objętych zbiorem.

3.3. C.E.T. Centaurea nie podejmuje czynności Przetwarzania, które mogłyby wiązać się z istotnym ryzykiem naruszenia praw i wolności osób, których Dane osobowe dotyczą. W przypadku planowania podjęcia czynności, o których mowa w zdaniu poprzedzającym C.E.T. Centaurea obligatoryjnie przeprowadza uprzednią ocenę skutków przetwarzania, o których mowa w art. 35 RODO.

3.4. Dane osobowe domyślnie Przetwarzane są na obszarze obejmującym pomieszczenia znajdujące się w siedzibie C.E.T. Centaurea. Dodatkowy obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne i inne Urządzenia mobilne oraz Nośniki danych znajdujące się poza obszarem wskazanym w zdaniu poprzedzającym.

4. PODSTAWY OCHRONY DANYCH OSOBOWYCH W C.E.T.CENTAUREA

4.1. C.E.T. Centaurea zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.

4.2. Osoby upoważnione oraz wszystkie inne osoby, którym udostępnia się Dane Osobowe Przetwarzane w C.E.T. Centaurea zobowiązane są do Przetwarzania Danych osobowych zgodnie z wymogami prawa oraz zgodnie z postanowieniami Polityki, jak również innych wewnętrznych aktów prawnych C.E.T. Centaurea lub procedur wewnętrznych związanych z Przetwarzaniem Danych Osobowych.

4.3. Przy zatrudnianiu Pracowników oraz w toku zatrudnienia C.E.T. Centaurea zapewnia, że:

a/ Pracownicy przed przystąpieniem do wykonywania obowiązków służbowych otrzymują należytą wiedzę w zakresie zasad Przetwarzania i ochrony Danych Osobowych w C.E.T. Centaurea

b/ każdy z Pracowników zostaje upoważniony na piśmie do Przetwarzania Danych Osobowych w niezbędnym zakresie, zgodnie z wzorem stanowiącym Załączniki nr 2 do Polityki

c/ każdy z Pracowników zostaje zobowiązany do zachowania poufności i integralności Danych Osobowych, zgodnie z wzorem stanowiącym Załącznik nr 3 do Polityki, przy czym Pracownicy zobowiązani są w szczególności, ale nie wyłącznie do:

- ścisłego przestrzegania zakresu upoważnienia

- przestrzegania wymogów prawa oraz postanowień Polityki w zakresie przetwarzania

- zachowania w tajemnicy Danych Osobowych

- zachowania poufności i integralności w zakresie Danych Osobowych

- niezwłocznego zgłaszania do C.E.T. Centaurea wszelkich incydentów związanych z naruszeniem bezpieczeństwa Danych Osobowych.

4.4. C.E.T. Centaurea zapewnia, aby Dane Osobowe były:

a/ przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą

b/ zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami

c/ adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane

d/ prawidłowe i w razie potrzeby uaktualniane; C.E.T. Centaurea zapewnia podejmowanie działań, mających na celu usuwanie lub sprostowanie Danych osobowych, które są nieprawidłowe w świetle celów ich przetwarzania

e/ przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane

f/ przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo Danych Osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

4.5. Przy zapewnieniu Przetwarzania Danych osobowych zgodnie z zasadami wskazanymi w ust. powyżej C.E.T. Centaurea opiera Przetwarzanie na następujących podstawach:

a/ Legalność – C.E.T. Centaurea dba o ochronę prywatności i przetwarza Dane osobowe zgodnie z wymogami prawa

b/ Bezpieczeństwo − C.E.T. Centaurea zapewnia odpowiedni poziom bezpieczeństwa Danych osobowych podejmując stale działania w tym zakresie

c/ Prawa Jednostki − C.E.T. Centaurea umożliwia osobom, których Dane osobowe są przetwarzane, wykonywanie swoich praw i prawa te realizuje

d/ Rozliczalność – C.E.T. Centaurea zapewnia należyte udokumentowanie sposobu spełniania obowiązków w zakresie ochrony Danych osobowych

5. SYSTEM OCHRONY DANYCH OSOBOWYCH

5.1. C.E.T. Centaurea zapewnia zgodność Przetwarzania Danych osobowych z wymogami prawa również poprzez zaprojektowanie, wprowadzenie i utrzymywanie Systemu. Na System składają się środki organizacyjne oraz środki techniczne ochrony, adekwatne do poziomu ryzyka zidentyfikowanego dla poszczególnych Zbiorów danych oraz kategorii danych. Na System składają się w szczególności następujące środki:

a/ ograniczenie dostępu do pomieszczeń, w których przetwarzane są Dane osobowe jedynie do osób upoważnionych oraz zapewnienie, że inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do Przetwarzania Danych osobowych wyłącznie w towarzystwie osoby upoważnionej

b/ zamykanie pomieszczeń tworzących obszar, o którym mowa w ust.3.4 Polityki na czas nieobecności Pracowników, w sposób uniemożliwiający dostęp do nich osobom trzecim

c/ zapewnienie zabezpieczenia obszaru, o którym mowa w ust.3.4 Polityki przed czynnikami losowymi, takimi jak pożar lub powódź

d/ wykorzystywanie zamykanych szafek, szuflad, sejfów lub innych środków technicznych uniemożliwiających osobom niepowołanym dostęp do przechowywanych w nich Danych osobowych

e/ wdrożenie Polityki czystego biurka, która stanowi Załącznik nr 4 do Polityki

f/ wdrożenie zasad zarządzania systemem informatycznym służącym do przetwarzania Danych osobowych

g/ wdrożenie zasad monitorowania systemu zainstalowanego na komputerach i urządzeniach przenośnych

h/ wdrożenie zasad dotyczących tworzenia kopii zapasowych

i/ wdrożenie zasad gromadzenia, archiwizowania i przechowywania dokumentacji zawierającej Dane osobowe

j/ wdrożenie zasad przekazywania Danych osobowych w obrębie C.E.T. Centaurea

k/ zapewnienie skutecznego usuwania lub niszczenia dokumentów zawierających Dane osobowe, w sposób uniemożliwiający ich późniejsze odtworzenie

l/ zapewnienie bezpieczeństwa sprzętowego i informatycznego, obejmującego:

- ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz

- zapewnienie aktualności stosowanego oprogramowania

- zabezpieczenie sprzętu komputerowego wykorzystywanego w Przedsiębiorstwie przed złośliwym oprogramowaniem

- zapewnienie stałego i częstotliwego sporządzania kopii zapasowych danych przechowywanych na komputerach, serwerze oraz w sieci C.E.T. Centaurea

- ograniczenie dostępu do sprzętu komputerowego, serwera oraz sieci lokalnej poprzez stosowanie reguł Uwierzytelniania

ł/ przeprowadzanie analizy ryzyka dla czynności przetwarzania danych lub ich kategorii

m/ realizację standardów weryfikacji i doboru Podmiotów przetwarzających, jak również warunków powierzenia Przetwarzania danych na rzecz poszczególnych Podmiotów przetwarzających

n/ monitorowanie zmian w zakresie procesów Przetwarzania Danych osobowych w C.E.T. Centaurea oraz na bieżąco zarządzanie zmianami mającymi wpływ na ochronę Danych osobowych w C.E.T. Centaurea

6. REJESTR

6.1. Rejestr obejmuje kategorie czynności przetwarzania Danych osobowych w C.E.T. Centaurea. Za pośrednictwem Rejestru C.E.T. Centaurea dokumentuje czynności przetwarzania Danych Osobowych oraz inwentaryzuje i monitoruje sposób, w jaki wykorzystuje Dane osobowe. Rejestr stanowi Załącznik nr 5 do Polityki.

6.2. Za pośrednictwem Rejestru, w szczególności poprzez wskazanie w Rejestrze ogólnych środków ochrony Danych osobowych objętych wyodrębnioną czynnością przetwarzania, C.E.T. Centaurea dąży również do wykazania zgodności Przetwarzania Danych osobowych z wymogami prawa.

6.3. W Rejestrze, odrębnie dla każdej zidentyfikowanej kategorii czynności przetwarzania Danych osobowych, odnotowuje się co najmniej:

a/ nazwę czynności

b/ cel przetwarzania

c/ opis kategorii osób, których Dane osobowe przetwarzane są w ramach danej czynności

d/ opis kategorii Danych osobowych przetwarzanych w ramach danej czynności

e/ podstawę prawną przetwarzania wraz z wyszczególnieniem kategorii uzasadnionego interesu C.E.T. Centaurea, jeśli podstawą przetwarzania jest uzasadniony interes

f/ opis kategorii Odbiorców danych, w tym Podmiotów przetwarzających

g/ informację o ewentualnym przekazaniu Danych osobowych poza terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego

h/ ogólny opis technicznych i organizacyjnych środków ochrony Danych osobowych, znajdujących zastosowanie do danej czynności.

6.4. W przypadku uaktualnienia lub poszerzenia kategorii czynności przetwarzania Danych Osobowych, C.E.T. Centaurea dokonuje niezwłocznego uaktualnienia Rejestru celem zapewnienia zgodności Rejestru ze stanem faktycznym oraz zakresem operacji przetwarzania Danych osobowych w C.E.T. Centaurea

6.5. Postanowienia ust. powyżej nie wyłączają możliwości ujęcia w Rejestrze w miarę potrzeby informacji dodatkowych, zwiększających szczegółowość lub czytelność Rejestru lub ułatwiających zarządzanie zgodnością ochrony Danych osobowych z wymogami prawa oraz realizację zasady rozliczalności

6.6. C.E.T. Centaurea dokumentuje w Rejestrze podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania poprzez wskazanie ogólnej podstawy prawnej przetwarzania, takiej jak: zgoda, umowa, obowiązek prawny nałożony na C.E.T. Centaurea, uzasadniony cel C.E.T. Centaurea

7. REALIZACJA OBOWIĄZKÓW WOBEC OSÓB, KTÓRYCH DANE OSOBOWE DOTYCZĄ

7.1. C.E.T. Centaurea wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość (email, telefon, sms, i inne) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności, takich jak zgłoszenie sprzeciwu lub ograniczenie przetwarzania.

7.2. C.E.T. Centaurea dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których Dane osobowe przetwarza.

7.3. C.E.T. Centaurea publikuje na stronie internetowej oraz pozostawia do wglądu w siedzibie Przedsiębiorstwa:

a/ Politykę

b/ Informację o prawach osób, których dane dotyczą

c/ Informację o zakresie przetwarzanych danych osobowych w poszczególnych celach

d/ Metodach kontaktu z C.E.T. Centaurea w zakresie Danych osobowych

7.4. W celu realizacji praw osoby, której Dane osobowe dotyczą C.E.T. Centaurea zapewnia procedury i mechanizmy pozwalające zidentyfikować dane konkretnych osób przetwarzane przez C.E.T. Centaurea, zintegrować te dane, wprowadzać do nich zmiany i usuwać w sposób zintegrowany.

7.5. C.E.T. Centaurea dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób, informując osobę, której dane dotyczą o:

a/ przetwarzaniu jej Danych osobowych, przy pozyskiwaniu danych od tej osoby

b/ przetwarzaniu jej Danych osobowych, przy pozyskiwaniu danych o tej osobie nie bezpośrednio od niej

c/ planowanej zmianie celu przetwarzania danych

d/ uchyleniu ograniczenia przetwarzania Danych osobowych przed uchyleniem ograniczenia przetwarzania

e/ sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe

f/ uprawnieniu do złożenia sprzeciwu względem przetwarzania Danych osobowych najpóźniej przy pierwszym kontakcie z tą osobą

7.6. C.E.T. Centaurea bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony Danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.

7.7. Niezależnie od postanowień ust. powyżej, C.E.T. Centaurea określa sposób informowania osób o przetwarzaniu danych niezidentyfikowanych, tam gdzie to jest możliwe.

