SPIS TREŚCI 

1. Preambuła
2. Zakres Polityki Ochrony Danych Osobowych
3. Definicje
4. Osoby odpowiedzialne za ochronę danych osobowych
   4.1       Administrator Danych Osobowych
   4.2       Pełnomocnik ds. Ochrony Danych Osobowych/Inspektor Ochrony Danych Osobowych
   4.3       Kierownicy Działów/komórek organizacyjnych
   4.4       Pracownik ds. Kadr
   4.5       Administrator Systemu Informatycznego
   4.6       Pracownicy posiadający dostęp do danych osobowych
5. Procedura nadawania upoważnień do przetwarzania danych osobowych w zbiorach
6. Udostępnianie danych osobowych
7. Powierzenie przetwarzania danych osobowych
8. Obowiązek informacyjny
9. Instrukcja alarmowa
10. Procedura zarządzania uprawnieniami w systemach informatycznych
11. Procedura tworzenia kopii zapasowych
12. Procedura niszczenia danych
13. Procedura przeglądów i konserwacji systemu informatycznego i aplikacji, napraw serwisowych zewnętrznych   
14. Regulamin użytkowania komputerów przenośnych
15. Plan ciągłości działania
16. Procedura audytu
17. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych
18. Szkolenia użytkowników
19. Uwagi 17 

1.      Preambuła

Celem niniejszego dokumentu jest zapewnienie zgodności przetwarzania danych osobowych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym dalej RODO).

Polityka Ochrony Danych Osobowych wraz z Rejestrem czynności przetwarzania i Analizą ryzyka stanowi dokumentację bezpieczeństwa w Anneberg.

W kwestiach nieuregulowanych w dokumentacji bezpieczeństwa obowiązują wewnętrzne akty prawne oraz obowiązujące przepisy prawa.

Wszelkie wątpliwości dotyczące sposobu interpretacji postanowień niniejszego dokumentu, powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw osób, których dane dotyczą.

Każda osoba, która będzie przetwarzać dane osobowe należące do Anneberg, zobowiązana jest do zapoznana się z Polityką Ochrony Danych Osobowych oraz do jej przestrzegania w zakresie wynikającym z przydzielonych zadań. Dotyczy to w szczególności pracowników zatrudnionych przez Administratora Danych Osobowych. Osoby o których mowa, zobowiązane są do złożenia na piśmie oświadczenia o zapoznaniu się z treścią Polityki Ochrony Danych Osobowych oraz do stosowania zawartych w niej postanowień.

2.      Zakres Polityki Ochrony Danych Osobowych

Dokument Polityki Ochrony Danych Osobowych opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem. Jest to zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz Anneberg. Polityka Ochrony Danych Osobowych, odnosi się całościowo do problemu zabezpieczenia danych osobowych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych.

Politykę Ochrony Danych Osobowych stosuje się do wszelkich czynności, stanowiących w myśl RODO, przetwarzanie danych osobowych. Bez względu na źródło pochodzenia danych osobowych, ich zakres, cel zebrania, sposób przetwarzania lub czas przetwarzania, należy stosować zasady przetwarzania danych osobowych opisane w niniejszym dokumencie, pod warunkiem, że odrębne przepisy prawa nie stanowią inaczej.

3.      Definicje

Przez użyte w Polityce Ochrony Danych Osobowych określenia należy rozumieć:

Polityka Ochrony Danych Osobowych (Polityka ODO) – rozumie się przez to Politykę Ochrony Danych Osobowych w Anneberg.

Administrator Danych Osobowych (ADO) – Anneberg Transpol Int. Sp. z o.o. z siedzibą na ul. Trasa Północna 1, 65-119 Zielona Góra, decydujący o celach i sposobach przetwarzania danych osobowych.

Anneberg – Anneberg Transpol Int. Sp. z o.o. z siedzibą na ul. Trasa Północna 1, 65-119 Zielona Góra.

