Produkt dnia
Amano HD
Amano HD

28,00 zł

szt.
Natasha
Natasha

22,00 zł

Victoria
Victoria

18,50 zł

szt.
Joana brushed
Joana brushed

26,00 zł

szt.
Chiara Sport
Chiara Sport

25,00 zł

szt.
Zaloguj się
Nie pamiętasz hasła? Zarejestruj się
Producenci
Bezpieczeństwo

POLITYKA BEZPIECZEŃSTW

 

Administrator danych: Małgorzata Ślęzak, „INSPIRACJE” Małgorzata Ślęzak, ul. Reja 23, 47-303 Krapkowice NIP: 1990073612, REGON: 161474279

 

Wstęp

Stosownie do wymagań określonych w RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1) administrator danych osobowych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W tym celu administrator prowadzi dokumentację opisującą m.in. sposób przetwarzania danych oraz środki zapewniające należytą ochronę.

Rozdział 1

Postanowienia ogólne

Ilekroć w Polityce bezpieczeństwa jest mowa o: administratorze danych – rozumie się przez to Małgorzatę Ślęzak, prowadzącą działalność gospodarczą pod firmą "INSPIRACJE" Małgorzata Ślęzak, wpisaną w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającą adres miejsca głównego wykonywania działalności i adres do doręczeń: ul. Reja 23, 47-303 Krapkowice, NIP: 1990073612, REGON: 161474279, adres poczty elektronicznej: nikon@autograf.pl, nr telefonu: +48 510 336 580, administratorze systemu – rozumie się przez to Małgorzatę Ślęzak, prowadzącą działalność gospodarczą pod firmą "INSPIRACJE" Małgorzata Ślęzak, wpisaną w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającą adres miejsca głównego wykonywania działalności i adres do doręczeń: ul. Reja 23, 47-303 Krapkowice, NIP: 1990073612, REGON: 161474279, adres poczty elektronicznej: nikon@autograf.pl, nr telefonu: +48 510 336 580, analizie ryzyka – rozumie się przez to proces mający na celu oszacowanie wagi ryzyka rozumianej jako funkcja prawdopodobieństwa wystąpienia skutku i krytyczności jego następstw dla przedsiębiorstwa, danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, elektronicznym nośniku – rozumie się przez to elektroniczne urządzenie, na którym przechowuje się dane osobowe w celu jego ponownego odtworzenia w systemie informatycznym, odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania, obszarze przetwarzania danych – rozumie się przez to wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, organie nadzorczym – rozumie się przez to Prezesa Urzędu Ochrony Danych Osobowych, osobie możliwej do zidentyfikowania – rozumie się przez to osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizyczne, opisie przepływu danych – rozumie się przez to opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi, opisie struktury zbiorów – rozumie się przez to opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego, podmiocie przetwarzającym - rozumie się przez to osobę fizyczną lub prawną, organ publiczny, agencję lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu administratora, przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1), systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, szczególnych kategoriach danych osobowych - rozumie się przez to te dane, któr ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych i obejmują przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, dane dotyczące naturalnego życie seksualne osoby lub orientację seksualną. W zależności od obowiązującego prawa, specjalne kategorie danych osobowych mogą również zawierać informacje o środkach zabezpieczenia społecznego lub postępowaniach administracyjnych i karnych oraz o sankcjach. środkach technicznych i organizacyjnych – rozumie się przez to środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych, ustawie – rozumie się przez to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.2018.1000), usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, użytkowniku systemu – rozumie się przez to osobę, której został przydzielony przez administratora systemu indywidualny identyfikator w systemie informatycznym w powiązaniu z niezbędnymi uprawnieniami dostępowymi w tym systemie, wykazie zbiorów – rozumie się przez to wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie, zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie..