7.8. Na żądanie osoby dotyczące dostępu do jej danych, C.E.T. Centaurea informuje osobę, czy przetwarza jej Dane osobowe oraz informuje osobę o szczegółach przetwarzania, zgodnie

z art. 15 RODO, a także udziela osobie dostępu do danych jej dotyczących. Dostęp do danych może być zrealizowany przez wydanie kopii danych.

7.9. C.E.T. Centaurea wydaje osobie, której Dane osobowe dotyczą kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych.

7.10. C.E.T. Centaurea dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której Dane osobowe dotyczą. C.E.T. Centaurea ma prawo odmówić sprostowania danych,

chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych C.E.T. Centaurea informuje osobę o odbiorcach danych, na żądanie tej osoby.

7.11. C.E.T. Centaurea uzupełnia i aktualizuje dane na żądanie osoby, której Dane osobowe dotyczą. C.E.T. Centaurea ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych. C.E.T. Centaurea może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez C.E.T. Centaurea procedur lub prawa albo zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.

7.12. Z uwzględnieniem ust. poniżej, na żądanie osoby, C.E.T. Centaurea usuwa dane, gdy:

a/ dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach

b/ zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania

c/ osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych

d/ dane były przetwarzane niezgodnie z prawem

e/ konieczność usunięcia wynika z obowiązku prawnego

f/ żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług oferowanych bezpośrednio dziecku.

7.13. C.E.T. Centaurea przy usuwaniu Danych osobowych uwzględnia, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17.ust. 3 RODO.

7.14. Jeżeli dane podlegające usunięciu zostały upublicznione przez C.E.T. Centaurea, wówczas C.E.T. Centaurea podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich. W przypadku usunięcia danych C.E.T. Centaurea informuje osobę o odbiorcach danych, na żądanie tej osoby.

7.15. C.E.T. Centaurea dokonuje ograniczenia Przetwarzania danych na żądanie osoby, gdy:

a/ osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość

b/ przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu Danych osobowych, żądając w zamian ograniczenia ich wykorzystywania

c/ C.E.T. Centaurea nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń

d/ osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie C.E.T. Centaurea zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu

7.16. W trakcie ograniczenia przetwarzania C.E.T. Centaurea przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. C.E.T. Centaurea informuje osobę przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych C.E.T. Centaurea informuje osobę o odbiorcach danych, na żądanie tej osoby.

7.17. Na   żądanie   osoby Przedsiębiorstwo   wydaje   w   ustrukturyzowanym,   powszechnie używanym   formacie   nadającym   się   do   odczytu   maszynowego   lub   przekazuje   innemu podmiotowi,   jeśli   jest   to   możliwe,   dane   dotyczące   tej   osoby,   które   dostarczyła   ona C.E.T. Centaurea, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych Przedsiębiorstwu.

7.18. Jeżeli   osoba   zgłosi   umotywowany   jej   szczególną   sytuacją   sprzeciw   względem przetwarzania jej danych, o którym mowa w art. 21 RODO, a dane przetwarzane są przez C.E.T. Centaurea   w   oparciu   o   uzasadniony   interes   Przedsiębiorstwu   lub   o   powierzone C.E.T. Centaurea   zadanie   w   interesie   publicznym,   Przedsiębiorstwo   zobowiązuje   się uwzględnić   sprzeciw,   o   ile   nie   zachodzą   po   stronie   Przedsiębiorstwa   ważne   prawnie uzasadnione   podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

7.19. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez C.E.T. Centaurea na potrzeby marketingu bezpośredniego, C.E.T. Centaurea uwzględni sprzeciw i zaprzestanie takiego przetwarzania.

8. MINIMALIZACJA DANYCH

8.1. C.E.T. Centaurea wdraża procedury służące realizacji zasady minimalizacji przetwarzanych Danych osobowych pod względem:

a/ adekwatności Danych osobowych do celów Przetwarzania, obejmujących ograniczenie ilości przetwarzanych Danych osobowych oraz zakresu przetwarzania do celu Przetwarzania

b/ ograniczenia dostępu do Danych osobowych wyłącznie do Osób upoważnionych, dla których wykorzystanie Danych osobowych w określonym zakresie jest niezbędne dla prawidłowej realizacji obowiązków

c/ ograniczenia czasu przechowywania Danych osobowych do okresu, dla którego przechowywanie Danych osobowych jest niezbędne ze względu na realizację celu Przetwarzania lub obowiązków nałożonych na C.E.T. Centaurea.

8.2. C.E.T. Centaurea dokonuje okresowego przeglądu ilości przetwarzanych danych, ich rodzaju i zakresu ich przetwarzania nie rzadziej niż raz na rok.

8.3. C.E.T. Centaurea stosuje ograniczenia dostępu do Danych osobowych poprzez:

a/ zobowiązanie Pracowników do zachowania poufności, w tym w zakresie Danych osobowych

b/ weryfikację kręgu wewnętrznych odbiorców Danych osobowych poprzez nadawanie poszczególnym Pracownikom szczegółowych upoważnień co do Przetwarzania Danych osobowych jedynie w zakresie, w jakim jest to niezbędne do wykonania obowiązków służbowych związanych z celami ujawnionymi osobie, której Dane dotyczą

c/ wdrożenie środków technicznych ochrony Danych osobowych poprzez ograniczenie dostępu do systemów, oprogramowania oraz zasobów sieciowych, w tym serwerów, skrzynek pocztowych i Danych osobowych przetwarzanych na komputerach, telefonach, dokumentach papierowych oraz innych Nośnikach danych, wykorzystywanych w procesie Przetwarzania Danych Osobowych

d/ wdrożenie fizycznych środków technicznych ochrony Danych osobowych, wskazanych w ust. 5.1(d) Polityki.

8.4. C.E.T. Centaurea dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób oraz zmianach podmiotów przetwarzających. C.E.T. Centaurea dokonuje okresowego przeglądu ustanowionych Użytkowników systemów, skrzynek pocztowych i oprogramowania oraz aktualizuje ich nie rzadziej niż raz na rok.

8.5. Szczegółowe zasady kontroli dostępu fizycznego i logicznego zawarte są w procedurach bezpieczeństwa fizycznego i bezpieczeństwa informacji C.E.T. Centaurea.

8.6. C.E.T. Centaurea przetwarza Dane osobowe z uwzględnieniem kryteriów wskazanych w Rejestrze. C.E.T. Centaurea wdraża mechanizmy kontroli cyklu życia Danych osobowych w C.E.T. Centaurea, w tym weryfikacji dalszej przydatności danych względem terminów i punktów kontrolnych wskazanych w Rejestrze.

8.7. Dane, których zakres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów, oprogramowania, komputerów i innych Nośników danych C.E.T. Centaurea, jak też z akt podręcznych i głównych. Dane takie mogą być archiwizowane oraz znajdować się na kopiach zapasowych systemów i informacji przetwarzanych przez C.E.T. Centaurea. Procedury archiwizacji i korzystania z archiwów, tworzenia i wykorzystania kopii zapasowych uwzględniają wymagania kontroli nad cyklem życia danych, a w tym wymogi usuwania danych.

9. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

9.1. C.E.T. Centaurea zobowiązuje wszystkie osoby, które w obrębie wykonywania obowiązków służbowych, uzyskają w jakimkolwiek zakresie dostęp do Danych osobowych przetwarzanych przez Przedsiębiorstwo do zapoznania się przed przystąpieniem do pracy z obowiązującymi zasadami ochrony Danych osobowych określonymi w Polityce.

9.2. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia C.E.T. Centaurea wdraża środki techniczne i organizacyjne zapewniające należyty stopień ochrony Danych osobowych, odpowiadający ryzyku naruszenia praw i wolności osób fizycznych wskutek przetwarzania danych osobowych przez C.E.T. Centaurea.

9.3. C.E.T. Centaurea przeprowadza i dokumentuje analizy adekwatności środków bezpieczeństwa Danych osobowych. W tym celu C.E.T. Centaurea:

a/ kategoryzuje dane oraz czynności przetwarzania pod kątem ryzyka, które przedstawiają

b/ przeprowadza analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii. C.E.T. Centaurea analizuje możliwe sytuacje i scenariusze naruszenia ochrony Danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia

9.4. C.E.T. Centaurea wdraża środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

9.5. Ustanowiony w C.E.T. Centaurea Administrator Systemów Informatycznych podejmuje działania w celu zapewnienia zgodnego z prawem przetwarzania Danych osobowych w systemach informatycznych użytkowanych przez C.E.T. Centaurea oraz zachowania najwyższego stopnia bezpieczeństwa Danych osobowych w systemach informatycznych. Do obowiązków Administratora Systemów Informatycznych należy:

a/ stała kontrola i monitorowanie uprawnień Użytkowników

b/ zapewnienie prawidłowej eksploatacji systemu informatycznego, zgodnej z ustalonymi celami przetwarzania Danych osobowych i zasadami zgodnego z prawem przetwarzania

c/ sprawowanie nadzoru w zakresie wykonywania kopii zapasowych oraz kontrolowanie systemu kopii w obrębie ich dalszej przydatności do odtwarzania Danych osobowych w przypadku wystąpienia awarii systemów, oprogramowania i zasobów sieciowych

d/ informowania Właściciela/Dyrektora C.E.T. Centaurea o wszystkich wykrytych nieprawidłowościach i incydentach naruszających lub zagrażających bezpieczeństwu Danych osobowych i systemu informatycznego

e/ podejmowanie działań mających na celu zapobieganie występowaniu awarii systemu, nieprawidłowości i incydentów naruszających lub zagrażających bezpieczeństwu Danych osobowych i systemu informatycznego

f/ wykonywanie przeglądów, konserwacji oraz modyfikacji w zakresie wdrażania aktualizacji do systemu informatycznego i oprogramowania służących do przetwarzania Danych osobowych

g/ sprawowanie stałej kontroli nad poziomem bezpieczeństwa systemu informatycznego w zakresie przetwarzania Danych osobowych

h/ uwierzytelnianie Użytkowników, w szczególności poprzez nadawanie, zmianę zakresu, pozbawianie ich uprawnień w dostępie do systemu informatycznego, zasobów sieciowych, serwerów, obsługiwanych programów, zgodnie z zasadami zarządzania, o których mowa w § 10 Polityki

i/ wykonywanie innych czynności i zadań związanych z Przetwarzaniem Danych osobowych za pomocą serwerów, zasobów sieciowych, systemu informatycznego i oprogramowania oraz zapewnieniem bezpieczeństwa Danych osobowych związanych z Przetwarzaniem.

9.6. Użytkownicy zobowiązani są do przestrzegania zasad ochrony Danych osobowych określonych w niniejszej Polityce oraz do prawidłowego wykonywania obowiązków w zakresie:

a/ przetwarzania Danych osobowych zgodnie z ustalonymi i ujawnionymi osobie, której Dane osobowe dotyczą celami

b/ uczestnictwa w szkoleniach z zakresu ochrony Danych osobowych organizowanych przez C.E.T. Centaurea

c/ stosowania się do zaleceń, poleceń służbowych oraz komunikatów wydawanych przez przełożonych w zakresie sprawnego funkcjonowania Systemu

d/ przestrzeganie zasad dotyczących zabezpieczenia Danych osobowych przewidzianych niniejszą Polityką wraz z Załącznikami, jak i nie wymienionych w Polityce, ale wdrożonych w C.E.T. Centaurea

e/ dbałości o bezpieczną eksploatację systemu informatycznego i sieciowego użytkowanego przez Użytkownika, w tym: przestrzeganie zasad związanych ze zmianą hasła na komputerach i urządzeniach mobilnych, wyłączanie komputera każdorazowo po zakończeniu pracy i opuszczeniu stanowiska pracy, brak przesyłania Danych osobowych zgromadzonych na komputerach, na serwerach, skrzynkach mailowych i innych zasobach sieciowych do osób nieupoważnionych, wykazywanie ostrożności przy odbiorze poczty elektronicznej pochodzącej od nieznanych adresatów, których identyfikacja budzi wątpliwości