Administrator Systemu Informatycznego (ASI) – osoba fizyczna bądź osoba prawna odpowiedzialna za prawidłowe funkcjonowanie systemu informatycznego, sieci teleinformatycznej oraz za przestrzeganie zasad i wymagań bezpieczeństwa względem systemów informatycznych i sieci teleinformatycznych.

administrator systemu – osoba nadzorująca pracę systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień.

baza danych osobowych – zbiór uporządkowanych powiązanych ze sobą tematycznie danych zapisanych np. w pamięci zewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisane dane osobowe.

Dział/komórka organizacyjna – Dział lub samodzielne stanowisko pracy w Anneberg.

dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

dokumentacja bezpieczeństwa – Polityka Ochrony Danych Osobowych wraz z Rejestrem czynności przetwarzania i Analizą ryzyka.

odbiorca danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.

ODO – ochrona danych osobowych w Anneberg.

organ nadzorczy – Urząd Ochrony Danych Osobowych z siedzibą na ul. Stawki 2, 00-193 Warszawa.

pracownik ds. Kadr – osoba, która zajmuje się w Anneberg prowadzeniem dokumentacji personalnej, sporządzaniem dokumentacji związanej z przebiegiem zatrudnienia oraz obsługą pracowników w zakresie umów o pracę.

przetwarzanie danych osobowych (przetwarzanie) – to dowolna zautomatyzowana lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych i obejmuje zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych.

Podmiot zewnętrzny – osoba fizyczna bądź prawna świadczącą usługi na rzecz Anneberg jak również osoba fizyczna bądź prawna współpracującą z Anneberg.

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Regulamin ODO – Regulamin Ochrony Danych Osobowych w Anneberg.

RODO – Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

system teleinformatyczny – system informacyjny, w którym chociaż jeden z jego procesów odbywa się w formie elektronicznej, system, który tworzą urządzenia, narzędzia, metody postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji.

usuwanie danych osobowych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację , która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

Ustawa – rozumie się przez to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000).

użytkownik systemu – pracownik upoważniony do korzystania z systemu informatycznego, a w przypadku przetwarzania danych osobowych – posiadający pisemne upoważnienie wydane przez ADO lub osoby upoważnione przez ADO.

zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą.

zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie lub geograficznie.

zgoda osoby, której dane dotyczą – rozumie się przez to dobrowolne, świadome i jednoznaczne oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; lub wyraźne działanie potwierdzające przyzwolenie na przetwarzanie danych osobowych.

 4.      Osoby odpowiedzialne za ochronę danych osobowych

Za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami Polityki ODO oraz odpowiadają:

• Administrator Danych Osobowych,
• Pełnomocnik ds. Ochrony Danych Osobowych/Inspektor Ochrony Danych Osobowych
• Administrator Systemów Informatycznych,
• kierownicy Działów/komórek organizacyjnych,
• każda osoba będąca pracownikiem Annebrg, w rozumieniu przepisów kodeksu pracy, która uzyskała upoważnienie do przetwarzania danych osobowych,
• praktykanci i stażyści którym powierzono przetwarzanie danych osobowych,
• podmioty przetwarzające którym powierzono przetwarzanie danych osobowych,

4.1      Administrator Danych Osobowych

4.1.1 Administratorem Danych Osobowych jest Anneberg Transpol Int. Sp. z o.o. z siedzibą na ul. Trasa Północna 1 w Zielonej Górze. Obowiązki określone w RODO i Ustawie pełni Zarząd Anneberg, w imieniu której działa Prezes Zarządu. Zmiana osoby pełniącej funkcję Prezesa Zarządu nie wymaga zmiany Polityki ODO.

4.1.2 Prezes Zarządu, nadaje upoważnienia do przetwarzania danych osobowych w zbiorach Anneberg. Dopuszcza się, aby osobo posiadająca stosowne umocowanie, nadawała upoważnienia do przetwarzania danych osobowych w imieniu ADO.

4.1.3 Prezes Zarządu, wprowadza swoim zarządzeniem dokumentację bezpieczeństwa oraz zatwierdza związane z bezpieczeństwem informacji inwestycje i zmiany organizacyjne, określa priorytety polityki bezpieczeństwa oraz sprawuje nadzór nad ich realizacją przez kierowników Działów/komórek organizacyjnych.

4.2      Pełnomocnik ds. Ochrony Danych Osobowych/Inspektor Ochrony Danych Osobowych

4.2.1 Funkcję Pełnomocnika ds. Ochrony Danych Osobowych/Inspektora Ochrony Danych Osobowych w Anneberg pełni osoba wskazana przez Administratora Danych Osobowych w odrębnym ustanowieniu Załącznik P2a Ustanowienie Pełnomocnika ds. Ochrony Danych Osobowych/Inspektora Ochrony Danych Osobowych.

4.2.2 Do najważniejszych obowiązków Pełnomocnika ds. Ochrony Danych Osobowych/Inspektora Ochrony Danych Osobowych należy:

a) informowanie i doradzanie ADO, Podmiotom przetwarzającym oraz pracownikom w zakresie obowiązującego prawa o ochronie danych i niniejszej Polityki ODO,

b) monitorowanie przestrzegania zasad ODO,

c) współpraca z organem nadzorczym,

d) działanie jako punkt kontaktowy dla osób których dane osobowe przetwarza ADO i organu nadzorczego,

e) szkolenia personelu uczestniczącego w operacjach przetwarzania,

f) działania zwiększające świadomość,

g) prowadzenie audytów w zakresie ODO,

h) współpraca z ADO i ASI w sytuacji wystąpienia incydentów bezpieczeństwa.

4.3      Kierownicy Działów/komórek organizacyjnych

4.3.1  Do najważniejszych obowiązków kierowników Działu/komórek organizacyjnych w zakresie ochrony danych osobowych należy:

a) zapoznanie się z całością dokumentacji bezpieczeństwa: Polityką ODO wraz z Rejestrem czynności przetwarzania i Analizą ryzyka,

b) nadzór nad realizacją zadań wynikających z Polityki ODO w stosunku do podległych im pracowników, stażystów, praktykantów a w szczególności:

• • • wskazanie pracownikowi ds. Kadr wymaganego zakresu upoważnienia do przetwarzania danych osobowych podległego im pracownika,
    • przekazanie pracownikowi, przed dopuszczeniem do przetwarzania danych osobowych, dokumentacji bezpieczeństwa (Polityki ODO w tym Regulaminu ODO, Instrukcji, Procedur i Regulaminów w zakresie dostosowanym do zakresu obowiązków),
    • zapewnienie podpisania przez pracownika oświadczenia o zapoznaniu się z Polityką ODO przed dopuszczeniem go do przetwarzania danych osobowych Załącznik P3 Oświadczenie pracownika,
    • przekazanie oświadczenia o którym mowa powyżej pracownikowi ds. Kadr,
    • wnioskowanie o rejestrację/zmianę uprawnień pracownika w systemie informatycznym. Wniosek o wyrejestrowanie użytkownika z sytemu informatycznego należy przekazać ASI.

c) w zakresie danych przetwarzanych w podległych im Działach/komórkach organizacyjnych, poinformowanie bez zbędnej zwłoki innych ADO, którym udostępniono zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.

d) w zakresie podległych im Działów/komórek organizacyjnych, zapewnienie w podpisywanych umowach zapisów bezpieczeństwa dot. powierzenia przetwarzania danych osobowych, zachowania w poufności danych osobowych, w przypadku gdy realizacja umowy, będzie wiązać się z dostępem przez Podmiot zewnętrzny do danych osobowych Załącznik P6 Umowa powierzenia.

e) w zakresie podległych im Działów/komórek organizacyjnych, zapewnienie spełnienia obowiązku informacyjnego w przypadku zbierania danych osobowych Załącznik P7 Obowiązek informacyjny.

f) w zakresie podległych im Działów/komórek organizacyjnych, zapewnienie, że:

• • • gromadzone dane osobowe są adekwatne w stosunku do celu/celów przetwarzania,
    • gromadzone dane osobowe są przetwarzane przez określony konkretny czas, zgodnie z Rejestrem czynności przetwarzania Anneberg.

Uwaga:

Osoby upoważnione do przetwarzania danych osobowych podpisują  Załącznik P3 Oświadczenie pracownika.

4.4      Pracownik ds. Kadr

4.4.1  Do najważniejszych obowiązków pracownika ds. Kadr w zakresie ochrony danych osobowych należy:

a) gromadzenie oświadczeń pracowników o zapoznaniu się z Polityką ODO oraz zachowaniu w tajemnicy służbowej wszelkich informacji nie będących informacją publiczną lub informacją powszechnie dostępną Załącznik P3 Oświadczenie pracownika,

b) gromadzenie upoważnień do przetwarzania danych osobowych Załącznik P4 Upoważnienie do przetwarzania danych osobowych,

c) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych Załącznik P5 Ewidencja upoważnień do przetwarzania danych osobowych.

d) poinformowanie bez zbędnej zwłoki innych ADO, którym udostępniono zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych,

e) współpraca z ADO, ASI oraz kierownikami Działów/komórek organizacyjnych w zakresie tworzenia i gromadzenia dokumentacji pracowników, wymaganej przez Politykę ODO.

4.5      Administrator Systemu Informatycznego

4.5.1 Funkcję ASI w Anneberg pełni osoba fizyczna bądź osoba prawna wskazana przez Administratora Danych Osobowych w odrębnym ustanowieniu Załącznik P2b Ustanowienie ASI.

4.5.2 Zmiana osoby pełniącej funkcję ASI następuje na skutek pisemnej decyzji Administratora Danych Osobowych.

4.5.3 W przypadku odwołania lub rezygnacji ze stanowiska ASI, Administrator Danych niezwłocznie wyznacza na to stanowisko inną osobę.

4.5.4 Do uprawnień i obowiązków Administratora Systemów Informatycznych w zakresie ochrony danych osobowych należą, w szczególności:

a) zapewnienie prawidłowego funkcjonowania systemów informatycznych b,

b) stosowanie zasad i wymagań bezpieczeństwa systemów informatycznych zawartych Polityce ODO oraz odrębnych procedurach,

c) nadawanie/usuwanie/modyfikacja uprawnień do przetwarzania danych osobowych w systemach informatycznych,

d) stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do tych systemów,

e) podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń,

f) identyfikacja i analiza zagrożeń, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych,

g) sprawowanie nadzoru nad kopiami zapasowymi opisanymi w Procedurze tworzenia kopii zapasowych,

h) inicjowanie i nadzór nad wdrażaniem nowych narzędzi, procedur organizacyjnych oraz sposobów zarządzania systemami informatycznymi, które mają doprowadzić do wzmocnienia bezpieczeństwa przy przetwarzaniu danych osobowych w systemach informatycznych,

i) podejmowanie innych czynności w zakresie zabezpieczenia przetwarzania danych w systemach informatycznych, w tym czynności o których mowa w Polityce ODO i jej załącznikach,

j) koordynowanie działań podmiotów zewnętrznych świadczących usługi z zakresu serwisu informatycznego i programistycznego,

k) informowanie Administratora Danych Osobowych o konieczności wprowadzenia zmian w Polityce ODO z powodu np. zmian procedur tworzenia kopii zapasowych lub zmiany zabezpieczeń systemów informatycznych.

4.6      Pracownicy posiadający dostęp do danych osobowych

4.6.1  Każdy pracownik, który uzyskał upoważnienie do przetwarzania danych osobowych, zobowiązany jest do ich ochrony w sposób zgodny z przepisami RODO oraz Polityki ODO.

