Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? 1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy, 2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych. Przy czym, ten cel realizujemy, jeżeli w wiadomości do nas poprosiłeś nas o informacje na temat naszych usług. Czy musisz podawać nam swoje dane? Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy. Na jakiej podstawie prawnej przetwarzamy Twoje dane? Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Co jes naszym prawnie uzasadnionym interesem? Udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu. Komu przekażemy Twoje dane? 1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas, 2. dostawcom narzędzi służących do analityki działania strony. Jak długo będziemy przetwarzać Twoje dane? 1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy, 2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? W celu marketingowym, polegającym na wysyłaniu do Ciebie newsletterów, analizowaniu czy zapoznajesz się z ich treściami, i które z nich najchętniej czytasz. Na tej podstawie możemy dopasowywać treści newslettera do Twoich zainteresowań. Czy musisz podawać nam swoje dane? Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera. Na jakiej podstawie prawnej przetwarzamy Twoje dane? 1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Naszym prawnie uzasadnionym interesem jest analizowanie czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej. 2. Art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne. Co jest naszym prawnie uzasadnionym interesem? Doskonalenie naszego newslettera poprzez analizowanie czy zapoznajesz się z jego treścią i którymi wiadomościami najbardziej się interesujesz oraz dopasowywanie treści naszego newslettera do Twoich zainteresowań. Komu przekażemy Twoje dane? 1. Dostawcom narzędzi do: a. analityki ruchu na stronie, b. wysyłki newsletterów. 2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych. Jak długo będziemy przetwarzać Twoje dane? Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

Do obowiązków administratora danych osobowych należy m.in. prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych. Zgodnie z przepisami rozporządzenia w sprawie dokumentacji przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych na dokumentację składają się dwa podstawowe dokumenty: polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemem informatycznym.

Czym jest polityka bezpieczeństwa?
Dokumentem, w którym znaleźć można wszystkie podstawowe zasady dotyczące przetwarzania danych w strukturze określonego administratora danych jest właśnie polityka bezpieczeństwa. Politykę należy postrzegać jako zestaw reguł i praw regulujących sposób przetwarzania danych w danej organizacji. Jest to dokument, który powinien się w sposób kompleksowy do problemu przetwarzania odnosić danych i obejmować swoją regulacją zarówno tradycyjne, manualne przetwarzanie danych, jak i przetwarzanie danych w systemach informatycznych.

Co powinna zawierać polityka bezpieczeństwa?
Rozporządzenie wskazuje otwarty katalog kwestii, które administrator danych osobowych powinien uregulować w polityce bezpieczeństwa danych osobowych. Katalog ten zawiera: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych wraz ze wskazaniem programów wykorzystywanych do ich przetwarzania oraz opis struktury zbiorów danych, sposób przepływu danych między systemami oraz określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Katalog ten nie jest oczywiście wyczerpujący. Wprost przeciwnie. Jest jeszcze wiele elementów, które należy uwzględnić, jeżeli chcemy przygotować przydatny w praktyce, odpowiadający specyfice działalności administratora i dostosowany do jego potrzeb dokument.

Nie ma jednego, uniwersalnego wzoru polityki bezpieczeństwa. Jest pewien element wspólny, który charakteryzuje większość polityk, jednak szczegółowe regulacje to już indywidualna kwestia. Konstruując politykę bezpieczeństwa danych warto uwzględnić w niej także wzory dokumentów powołania ABI i ASI, wzory upoważnień do przetwarzania danych i ewidencji upoważnień. Przydatne są także, zaprojektowane na różne okoliczności, wzory oświadczeń o poufności. Innym wzorem warto posłużyć się w relacjach z pracownikiem, a inny przyda się, w relacjach ze zleceniobiorcą świadczącym dla nas pracę w ramach cywilnoprawnych form zatrudnienia. Opracowanie jednolitych wzorów procentuje w praktyce. W zależności od potrzeb, osoba odpowiedzialna za dany proces może posłużyć się właśnie wzorem, unikając konieczności konstruowania dokumentu każdorazowo, gdy zajdzie taka potrzeba.