f/ powstrzymania się od wynoszenia dokumentów z Danymi osobowymi poza siedzibę C.E.T. Centaurea w jakiejkolwiek formie, z wyjątkiem osób do tego upoważnionych

g/ przestrzegania zasad związanych z ochroną Danych osobowych przetwarzanych w związku z wykonywaniem obowiązków służbowych zawartych w wizytówkach i notatnikach oraz kalendarzach prowadzonych w formie pisemnej lub elektronicznej

h/ braku samodzielnego dorabiania kluczy zapasowych umożliwiających dostęp do pomieszczeń na terenie C.E.T. Centaurea

i/ braku dokonywania jakichkolwiek przeróbek w treści istniejących pieczęci zawierających Dane osobowe, a w szczególności dodawania lub usuwania znaków, wyrabiania we własnym zakresie dodatkowych lub nowych pieczęci, dokonywania okresowej lub stałej zmiany istniejących pieczęci między sobą

j/ ustawienia monitora komputerowego w sposób uniemożliwiający podgląd wyświetlanych Danych osobowych przez osoby nieupoważnione przebywające w pomieszczeniu biurowym.

10. ZASADY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

10.1. Administrator Systemu Informatycznego nadaje, rejestruje i odbiera uprawnienia do systemów informatycznych, oprogramowania, zasobów sieciowych i serwerów. W tym celu Administrator Systemu Informatycznego:

a/ ustala jaki zakres uprawnień w dostępie do systemów, oprogramowania, zasobów sieciowych i serwerów powinien mieć konkretny Użytkownik według Załącznika nr 8

b/ stale monitoruje zmiany w obrębie konieczności ograniczenia lub poszerzenia zakresu uprawnień konkretnych Użytkowników do systemów, oprogramowania, zasobów sieciowych i serwerów

c/ odbiera uprawnienia w dostępie do systemów, oprogramowania, zasobów sieciowych i serwerów konkretnym Użytkownikom

10.2. Login Użytkownika:

a/ do systemu i urządzeń mobilnych:

- skonstruowany musi być w sposób umożliwiający jego identyfikację i jednocześnie odróżniać się wystarczająco od Loginów pozostałych Użytkowników

- nadawany jest dla każdego Użytkownika osobno, chyba że istnieje potrzeba utworzenia jednego loginu dla kilku Użytkowników systemu

- przydzielony jednemu Użytkownikowi nie może być ponownie nadany innemu Użytkownikowi

- wymaga każdorazowego wpisania po wylogowaniu się automatycznym lub ręcznym, zakończeniu pracy komputera, czasowego uśpienia komputera po upływie dłuższym niż 15 minut bezczynności

- nie może być zapamiętany na komputerze i innym urządzeniu mobilnym w sposób automatyczny

b/ do serwera:

- skonstruowany musi być w sposób umożliwiający jego identyfikację i jednocześnie odróżniać się wystarczająco od Loginów pozostałych Użytkowników

- nadawany jest dla każdego Użytkownika osobno

- przydzielony jednemu Użytkownikowi nie może być ponownie nadany innemu Użytkownikowi

- wymaga każdorazowego wpisania po wylogowaniu się automatycznym lub ręcznym, zakończeniu pracy komputera

- nie może być zapamiętany na komputerze i innym urządzeniu mobilnym w sposób automatyczny

- nadawany jest zgodnie z modułowym dostępem do Danych osobowych według Załącznika nr 8 do Polityki

c/ do programów:

- skonstruowany musi być w sposób umożliwiający jego identyfikację i jednocześnie odróżniać się wystarczająco od Loginów pozostałych Użytkowników z uwzględnieniem zasad określonych specyfiką i właściwościami danego programu

- nadawany jest dla każdego Użytkownika osobno

- przydzielony jednemu Użytkownikowi nie może być ponownie nadany innemu Użytkownikowi

- powinien być wpisywany każdorazowo po wylogowaniu się automatycznym lub ręcznym, zakończeniu pracy programu, z uwzględnieniem zasad określonych specyfiką i właściwościami danego programu

- nie może być zapamiętany na komputerze i innym urządzeniu mobilnym w sposób automatyczny

- nadawany jest zgodnie z modułowym dostępem do Danych osobowych według Załącznika nr 8 do Polityki

10.3. Hasło:

a/ do systemu, urządzeń mobilnych i serwera:

- powinno składać się z co najmniej 8 znaków oraz zawierać co najmniej jedną dużą literę i jedną cyfrę lub znak specjalny

- nie powinno być wyrażeniem lub słowem powszechnie znanym lub możliwym do zidentyfikowania w łatwy sposób, tj. imię i nazwisko Użytkownika, data urodzenia Użytkownika, powszechnie znany pseudonim Użytkownika itp.

- powinno być zmieniane nie rzadziej niż po upływie 30 dni od dnia jego ustanowienia przez wszystkich Użytkowników

- nie może być zapisane w miejscu łatwo dostępnym dla innych osób

- nie może być zapamiętane na komputerze w sposób automatyczny

- wymaga każdorazowego wpisania po wylogowaniu się automatycznym lub ręcznym, zakończeniu pracy komputera, czasowego uśpienia komputera po upływie dłuższym niż 15 minut bezczynności, chyba że możliwości techniczne nie pozwalają na ustanowienie wylogowania się po upływie okresu bezczynności

- byłych Pracowników jest usuwane wraz z usuniętym loginem lub zmieniane w sposób uniemożliwiający byłemu Pracownikowi uzyskanie dostępu do systemu, urządzeń mobilnych i serwera

b/ do skrzynki mailowej programów:

- powinno składać się z co najmniej 8 znaków oraz zawierać co najmniej jedną dużą literę i jedną cyfrę lub znak specjalny z uwzględnieniem zasad określonych specyfiką i właściwościami danego programu, chyba że program pocztowy wymaga ustawienia hasła o innej konstrukcji

- nie powinno być wyrażeniem lub słowem powszechnie znanym lub możliwym do zidentyfikowania w łatwy sposób, tj. imię i nazwisko Użytkownika, data urodzenia Użytkownika, powszechnie znany pseudonim Użytkownika itp.

- powinno być zmieniane nie rzadziej niż po upływie 30 dni od dnia jego ustanowienia przez wszystkich Użytkowników, z uwzględnieniem zasad określonych specyfiką i właściwościami danego programu

- nie może być zapisane w miejscu łatwo dostępnym dla innych osób

- nie może być zapamiętane na komputerze w sposób automatyczny

- wymaga każdorazowego wpisania po wylogowaniu się automatycznym lub ręcznym

- byłych Pracowników jest usuwane wraz z usuniętą skrzynką mailową lub zmieniane w sposób uniemożliwiający byłemu Pracownikowi uzyskanie dostępu do skrzynki mailowej i programów

10.4. Dostęp do oprogramowania zainstalowanego na komputerach możliwy jest jedynie z komputerów powierzonych Pracownikom w siedzibie C.E.T. Centaurea. W przypadku korzystania ze skrzynki mailowej na urządzeniu prywatnym, Użytkownik zobowiązany jest do zastosowania zasad ochrony przewidzianych w Polityce do zabezpieczenia urządzenia prywatnego oraz ochrony bezpieczeństwa Danych osobowych

10.5. Nośniki danych przechowywane i transportowane muszą być w sposób uniemożliwiający naruszenie Danych osobowych:

a/ nośniki danych w siedzibie C.E.T. Centaurea, przechowywane są w pomieszczeniu, w którym znajduje się stanowisko pracy Pracownika, w zamykanych na klucz szafkach lub szufladach albo w sejfach, chyba że C.E.T. Centaurea zapewnia zabezpieczenie Nośników danych w inny sposób przy użyciu wszelkich dostępnych środków technicznych

b/ nośniki danych wynoszone poza siedzibę C.E.T. Centaurea są zabezpieczone w sposób uniemożliwiający dostęp do nich osób nieupoważnionych poprzez ustanowienie hasła dostępu do Danych osobowych lub przechowywanie Nośników danych w miejscach, do których nie mają dostępu osoby nieupoważnione

10.6. Pracownicy korzystający przy wypełnianiu obowiązków służbowych z Urządzeń mobilnych zobowiązani są do ochrony przed ich uszkodzeniem, zniszczeniem, kradzieżą i uzyskaniem dostępu przez osoby nieupoważnione, w tym domowników. Urządzenia mobilne, za pomocą których Przetwarzane są Dane osobowe zabezpieczone są poprzez ustanowienie hasła do systemu zgodnie z pkt 10.3 (a), zainstalowanie oprogramowania lub systemu szyfrującego Dane osobowe, jak również zastosowanie innych funkcji i zabezpieczeń programowych lub systemowych zainstalowanych na Urządzeniu przenośnym, m.in. odblokowanie systemu za pomocą weryfikacji linii papilarnych, face ID itp.

11. ZASADY MONITOROWANIA SYSTEMU ZAINSTALOWANEGO NA KOMPUTERACH I URZĄDZENIACH MOBILNYCH

11.1. Administratorem programów wskazanych w 10.4 Polityki jest Administrator Systemu Informatycznego.

11.2. Komputery, przy pomocy których Pracownicy wykonują czynności pracownicze podłączone są wyłącznie do wewnętrznej sieci komputerowej oddzielonej fizycznie od sieci publicznej przy pomocy bramy internetowej zabezpieczonej oprogramowaniem firewall

11.3. Zasoby informatyczne C.E.T. Centaurea zabezpieczone są poprzez zainstalowane na wszystkich komputerach oprogramowanie antywirusowe, wspomagające ochronę przed wirusami, oprogramowaniem szpiegowskim, trojanami i rokitnikami. Serwer plików zabezpieczony jest programem antywirusowym

11.4. Baza sygnatur wirusów aktualizowana jest codziennie pod warunkiem podłączenia komputerów i Urządzeń mobilnych do sieci Internet. Skany komputerów i Urządzeń mobilnych w celu wykrycia wirusów i oprogramowania złośliwego wykonywane są nie rzadziej niż raz w miesiącu

11.5. Dostęp logiczny do sieci lokalnej zabezpieczony jest adresem IP oraz MAC - adresem karty sieciowej. Dostęp do sieci rozległej zabezpieczony jest Firewallem wraz z oprogramowaniem antywirusowym zainstalowanym na stacji roboczej

11.6. Kopie awaryjne istotnych danych wykonywane są w cyklu dziennym na serwerze sieciowym podmiotu świadczącego usługi hostingowe na rzecz C.E.T. Centaurea

11.7. W przypadku wykrycia przez zainstalowane na komputerach i Urządzeniach mobilnych oprogramowanie antywirusowe próby ingerencji oprogramowania złośliwego na urządzeniu, którego program antywirusowy nie jest w stanie usunąć, zniszczyć lub zneutralizować, Użytkownik zobowiązany jest do zakończenia pracy w systemie, wylogowania się z systemu jeśli jest to możliwe i niezwłocznego zgłoszenia zdarzenia Administratorowi Systemu Informatycznego

11.8. Zakazane jest samowolne podłączanie do lokalnej sieci C.E.T. Centaurea jakichkolwiek urządzeń aktywnych typu: Router, Switch, Access Point

11.9. Połączenie zdalne z zasobami C.E.T. Centaurea możliwe jest jedynie za pomocą VPN. Administrator Systemu Informatycznego udostępnia Loginy i Hasła przy użyciu dedykowanego imiennego certyfikatu, za pomocą których możliwe jest nawiązanie połączenia zdalnego z systemem C.E.T. Centaurea oraz sprawuje stałą kontrolę nad połączeniami zdalnymi do systemu i programów.