4.6.2  Dostęp do określonego zbioru danych osobowych pracownik Anneberg uzyskuje na podstawie pisemnego upoważnienia, otrzymanego w trybie określonym w pkt 5 niniejszej Polityki ODO.

4.6.3  Pracownicy zatrudnieni – na podstawie umowy o pracę, bądź świadczący usługi na podstawie umów cywilnoprawnych – przy przetwarzaniu danych osobowych zobowiązani są do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia/współpracy.

4.6.4  Naruszenie obowiązku ochrony danych osobowych, a w szczególności obowiązku zachowania danych osobowych w tajemnicy, skutkuje poniesieniem odpowiedzialności karnej na podstawie przepisów Ustawy, RODO oraz stanowi ciężkie naruszenie obowiązków pracowniczych i może być podstawą rozwiązania stosunku pracy w trybie art. 52 Kodeksu Pracy.

5.      Procedura nadawania upoważnień do przetwarzania danych osobowych w zbiorach

5.1 Anneberg realizując niniejszą Politykę Ochrony Danych Osobowych w zakresie udostępniania danych osobowych w ramach własnej (wewnętrznej) struktury, zezwala na ich przetwarzanie w systemie informatycznym lub w wersji papierowej wyłącznie pracownikom, którzy uzyskali uprzednio stosowne upoważnienie do przetwarzania danych osobowych.

5.2 Upoważnienie do przetwarzania danych osobowych mogą uzyskać pracownicy, praktykanci, stażyści oraz współpracownicy Anneberg.

5.3 Upoważnienie do przetwarzania danych osobowych wydawane jest każdemu z pracowników osobno, w zakresie adekwatnym do pełnionych obowiązków służbowych.

5.4 Upoważnienie do przetwarzania danych osobowych nadaje Administrator Danych Osobowych.

5.5 Upoważnienia do przetwarzania danych osobowych gromadzi pracownik ds. Kadr.

5.6 Upoważnienia wydawane są zgodnie z następującą procedurą:

a) kierownicy Działów, przed dopuszczeniem pracownika do przetwarzania danych osobowych, przekazują do zapoznania się Politykę Ochrony Danych Osobowych wraz Regulaminem ODO oraz Procedurami i Instrukcjami wewnętrznymi.

b) pracownik przed nadaniem mu upoważnienia, poświadcza na piśmie zapoznanie się z obowiązującą Polityką ODO. Za zapoznanie się z ww. dokumentacją oraz podpisanie oświadczenia o którym mowa powyżej, odpowiadają kierownicy Działów w zakresie podległych im pracowników,

c) kierownicy Działów wskazują pracownikowi ds. Kadr w jakim zakresie podległy im pracownik powinien uzyskać upoważnienie,

d) ADO wskazuje pracownikowi ds. Kadr zakres upoważnienia do przetwarzania danych osobowych kierowników Działów/komórek organizacyjnych,

e) pracownik ds. Kadr wypełnia upoważnienie do przetwarzania danych osobowych wg wytycznych kierowników Działów/ADO i przedkłada do akceptacji i podpisu ADO.

5.7 Upoważnienie jest drukowane w dwóch egzemplarzach, z których każdy musi być podpisany przez pracownika, któremu nadano upoważnienie.

5.8 Jeden egzemplarz upoważnienia jest przechowywany jako część dokumentacji kadrowej przez pracownika ds. Kadr, drugi jest wydawany pracownikowi, któremu nadano upoważnienie.

5.9 Kierownicy Działów, w zakresie podległych im pracowników, zobowiązani są do poinformowania ASI o konieczności nadania, zmiany oraz cofnięcia dostępu do przetwarzania danych osobowych w zbiorach przetwarzanych w systemach informatycznych.