Do polityki bezpieczeństwa danych często dołączana jest także wzorcowa umowa powierzenia. Dzięki temu, jeżeli za konstruowanie umów odpowiedzialnych jest kilka osób, wiedzą one jaki jest minimalny standard wyznaczany przy powierzeniu danych przez administratora. Tam, gdzie powołany jest ABI polityka zawiera też często dokumenty właśnie dla niego, w tym wzór sprawozdań ze sprawdzeń czy wzór rejestru zbiorów danych.

Ważny element, choć niewymieniony w przepisach
Jednym z kluczowych elementów polityki, choć niewskazanym wprost w przepisach, są wszelkiego rodzaju wyciągi czy zestawy reguł dla użytkowników. Sama dokumentacja ochrony danych, w tym polityka, nie zawsze jest udostępniania wszystkim użytkownikom. Z jednej strony jest ona dość obszerna, z drugiej nie każdy powinien mieć dostęp do jej pełnej treści. Z tego względu wyciągi dla personelu są bardzo wygodnym rozwiązaniem. Umożliwiają bowiem przekazanie uczestnikom procesów przetwarzania danych podstawowych zasad (wynikających zarówno z polityki, jak i z instrukcji), w tym wszelkich zakazów i nakazów i stanowią skondensowane źródło wskazówek do wykorzystania w codziennej pracy. W takim wyciągu zasad zawrzeć można m.in. zasady rozpoczynania pracy i kończenia pracy, wytyczne dotyczące zasady czystego biurka i ekranu, instrukcje dotyczące zmiany haseł, procedury korzystania ze sprzętu przenośnego, w tym z laptopów służbowych, zasady korzystania z poczty e-mail, zasady korzystania z Internetu, wytyczne dotyczące niszczenia dokumentów oraz zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych (np. wytyczne, do kogo się zwrócić, kogo i o jakim zdarzeniu poinformować w pierwszej kolejności).

Zasady formułowania polityki bezpieczeństwa
Konstruując politykę pamiętać trzeba o tym, że musi być ona na tyle precyzyjna, by mogła być stosowana w praktyce. Bardzo ogólna polityka danych osobowych może okazać się bardzo nieprzydatna. Jeżeli nie wynikają z niej konkretne rozwiązania i precyzyjne zasady postępowania nie będzie miała realnego zastosowania w praktyce. Tworząc politykę warto pamiętać także o odpowiednich proporcjach dokument główny – załączniki. Kwestie zmienne lub elementy podlegające częstej, bieżącej aktualizacji najprościej umieścić w załącznikach. Dzięki temu łatwiej jest pracować z taką dokumentacją i łatwiej poddawać ją aktualizacjom.

Przede wszystkim, pamiętać trzeba o tym, że polityka bezpieczeństwa danych ma służyć administratorowi danych i osobom odpowiedzialnym za poszczególne procesy. Dlatego też musi być dostosowana do rzeczywistych potrzeb, problemów i ryzyk administratorów danych. Dokumentacja ochrony danych osobowych musi tworzyć z kolei spójną, współgrającą całość. Dlatego też ważne jest, by drugi element dokumentacji, czyli instrukcja zarządzania systemem informatycznym był konstruowany zgodnie z zasadami określonymi w polityce (i odwrotnie). Te dwa dokumenty powinny składać się na pełen katalog obowiązków, zadań, celów, zasad podziału odpowiedzialności i procedur w danej organizacji.

Post Views: 2 582

Lubasz i Wspólnicy » Aktualności » Polityka bezpieczeństwa danych osobowych

Polityka bezpieczeństwa danych osobowych

dr Dominik Lubasz

Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

Artykuły powiązane

Rozporządzenie ogólne o ochronie danych osobowych

Wniosek o rejestrację zbioru w rejestrze GIODO