12. ZASADY DOTYCZĄCE TWORZENIA KOPII ZAPASOWYCH

12.1. W celu zabezpieczenia Danych osobowych przetwarzanych przez C.E.T. Centaurea przed ich utratą, wykonywane są kopie zapasowe oprogramowania. Dla bazy danych wykonywane są kopie zapasowe nie rzadziej niż raz w tygodniu i są wykonywane metodą pełną

12.2. Kopie zapasowe wykonywane i przechowywane są przez podmiot świadczący usługi hostingowe na rzecz C.E.T. Centaurea

12.3. Dostęp do kopii zapasowych posiada tylko Administrator Systemu Informacji

13. ZASADY ARCHIWIZOWANIA I PRZECHOWYWANIA GROMADZONEJ DOKUMENTACJI ZAWIERAJĄCEJ DANE OSOBOWE

13.1. W siedzibie C.E.T. Centaurea znajdują się pomieszczenia zaadoptowane na potrzeby archiwizowania dokumentów. C.E.T. Centaurea podejmuje działania zmierzające do ograniczenia dostępu osób postronnych do wskazanych pomieszczeń oraz stosuje elektroniczną kontrolę dostępu, uniemożliwiającą osobom postronnym dostęp do dokumentacji

13.2. Pomieszczenia zaadoptowane na potrzeby archiwizowania dokumentacji są zabezpieczone przez nieuprawnionym dostępem osób nieupoważnionych poprzez m.in.:

a/ zainstalowanie w drzwiach zamka oraz powierzaniu klucza tylko Pracownikom posiadającym upoważnienie do dostępu do właściwych pomieszczeń. Klucze do pomieszczeń przechowywane są w miejscach niedostępnych dla osób nieupoważnionych

b/ przechowywanie dokumentacji w szafach zamykanych na klucz oraz powierzenie klucza tylko Pracownikom upoważnionym do dostępu do dokumentacji. Klucze do szaf przechowywane są w miejscach niedostępnych dla osób nieupoważnionych

c/ zakaz udostępniania kluczy osobom nie będącym Pracownikami C.E.T. Centaurea

13.3. Archiwizacji podlegają dokumenty, które nie są używane w toku bieżącego funkcjonowania C.E.T. Centaurea. O przeniesieniu dokumentacji do pomieszczenia zaadoptowanego na potrzeby archiwum decyduje Właściciel/Dyrektor C.E.T. Centaurea

13.4. Dokumenty zawierające Dane osobowe w formie papierowej przechowywane są w teczkach, segregatorach lub koszulkach, lub w inny sposób przyjęty przez C.E.T. Centaurea i segregowane w sposób przyjęty przez C.E.T. Centaurea. W jednej teczce nie mogą znajdować się dokumenty zawierające Dane osobowe, do Przetwarzania których Pracownicy są upoważnieni oraz dokumenty zawierające Dane osobowe, do których Przetwarzania Pracownicy nie są upoważnieni. W przypadku możliwości segregacji dokumentów, o której mowa w zdaniu poprzednim, Właściciel/Dyrektor C.E.T. Centaurea podejmuje inne środki techniczno-organizacyjne zapobiegające umożliwienia dostępu do Danych Pracownikom nieupoważnionym

13.5. Dostęp do pomieszczeń w C.E.T. Centaurea ograniczany jest dla pracowników ze względu na zakres przyznanych uprawnień

13.6. Dokumenty zawierające Dane osobowe w pomieszczeniach, w których znajdują się stanowiska pracy Pracowników, przechowywane są po zakończeniu pracy przez Pracowników w szafach i szufladach zamykanych na klucz. Nośniki danych zawierające Dane osobowe przechowywane są w sposób określony w 10.5 Polityki

13.7. W przypadku obecności w pomieszczeniu, w którym znajdują się stanowiska pracy Pracowników, osoby nieupoważnionej do przetwarzania Danych osobowych określonej kategorii zgodnie z Załącznikiem nr 8 do Polityki, Pracownicy podejmują wszelkie niezbędne czynności uniemożliwiające dostęp osób nieupoważnionych do Danych osobowych

13.8. Zasady przewidziane w niniejszym paragrafie stosuje się także w przypadku przechowywania Danych osobowych poza siedzibą C.E.T. Centaurea, o której mowa w ust.3.4 Polityki

14. USUWANIE DANYCH OSOBOWYCH

14.1. C.E.T. Centaurea przechowuje Dane osobowe przez okres nie dłuższy, niż jest to niezbędne do celów Przetwarzania. Po upływie okresu wskazanego w Rejestrze, C.E.T. Centaurea usuwa Dane osobowe w sposób trwały

14.2. C.E.T. Centaurea usuwa Dane osobowe za pomocą własnych środków i mechanizmów lub powierza usuwanie Danych osobowych podmiotom współpracującym, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zapobiegających zagrożeniom naruszenia lub naruszeniom bezpieczeństwa Danych osobowych

14.3. Dane osobowe zawarte w dokumentach, które ze względu na potrzeby zachowania ciągłości współpracy z kontrahentami, klientami i innymi podmiotami, bieżącego prawidłowego funkcjonowania C.E.T. Centaurea lub z innych ważnych powodów nie mogą być usunięte po upływnie czasu określonego w Rejestrze, podlegają anonimizacji

14.4. Niezależnie od postanowień ust. 14.1 -powyżej, C.E.T. Centaurea usuwa Dane osobowe w przypadkach, o których mowa w ust. 7.13 Polityki

14.5. Podmiotem upoważnionym do usuwania Danych osobowych z serwerów jest Administrator Systemu Informatycznego

14.6. Przed przekazaniem do podmiotu zewnętrznego komputerów, Urządzeń mobilnych, Nośników danych zawierających Dane osobowe, przeznaczonych do zniszczenia lub naprawy, Administrator Systemu Informatycznego usuwa umieszczone na urządzeniu Dane osobowe. W przypadku braku możliwości usunięcia Danych osobowych, Administrator Systemu Informatycznego podejmuje niezbędne czynności zapobiegające dostępowi do Danych osób nieupoważnionych, np. szyfruje lub anonimizuje Dane

15. NARUSZENIE OCHRONY DANYCH OSOBOWYCH

15.1. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności, ale nie wyłącznie:

a/ naruszenie bezpieczeństwa systemów informatycznych, oprogramowania i zasobów sieciowych, w których przetwarzane są Dane osobowe

b/ udostępnienie Danych osobowych osobom nieupoważnionym

c/ przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich Przetwarzania

d/ nieuprawnione lub przypadkowe uszkodzenie, utratę, zniszczenie lub zmianę Danych osobowych

15.2. W przypadku stwierdzenia naruszenia ochrony Danych osobowych C.E.T. Centaurea dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych oraz szacuje skalę ryzyka

15.3. W przypadku naruszenia ochrony Danych Osobowych, C.E.T. Centaurea bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Wzór zawiadomienia, o którym mowa w zdaniu poprzedzającym, stanowi Załącznik nr 6 do Polityki

15.4. Jeżeli ryzyko naruszenia praw i wolności osoby, której Dane osobowe dotyczą jest wysokie, C.E.T. Centaurea zawiadamia o incydencie także osobę, której dane dotyczą, chyba że:

a/ C.E.T. Centaurea wdroży odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych

b/ C.E.T. Centaurea zastosuje następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą lub

c/ wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób

15.5. Niezależnie od obowiązków wskazanych w ust. 15.2 - powyżej, C.E.T. Centaurea dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Wzór rejestru naruszeń danych osobowych stanowi Załącznik nr 7 do Polityki

16. POWIERZENIE PRZETWARZANIA

16.1. C.E.T. Centaurea może powierzyć Przetwarzanie Danych osobowych Podmiotowi przetwarzającemu wyłącznie w drodze umowy zawartej w formie pisemnej lub innego instrumentu prawnego (np. Regulaminu lub ogólnych Zasad powierzania Danych osobowych) zgodnie z wymogami wskazanymi w art. 28 ust. 3 RODO

16.2. C.E.T. Centaurea korzysta wyłącznie z usług takich Podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których Dane osobowe dotyczą. W celu weryfikacji spełnienia obowiązku, o którym mowa w zdaniu poprzedzającym, C.E.T. Centaurea przed powierzeniem przetwarzania potencjalnemu Podmiotowi przetwarzającemu w miarę możliwości uzyskuje informacje o zasadach ochrony Danych osobowych stosowanych przez potencjalny Podmiot przetwarzający oraz o praktykach tego podmiotu dotyczących zabezpieczenia Danych osobowych

16.3. Szczegóły i zasady powierzenia Danych osobowych określa właściwa umowa lub instrument prawny

17. PRZEKAZYWANIE DANYCH OSOBOWYCH W OBRĘBIE PRZEDSIĘBIORSTWA

17.1. Dokumentacja zawierająca Dane osobowe przekazywana jest pomiędzy poszczególnymi jednostkami organizacyjnymi oraz Pracownikami z uwzględnieniem zasad ochrony Danych osobowych wskazanych w niniejszej Polityce

17.2. W przypadku braku upoważnienia Pracownika odbierającego dokument do przetwarzania Danych osobowych, przekazywany jest on w sposób uniemożliwiający naruszenie Danych osobowych przy zastosowaniu wystarczających środków technicznych i organizacyjnych:

a/ wiadomości e-mail przesyłane są do innego Pracownika nieupoważnionego do przetwarzania Danych po wcześniejszym usunięciu Danych osobowych ze stopek maila oraz jego treści lub zaszyfrowaniu Danych w sposób uniemożliwiający identyfikację osoby, której Dane dotyczą

b/ dokumenty papierowe i elektroniczne przekazywane do innego Pracownika nieupoważnionego do przetwarzania Danych osobowych podlegają anonimizacji lub szyfrowaniu w zakresie Danych

c/ dokumenty w formie papierowej przekazywane do osoby, której Dane osobowe dotyczą za pośrednictwem innego Pracownika nieupoważnionego do przetwarzania Danych, wkładane są do kopert lub nieprzezroczystych teczek opisanych w sposób uniemożliwiający identyfikację adresata

17.3. Dokumenty papierowe przekazywane do osoby, której Dane osobowe dotyczą za pośrednictwem innego Pracownika, przechowywane są i transportowane do czasu ich wydania adresatowi w sposób uniemożliwiający naruszenie Danych osobowych

18. PRZEKAZYWANIE DANYCH DO PAŃSTWA TRZECIEGO

18.1. C.E.T. Centaurea nie przekazuje Danych osobowych do państwa trzeciego położonego poza terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego, poza sytuacjami, w których następuje to na wniosek osoby, której Dane osobowe dotyczą

18.2. Aby uniknąć sytuacji nieautoryzowanego eksportu danych w szczególności w związku z wykorzystaniem publicznie dostępnych usług chmurowych, C.E.T. Centaurea okresowo weryfikuje zachowania użytkowników oraz w miarę możliwości udostępnia zgodne z prawem ochrony danych rozwiązania równoważne

19. POSTANOWIENIA KOŃCOWE

19.1. Polityka wchodzi w życie z dniem ogłoszenia.

19.2. W sprawach nieuregulowanych w Polityce odpowiednie zastosowanie znajdują postanowienia RODO oraz powszechnie obowiązujące przepisy prawa polskiego i europejskiego

19.3. Wszelkie zmiany lub uzupełnienia do Polityki wymagają dla swej skuteczności formy pisemnej pod rygorem nieważności. Zmiany lub uzupełnienia do Polityki wchodzą w życie nie wcześniej niż w terminie 7 dni od dnia ich ogłoszenia.

Łódź, 21 maja 2018r.

Aktualizacja – 2 stycznia 2019r.

 

 

ZADZWOŃ BĄDŹ ZAPYTAJ ON-LINE