5.10 Tryb nadania, zmiany, odebrania uprawnień do systemów informatycznych przetwarzających dane osobowe zawiera Załącznik P10 Procedura zarządzania uprawnieniami w systemach informatycznych,

5.11 Utrata prawa do przetwarzania danych osobowych określonych w upoważnieniu następuje w szczególności w przypadku:

a) zmiany stanowiska pracy w Anneberg na stanowisko, na którym nie ma konieczności posiadania dostępu do danych osobowych lub w szczególności, gdy ustaje zasadność i celowość dalszego wykonywania prawa do przetwarzania danych w związku ze zmianą realizowanych przez pracownika zadań wynikających z jego indywidualnego zakresu czynności,

b) umyślnego naruszenia zasad ochrony danych osobowych określonych w RODO, Polityce Ochrony Danych Osobowych, innych obowiązujących przepisów prawa.

c) rozwiązania stosunku pracy,

d) rozwiązania umowy cywilnoprawnej.

6.      Udostępnianie danych osobowych

6.1       Dane osobowe mogą być udostępnione osobom i podmiotom z mocy przepisów prawa lub jeżeli w sposób wiarygodny uzasadnią one potrzebę ich posiadania, a ich udostępnienie nie naruszy praw i wolności osób, których one dotyczą.

6.2       Udostępnianie danych osobowych, niebędących informacją publiczną, wymaga zachowania szczególnej staranności. Udostępnienie danych osobowych przez Anneberg należy realizować na piśmie.

6.3       Udostępnienie danych osobowych, nie będących informacją publiczną, może mieć miejsce w przypadku:

a) wyrażenia zgoda na udostępnienie danych osobowych, przez osobę której dane dotyczą,

b) na podstawie przepisów prawa (np. udostępnienie sądom, prokuraturze, policji),

6.4       Zgody na udostępnienie danych osobowych udziela ADO.

6.5       Dane na temat udostępnień oraz odbiorców danych osobowych należy odnotowywać w rejestrze udostępnień prowadzonym w Dziale Kadr. Zakres odnotowywanych informacji powinien obejmować (dane odbiorcy, zakres udostępnienia, datę udostępnienia) Załącznik 17 Ewidencja udostępnień danych osobowych.

7.      Powierzenie przetwarzania danych osobowych

Dopuszcza się, by dane osobowe których Administratorem Danych Osobowych jest Anneberg, były przetwarzane przez Podmioty zewnętrzne w imieniu ADO. Może się to odbywać wyłącznie poprzez powierzenie danych osobowych w określonym celu i zakresie Podmiotowi zewnętrznemu na mocy umowy powierzenia przetwarzania danych osobowych z podmiotem Załącznik P6 Umowa powierzenia,

8.      Obowiązek informacyjny

W przypadku zbierania danych osobowych przez Anneberg, od osoby której dane dotyczą, należy dopełnić obowiązku informacyjnego. Wzór obowiązku informacyjnego zamieszczono w Załączniku P7 Obowiązek informacyjny.

W przypadku pozyskiwania danych osobowych, w sposób inny niż od osoby, której dane dotyczą, należy również dopełnić obowiązku informacyjnego. Wzór obowiązku informacyjnego zamieszczono w Załączniku P7 Obowiązek informacyjny.

9.      Instrukcja alarmowa

Sposób postępowania w razie zaistnienia zagrożenia dla bezpieczeństwa przetwarzanych danych osobowych lub naruszenia zasad przetwarzania danych osobowych przedstawiono w Załączniku P8 Instrukcja alarmowa.

Naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, wymagają odnotowania w Załączniku P9 Rejestr incydentów.

10.   Procedura zarządzania uprawnieniami w systemach informatycznych

Procedurę zarządzania uprawnieniami w systemach informatycznych opisano w Załączniku P10 Procedura zarządzania uprawnieniami w systemach informatycznych.

11.   Procedura tworzenia kopii zapasowych

Procedurę tworzenia kopii zapasowych danych osobowych przetwarzanych w systemach informatycznych opisano w Załączniku P11 Procedura tworzenia kopii zapasowych.

ASI odpowiada za uzupełnienie i aktualizację niniejszej procedury.

Ze względów bezpieczeństwa, dostęp do niniejszej Procedury, zostaje ograniczony do następujących osób:

• Prezesa Anneberg,
• Pełnomocnika ds. Ochrony Danych Osobowych/Inspektora Ochrony Danych Osobowych,
• Administratora Systemu Informatycznego,
• osób upoważnionych przez Prezesa Anneberg.

12.   Procedura niszczenia danych

Procedurę niszczenia danych osobowych zarówno na nośnikach papierowych jak i nośnikach elektronicznych opisano w Załączniku P12 Procedura niszczenia danych.

13.   Procedura przeglądów i konserwacji systemu informatycznego i aplikacji, napraw serwisowych zewnętrznych

Procedurę przeglądów i konserwacji systemu informatycznego i aplikacji a także napraw w serwisowych zewnętrznych opisano w Załączniku P13 Procedura przeglądów i konserwacji systemu informatycznego i aplikacji, napraw serwisowych zewnętrznych.

14.   Regulamin użytkowania komputerów przenośnych

Regulamin użytkowania komputerów przenośnych opisano w Załączniku P14 Regulamin użytkowania komputerów przenośnych.

15.   Plan ciągłości działania

Procedury przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego zostały opisane w Załączniku P15 Plan ciągłości działania.

Ze względów bezpieczeństwa, dostęp do niniejszej Procedury, zostaje ograniczony do następujących osób:

• Prezesa Anneberg,
• Pełnomocnika ds. Ochrony Danych Osobowych/Inspektora Ochrony Danych Osobowych,
• Administratora Systemu Informatycznego,
• osób upoważnionych przez Prezesa Anneberg.

16.   Procedura audytu

Zgodnie z art. 32 RODO, Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Celem procedury jest weryfikacja skuteczności funkcjonowania przyjętych i wdrożonych przez ADO środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Procedura audytu została opisana w Załączniku P16 Procedura audytu.

17.   Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych

Zabezpieczenia organizacyjne, fizyczne, sprzętowe i programowe przedstawiono w Załączniku P18 Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.

Ze względów bezpieczeństwa, dostęp do niniejszego załącznika, zostaje ograniczony do następujących osób:

• Prezesa Anneberg,
• Pełnomocnika ds. Ochrony Danych Osobowych/Inspektora Ochrony Danych Osobowych,
• Administratora Systemu Informatycznego,
• osób upoważnionych przez Prezesa Anneberg.

18.   Szkolenia użytkowników

• Każdy użytkownik powinien odbyć szkolenie z zakresu ochrony danych osobowych w zbiorach elektronicznych i papierowych.
• Szkolenia prowadzi osoba posiadająca odpowiednie kompetencje z zakresu ochrony danych, bądź jest przeprowadzane w formie auto-szkolenia polegającego na wysyłaniu pracownikom materiałów do samodzielnej nauki.
• Zakres szkolenia powinien obejmować zaznajomienie użytkownika z obowiązującymi przepisami z zakresu ochrony danych osobowych oraz Polityką ODO u Administratora Danych Osobowych.
• Uczestnictwo w szkoleniu użytkowników wymaga pisemnego potwierdzenia wzięcia udziału w szkoleniu poprzez wpisanie się na listę obecności.

19.   Uwagi

• Kierownicy Działów są obowiązani zapoznać każdego pracownika z treścią Polityki Ochrony Danych Osobowych w tym Regulaminu Ochrony Danych Osobowych.
• Wszystkie regulacje dotyczące systemów informatycznych, określone w Polityce Ochrony Danych Osobowych dotyczą również przetwarzania danych w bazach danych osobowych prowadzonych w jakiejkolwiek innej formie.
• Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych postanowień zawartych w niniejszej Polityce Ochrony Danych Osobowych.
• Przypadki, nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych.
• Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
• Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.
• W sprawach nieuregulowanych w niniejszej Polityce Ochrony Danych Osobowych mają zastosowanie przepisy RODO, obowiązują wewnętrzne akty prawne oraz inne obowiązujące przepisy prawa.