Rozdział 2

Administrator danych

Administrator danych w celu spełnienia wymagań RODO zobowiązuje się w szczególności do: opracowania i wdrożenia Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym przetwarzającym dane osobowe, stałego nadzoru nad treścią Polityki bezpieczeństwa oraz Instrukcją zarządzania systemem informatycznym, wydawania i anulowania upoważnienia do przetwarzania danych osobowych osobom, które mają te dane przetwarzać, prowadzenia wykazu osób upoważnionych do przetwarzania danych osobowych, prowadzenia wykazu zbiorów danych osobowych, prowadzenia opisu struktury zbiorów, prowadzenia opisu sposobu przepływu danych, prowadzenia rejestru czynności przetwarzania danych osobowych, prowadzenia rejestru naruszeń, wykazania przestrzegania zasad przetwarzania danych opisanych w RODO. Administrator danych jest zobowiązany do przetwarzania następujących zasad przetwarzania danych osobowych: zgodności z prawem: przetwarzanie danych powinno następować zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, ograniczenia celu: zbieranie danych powinno się odbywać w konkretnych, wyraźnych i prawnie uzasadnionych celach, dane nie powinny być przetwarzane dalej w sposób niezgodny z tymi celami (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami), minimalizacji danych: przetwarzane mogą być tylko dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, prawidłowości: przetwarzane mogą być tylko dane prawidłowe i w razie potrzeby uaktualniane (administrator jest zobowiązany do podjęcia należy wszelkich działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane), ograniczenia przechowywania: dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą, integralności i poufności: dane powinny być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Rozdział 3

Zbieranie danych osobowych

W przypadku zbierania danych od osób, których dane dotyczą dokonujący tej czynności zobowiązany jest do poinformowania osoby, której dane dotyczą o: swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela, gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych, celach przetwarzania danych osobowych, oraz podstawie prawnej przetwarzania, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, gdy ma to zastosowanie o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych, okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu, prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO – o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, prawie wniesienia skargi do organu nadzorczego, tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych, zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO oraz – przynajmniej w tych przypadkach – o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. 2. Jeżeli administrator danych będzie planował dalsze przetwarzanie danych osobowych w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem zobowiązuje się do poinformowania osoby, której dane dotyczą, o tym innym celu oraz do udzielenia jej wszelkich innych stosownych informacji, zgodnych z RODO. 3. Jeżeli danych osobowych administrator danych nie pozyskał od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, informacje wymienione w ust. 1 powyżej, jak również informuje o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych. Informacje te należy podać: w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych, jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą, jeżeli administrator danych planuje ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu. 4. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: cele przetwarzania, kategorie odnośnych danych osobowych, informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; informacje o prawie wniesienia skargi do organu nadzorczego; jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle; informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. 5. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem. 6. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną. 7. Prawo do uzyskania kopii, o której mowa w ust. 6 powyżej, nie może niekorzystnie wpływać na prawa i wolności innych osób.

Rozdział 4

Środki ochrony

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z  RODO. Środki te są poddawane przeglądom i na bieżąco uaktualniane. Uwzględniając kategorie przetwarzanych danych oraz potencjalne zagrożenia wprowadza się odpowiednie środki bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. Administrator danych przy określaniu sposobów przetwarzania oraz w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne, takie jak: Szyfrowanie danych (SSL na stronie www.inspiracjems.pl), Minimalizacja danych (aby domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania). W celu ochrony danych osobowych przeprowadzono analizę ryzyka celem zabezpieczenia przed naruszeniami praw lub wolności osób, których dane dotyczą. Działalność administratora i przetwarzanie danych ma miejsce w domu jednorodzinnym – siedzibie firmy oraz online. W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych: zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi), zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej niemetalowej szafie, pomieszczenia, w których przetwarzane są zbiory danych osobowych, zabezpieczone są przed skutkami pożaru za pomocą wolno stojącej gaśnicy, dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów, niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartych w nich informacji. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej: zastosowano kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną oraz kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych (logiczne zabezpieczenia przed nieuprawnionym dostępem), zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego, komputery służące do przetwarzania danych osobowych nie są połączone z lokalną siecią komputerową, zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania, dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła, zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych, zastosowano środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie, rootkity, użyto system Firewall do ochrony dostępu do sieci komputerowej, zastosowano zaawansowane zabezpieczenia systemu w postaci zapory systemu Windows. W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych: dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła, zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe, zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne (mając na uwadze niezatrudnianie pracowników): przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem, w miejscu przetwarzania danych osobowych utrwalonych w formie papierowej stosowana jest w miarę potrzeby zasada tzw. „czystego biurka”, co oznacza nie pozostawianie materiałów zawierających danych.

Rozdział 5

Zarządzanie ryzykiem bezpieczeństwa informacji

W celu skutecznej realizacji zadań związanych z bezpieczeństwem informacji przetwarzanej w systemach informatycznych przeprowadzana jest raz w roku oraz przy każdej istotnej zmianie środowiska informatycznego analiza ryzyka. Administrator danych jest odpowiedzialny za określenie listy zagrożeń, które mogą wystąpić w przetwarzaniu danych w zbiorze, dla kategorii osób lub w procesie przetwarzania. Zagrożenia powinny być identyfikowane w odniesieniu do uprzednio zidentyfikowanych aktywów (środków materialnych i niematerialnych mających wpływ na przetwarzanie danych osobowych) Proces składa się z następujących etapów: identyfikacji ryzyka, szacowania ryzyka, przeciwdziałania ryzyku, monitorowania i raportowania ryzyka IT. Administrator określa prawdopodobieństwo wystąpienia poszczególnych zagrożeń w zbiorze lub w procesie przetwarzania. Administrator określa skutki wystąpienia incydentów/zagrożeń, uwzględniając ewentualne straty finansowe, utratę reputacji, sankcje karne, odpowiedzialność odszkodowawczą. Administrator analizuje ryzyka dla wszystkich zagrożeń i ich skutków. Administrator porównuje ryzyka i podejmuje decyzje dotyczące dalszego postępowania z ryzykiem. Wyniki analizy ryzyka stanowią podstawę zaprojektowania odpowiednich mechanizmów kontroli dla systemów informatycznych eksploatowanych w organizacji. Wdrażane mechanizmy kontroli powinny być adekwatne do oszacowanego ryzyka, zidentyfikowanych zagrożeń i ich istotności, oraz muszą zapewniać efektywność ekonomiczną. Działania obniżające ryzyko, które może zastosować Administrator: przeniesienie ryzyka na inny podmiot (np. usługi w ramach outsourcingu, ubezpieczenie OC), unikanie – eliminacja działań ryzykownych, obniżenie – zastosowanie odpowiednich zabezpieczeń w celu obniżenia ryzyka. Kontrola adekwatności oraz sposobu funkcjonowania stosowanych mechanizmów kontroli wchodzi w skład zadań administratora systemu i przeprowadzana jest w ramach szacowania ryzyka operacyjnego. Za proces analizy i szacowania ryzyka bezpieczeństwa informacji odpowiedzialny jest administrator systemu/administrator danych. Za organizowanie szkoleń z zakresu obsługi systemu i procedur bezpieczeństwa informacji oraz właściwego używania zasobów informatycznych odpowiedzialny jest administrator danych.

Rozdział 6

Tryb postępowania w sytuacji naruszenia ochrony danych osobowych

Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić administratorowi danych. Do czasu przybycia na miejsce naruszenia ochrony danych osobowych administratora danych lub upoważnionej przez niego osoby, osoba powiadamiająca powinna: niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe, zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę, udokumentować wstępnie zaistniałe naruszenie, nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora danych lub osoby upoważnionej. Po przybyciu na miejsce naruszenia ochrony danych osobowych, administrator danych lub osoba go zastępująca: zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metod dalszego postępowania, wysłuchuje relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu: w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia, zgłoszenie, naruszenia ochrony danych osobowych organowi nadzorczemu, musi co najmniej: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisywać możliwe konsekwencje naruszenia ochrony danych osobowych, opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Administrator danych dokumentuje zaistniały przypadek naruszenia oraz sporządza sprawozdanie. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania przepisów RODO. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, administrator danych zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii odtworzenia danych z zabezpieczeń) oraz zarządza termin wznowienia przetwarzania danych. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie osoby, której dane dotyczą o naruszeniu powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej następujące informacje: imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, możliwe konsekwencje naruszenia ochrony danych osobowych oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Zawiadomienie osoby, której dane dotyczą o naruszeniu nie jest wymagane, w następujących przypadkach: administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych, administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, wymagałoby ono niewspółmiernie dużego wysiłku, w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Rozdział 7

Postanowienia końcowe

Wszelkie zasady opisane w Polityce bezpieczeństwa są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą. Administrator danych może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej w formie pisemnej. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, zobowiązuje się on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie oraz jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w RODO oraz spełnić wymagania określone w przepisach, w tym: w RODO. W zakresie przestrzegania tych przepisów taki podmiot ponosi odpowiedzialność jak administrator danych. W przypadkach, o których mowa powyżej, odpowiedzialność za przestrzeganie przepisów RODO spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Polityka bezpieczeństwa obowiązuje od dnia jej zatwierdzenia przez administratora danych.

do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl