TRITECH NEW TECHNOLOGIES SP. Z O.O.
POLITYKA OCHRONY DANYCH OSOBOWYCH W
TRITECH NEW TECHNOLOGIES SP. Z O.O.
skrót nazwy: TNT
I. Postanowienia ogólne
§ 1.
Postanowienia ogólne
-
TNT deklaruje przetwarzanie danych osobowych z poszanowaniem obowiązujących w tym zakresie przepisów prawa oraz zachowanie szczególnej staranności w realizacji deklaracji.
-
Polityka określa zasady i tryb postępowania przy przetwarzaniu danych osobowych w TNT.
-
Podstawą prawną opracowania Polityki jest RODO i UODO.
§ 2.
Podstawowe pojęcia
Użyte w Polityce Ochrony Danych Osobowych w TRITECH NEW TECHNOLOGIES Sp. z o.o. określenia oznaczają:
-
Polityka – niniejszy dokument;
-
Instrukcja – Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;
-
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
-
UODO – Ustawa z dnia 10 maja 2018 o ochronie danych osobowych
-
Przepisy o ochronie danych osobowych – Polityka, Instrukcja, RODO oraz UODO;
-
TNT – TRITECH NEW TECHNOLOGIES Sp. z o.o.;
-
Administrator – TNT , reprezentowany przez Zarząd lub osoba przez niego upoważniona;
-
RCPD – Rejestr czynności przetwarzania danych osobowych i Rejestr kategorii danych osobowych, prowadzony w TNT w ramach systemu informatycznego;
-
Osoba upoważniona – osoba upoważniona do przetwarzania danych osobowych;
-
IOD – Inspektor Ochrony Danych Osobowych, wyznaczony przez Administratora i bezpośrednio mu podlegający, odpowiedzialny za nadzór nad zapewnieniem bezpieczeństwa danych osobowych;
-
Administrator Systemu Informatycznego (ASI) – osoba posiadająca najwyższe uprawnienia w systemach informatycznych w ramach których przetwarza się dane osobowe, odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń tych systemów; przetwarza się dane osobowe,;
-
Lokalny Administrator Systemu Informatycznego (LASI) – osoba, która posiada w systemach informatycznych w ramach których przetwarza się dane osobowe uprawnienia administracyjne nadane przez ASI;.
-
Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
-
Odbiorcy danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią;
-
Kategoria odbiorców danych osobowych – zakres podmiotowy Odbiorców danych osobowych;
-
Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
-
Przetwarzanie -operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
-
Zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
-
Pracownik – osoba zatrudniona w TNT na podstawie stosunku pracy lub innego stosunku prawnego;
-
Kierownik – Kierownik komórki organizacyjnej TNT;
-
Profilowanie – dowolna formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych, wybranych czynników osobowych osoby fizycznej;
-
Organ nadzorczy – Generalny Inspektor Ochrony Danych Osobowych (Prezes Urzędu Ochrony Danych Osobowych).
Pozostałe skróty i definicje należy interpretować zgodnie z postanowieniami RODO, UODO oraz aktami prawa wewnętrznego obowiązującymi w TNT.
§ 3.
Zakres stosowania
-
Politykę stosuje się do danych osobowych przetwarzanych w TNT.
-
Nadzór ogólny nad realizacją Przepisów o ochronie danych osobowych pełni Administrator.
-
Nadzór nad poprawnością realizacji Przepisów o ochronie danych osobowych, w szczególności zasad opisanych w Polityce oraz Instrukcji, oraz nad wykonywaniem zadań związanych z ochroną danych osobowych w TNT pełni IOD.
-
Właściwy kierownik zobowiązany jest do uzgadniania z IOD treści dokumentów i umów, w ramach których przetwarzane są dane osobowe w TNT w tym umów powierzenia i podpowierzenia.
§ 4.
Podstawowe zasady ochrony danych osobowych
-
Dane osobowe przetwarzane w TNT podlegają ochronie zgodnie z przepisami RODO i UODO.
-
Pracownicy przetwarzają dane osobowe z poszanowaniem zasady:
-
legalizmu – zgodnie z prawem oraz wskazaniem podstawy prawnej;
-
rzetelności – rzetelnie i uczciwie;
-
transparentności – w sposób przejrzysty dla osoby, której dane dotyczą;
-
minimalizacji – w konkretnych celach i nie „na zapas”;
-
adekwatności – nie więcej niż potrzeba;
-
prawidłowości – z dbałością o prawidłowość danych;
-
czasowości – nie dłużej niż potrzeba;
-
praw jednostki – umożliwiając osobom, których dane są przetwarzane, wykonywanie swoich praw i realizując te prawa;
-
bezpieczeństwa – zapewniając odpowiednie bezpieczeństwo danych ;
-
rozliczalności – dokumentując sposób spełniania obowiązków, aby w każdej chwili móc wykazać zgodność z zasadą legalizmu.
§ 5.
Podstawy prawne przetwarzania danych osobowych
-
Przetwarzanie danych osobowych w TNT jest dopuszczalne wyłącznie w celu realizowania zadań TNT.
-
Przetwarzanie danych osobowych w TNT nie może naruszać praw i wolności osób, których dane osobowe dotyczą, a w szczególności zabrania się przetwarzania danych osobowych ujawniających następujących kategorii danych: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
-
Podstawą przetwarzania danych osobowych w TNT jest:
-
wyraźna zgoda osoby, której dane dotyczą, na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
-
wykonywanie szczególnych praw Administratora niezbędne do wypełnienia jego obowiązków lub osoby, której dane dotyczą;
-
ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, które są fizycznie lub prawnie niezdolne do wyrażenia zgody;
-
przetwarzanie danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
-
przetwarzanie niezbędne do ustalenia, dochodzenia lub obrony roszczeń;
-
przetwarzanie niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa krajowego;
-
przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa krajowego;
-
przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych; na podstawie prawa Unii lub prawa krajowego które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
II. System ochrony danych
§ 6.
Obowiązek informacyjny
-
W przypadku zbierania danych osobowych na potrzeby TNT bezpośrednio od osoby, której dane dotyczą, Pracownik zbierający dane osobowe, podczas pozyskiwania danych – najpóźniej podczas pierwszego kontaktu z osobą, której dane dotyczą oraz każdorazowo, gdy zmieni się cel przetwarzania, jest zobowiązany do przekazania tej osobie informacji o:
-
tożsamości i danych kontaktowych Administratora;
-
danych kontaktowych IOD;
-
celach przetwarzania danych osobowych;
-
podstawie prawnej przetwarzania (wymóg ustawowy, umowny, warunek zawarcia umowy lub zgoda itp. wraz z wskazaniem ewentualnych konsekwencji niepodania danych osobowych);
-
prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO;
-
Odbiorcach danych osobowych lub o Kategoriach odbiorców, jeżeli istnieją;
-
zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, zgodnie z art 13 ust. 1 lit. f) RODO – gdy ma to zastosowanie;
-
okres, przez który dane osobowe będą przechowywane; a gdy nie jest to możliwe, kryteria ustalania tego okresu;
-
prawach osoby, której dane dotyczą do: dostępu do danych osobowych, sprostowania, usunięcia lub ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu wobec przetwarzania, cofnięcia zgody o ile ją wyrażono, wniesienia skargi do organu nadzorczego;
-
zautomatyzowanym podejmowaniu decyzji, w tym o Profilowaniu;
-
W przypadku zbierania danych osobowych na potrzeby TNT w sposób inny, niż od osoby, której dane dotyczą (nie bezpośrednio), Pracownik zbierający dane osobowe, jest zobowiązany do przekazania tej osobie informacji, o których mowa w ust. 1 Polityki, oraz o:
-
źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
-
kategorii danych osobowych, o których mowa w § 5 ust. 2 Polityki;
-
prawnie uzasadnione interesy realizowane przez Administratora lub przez stronę trzecią, na zasadach określonych w art 6 ust. 1 lit f) RODO;
III. Obsługa praw jednostki
§ 7.
Kontrola przetwarzania
Każdej osobie, której dane osobowe są przetwarzane w TNT przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:
-
uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane;
-
wniesienia sprzeciwu względem przetwarzanych danych osobowych osoby;
-
zgłoszenia interwencji przy automatycznym przetwarzaniu danych;
-
żądania wydania kopii danych osobowych;
-
żądania sprostowania danych osobowych;
-
żądania uzupełnienia danych osobowych;
-
żądania usunięcia danych osobowych (“prawo do bycia zapomnianym”);
-
żądania ograniczenia przetwarzania danych osobowych;
-
żądania przeniesienia danych osobowych;
-
uzyskania informacji o sprostowaniu, uzupełnieniu, usunięciu lub ograniczeniu przetwarzania danych.
§ 8.
Żądania jednostek
-
Prawo do kontroli przetwarzania danych osobowych, o którym mowa w § 7 realizowane jest na wniosek osoby, której dane są przetwarzane.
-
Wniosek, o którym mowa w ust. 1, może zostać złożony przez osobę, której dane są przetwarzane. Wniosek może zostać złożony w dowolnej formie – pisemnej, elektronicznej, za pomocą faksu lub telefonicznej.
-
Wniosek, o którym mowa w ust. 1, każdorazowo przekazywany jest, przez właściwą komórkę organizacyjną, niezwłocznie do IOD.
-
IOD we współpracy z właściwym Kierownikiem dokonuje rozpatrzenia otrzymanego wniosku w terminie do 1 miesiąca od dnia otrzymania wniosku, podejmuje czynności zgodnie z wnioskiem lub informuje osobę, która złożyła wniosek o odmowie rozpatrzenia jej wniosku i o jej prawach z tym związanych.
§ 9.
Uzyskanie informacji o przetwarzaniu danych osobowych
W przypadku wniosku, o którym mowa w § 8 ust. 1, IOD we współpracy z właściwym Kierownikiem udziela osobie, której dane dotyczą, następujących informacji:
-
czy w TNT przetwarzane są dane osobowe wnioskującego;
-
zakresie danych osobowych dotyczących wnioskującego jakie są przetwarzane w TNT;
-
sposobie pozyskania danych osobowych wnioskującego;
-
celu, zakresie i metodzie przetwarzania danych osobowych wnioskującego;
-
okresie przetwarzania danych osobowych wnioskującego;
-
zakresie udostępnienia danych osobowych wnioskującego innym podmiotom, wraz ze wskazaniem tych podmiotów.
§ 10.
Wniesienie sprzeciwu względem przetwarzanych danych osobowych
-
Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez TNT w oparciu o uzasadniony interes TNT lub o powierzone TNT zadanie w interesie publicznym, TNT uwzględni sprzeciw, o ile nie zachodzą po stronie TNT ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
-
Sprzeciw, o którym mowa w ust. 1, może zostać złożony przez osobę, której dane są przetwarzane. Sprzeciw może zostać złożony w dowolnej formie – pisemnej, elektronicznej, za pomocą faksu lub telefonicznej.
-
Sprzeciw, o którym mowa w ust. 1, każdorazowo przekazywany jest, przez właściwą komórkę organizacyjną, niezwłocznie do IOD.
-
IOD we współpracy z Kierownikiem i Administratorem dokonuje rozpatrzenia otrzymanego sprzeciwu w terminie do 1 miesiąca od dnia jego otrzymania, uwzględnia sprzeciw lub informuje osobę, o odmowie uwzględnienia sprzeciwu i o jej prawach z tym związanych.
§ 11.
Zgłoszenie interwencji przy automatycznym przetwarzaniu danych
-
Jeżeli TNT przetwarza dane w sposób automatyczny, w tym w szczególności stosuje Profilowanie i w konsekwencji podejmuje względem osoby decyzje wywołujące skutki prawne lub inaczej istotnie wpływające na osobę, TNT zapewnia możliwość złożenia sprzeciwu takiej osobie, chyba że taka automatyczna decyzja jest niezbędna do zawarcia lub wykonania umowy pomiędzy osobą wnoszącą sprzeciw a TNT lub jest wprost dozwolona przepisami prawa lub opiera się o wyraźną zgodę odwołującej osoby.
-
Postanowienia § 10 ust. 2-4 Polityki stosuje się odpowiednio.
§ 12.
Żądanie wydania kopii danych osobowych
Na wniosek o wydanie kopii danych osobowych IOD w porozumieniu z Kierownikiem przekazuje kopię tych danych. Informację o wydaniu pierwszej kopii danych Kierownik odnotowuje w aktach dotyczących tego wniosku, z kopią do IOD.
13.
Żądanie sprostowania danych osobowych
-
Na wniosek o sprostowanie danych złożony przez osobę, której dane są przetwarzane Kierownik w porozumieniu z IOD dokonuje sprostowania nieprawidłowych danych tej osoby.
-
TNT ma prawo odmówić sprostowania danych, chyba że osoba, o której mowa w ust. 1, wykaże nieprawidłowości danych, których sprostowania się domaga.
§ 14.
Żądanie uzupełnienia danych osobowych
-
Na wniosek o uzupełnienie danych osobowych Kierownik w porozumieniu z IOD uzupełnia i aktualizuje dane zgodnie z wnioskiem osoby.
-
TNT ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. TNT nie musi przetwarzać danych, które są TNT zbędne).
-
Kierownik może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez TNT procedur (np. co do pozyskiwania takich danych), prawa lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
§ 15.
Żądanie usunięcia danych osobowych (“prawo do bycia zapomnianym”)
-
Na wniosek o usunięcie danych Kierownik w porozumieniu z IOD usuwa dane, gdy:
-
nie są już niezbędne do realizacji celów, w których zostały zebrane;
-
nie są przetwarzane w innych celach;
-
zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania;
-
osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych;
-
dane były przetwarzane niezgodnie z prawem;
-
konieczność usunięcia wynika z obowiązku prawnego;
-
żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil dziecka na portalu społecznościowym, udział w konkursie na stronie internetowej).
-
Jeżeli dane podlegające usunięciu zostały upublicznione przez TNT, IOD podejmuje działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
§ 16.
Żądanie ograniczenia przetwarzania danych osobowych
-
Na wniosek o ograniczenie przetwarzania Kierownik w porozumieniu z IOD dokonuje ograniczenia przetwarzania danych w przypadku, gdy:
-
osoba, której dane są przetwarzane kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość;
-
przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
-
TNT nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
-
osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie TNT zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
-
W trakcie ograniczenia przetwarzania Kierownik przechowuje dane, natomiast ich nie przetwarza (tzn. nie wykorzystuje, nie przekazuje itp.), bez zgody osoby, której dane dotyczą. Kierownik może te dane przetwarzać jedynie w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.
§ 17.
Żądanie przeniesienia danych osobowych
-
Na wniosek o przeniesienie danych Kierownik w porozumieniu z IOD wydaje te dane innemu podmiotowi, przetwarzane w TNT na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej
-
Dane te wydawane są w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
§ 18.
Informowanie o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych
-
Kierownik w porozumieniu z IOD informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernych do sprawy działań.
-
Kierownik w porozumieniu z IOD informuje osobę, której dane dotyczą o odbiorcach którym przekazał dane wskazane w zdaniu pierwszym – na wniosek tej osoby.
§ 19.
Przechowywanie dokumentacji
Dokumentacja dotycząca wniosków, o których mowa w § 9 – § 18 przechowywana jest przez właściwą komórkę organizacyjną i IOD.
III. Inspektor Ochrony Danych
§ 20.
Prawa i obowiązki IOD
-
Powołanie IOD i informacje ogólne:
-
IOD wykonuje swoje obowiązki w sposób należyty, zapewniając niezbędny poziom wiedzy fachowej, w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe. z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
-
IOD podlega bezpośrednio Administratorowi.
-
IOD jest wyznaczany na podstawie kwalifikacji zawodowych a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań wynikających z Przepisów o chronię danych osobowych.
-
Każdorazowe wyznaczenie lub odwołanie IOD w TNT lub zmiana na stanowisku IOD wymaga powiadomienia Organu nadzorczego, w terminie 14 dni od dnia wyznaczenia, odwołania lub zmiany, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu IOD.
-
Dane kontaktowe IOD publikuje się na stronie TNT.
-
Za zawiadomienie, o którym mowa powyżej odpowiedzialny jest Administrator.
-
Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
-
Administrator zapewnia zasoby niezbędne do wykonania zadań IOD oraz utrzymania jego wiedzy fachowej, a także zapewnia dostęp do danych osobowych i operacji przetwarzania, a także zapewnia, że IOD jest właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych w TNT.
-
IOD bezpośrednio lub w porozumieniu z Kierownikami obsługuje wszystkie sprawy związane z przetwarzaniem danych osobowych oraz wykonywaniem praw odnośnie tych danych.
-
IOD jest zobowiązany do zachowania tajemnicy i poufności co do wykonywania swoich zadań.
-
W doborze i stosowaniu środków ochrony danych osobowych w TNT, IOD zwraca szczególną uwagę na ich należyte zabezpieczenie przed udostępnieniem osobom nieuprawnionym, kradzieżą, uszkodzeniem lub nieuprawnioną modyfikacją.
-
Obowiązki i zadania IOD:
-
nadzór merytoryczny nad przestrzeganiem Przepisów o ochronie danych osobowych;
-
informowanie Administratora, podmiotu przetwarzającego oraz Pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich w zakresie Przepisów o ochronie danych osobowych, każdorazowych zmianach w obrębie tych obowiązków oraz doradztwo w zakresie ochrony i przetwarzania danych osobowych;
-
monitorowanie przestrzegania Przepisów o ochronie danych osobowych oraz polityk Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych,
-
podział obowiązków oraz prowadzenie działań zwiększających świadomość, szkoleń Pracowników;
-
bieżące prowadzenie działań audytowych w komórkach organizacyjnych TNT oraz wskazywanie obszarów wymagających poprawy i monitorowanie podjętych działań naprawczych;
-
ocenianie, we współpracy z Kierownikami, skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania danych – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
-
ocena skutków dla ochrony danych, o której mowa w pkt 5) dokonywana jest zgodnie z art. 35 RODO;
-
współpraca z Organem nadzorczym, w tym pełnienie funkcji punktu kontaktowego dla Organu nadzorczego, w kwestiach związanych z przetwarzaniem danych osobowych,
-
prowadzenie konsultacji z Organem nadzorczym przed rozpoczęciem przetwarzania danych osobowych, w przypadku zidentyfikowania wysokiego ryzyka skutków dla ochrony danych osobowych, o którym mowa w art. 36 RODO,
-
udostępnianie, w porozumieniu z Administratorem wymaganej dokumentacji, wstępu do pomieszczeń itp. wymaganych podczas kontroli Organu nadzorczego;
-
rejestrowanie kontroli, o której mowa w pkt 7), w tym przechowywanie protokołów pokontrolnych, realizacja zaleceń pokontrolnych lub składanie, w porozumieniu z Administratorem, pisemnych zastrzeżeń co do treści protokołu, w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu;
-
opracowywanie i aktualizowanie Polityki, we współpracy z komórkami organizacyjnymi TNT;
-
dokonywanie okresowego przeglądu ustanowionych użytkowników systemów i aktualizacja uprawnień użytkowników nie rzadziej niż raz na rok.
-
nadzór w imieniu Administratora, nad zgodnym z Przepisami o ochronie danych osobowych, prowadzeniem RCPD;
-
wydawanie, przechowywanie i archiwizacja upoważnień do przetwarzania danych osobowych nadanych za pośrednictwem RCPD;
-
współpraca z Kierownikami, w szczególności przy wnioskach, o których mowa
w § 9- § 18 Polityki; -
zarządzanie postępowania w przypadku naruszenia ochrony danych osobowych, o którym mowa w § 38 Polityki;
-
opiniowanie treści dokumentów i umów, w ramach których przetwarzane są dane osobowe w TNT w tym umów powierzenia i podpowierzenia;
-
zbieranie informacji w celu identyfikacji czynności przetwarzania oraz analizowanie i sprawdzanie zgodność czynności przetwarzania z Przepisami o ochronie danych osobowych;
-
przechowywanie haseł do systemu informatycznego, o których mowa w § 23.
-
opiniowanie, w zależności od kategorii przetwarzanych danych osobowych oraz zagrożeń, poziomu bezpieczeństwa przetwarzanych danych w systemie informatycznym,
-
IOD ma prawo do:
-
rekomendowania i egzekwowania wykonania zadań związanych z ochroną danych osobowych w TNT,
-
wstępu w każdym czasie do pomieszczeń, w których zlokalizowane są zbiory danych osobowych i przeprowadzenia niezbędnych badań i innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z Przepisami o ochronie danych osobowych,
-
żądania złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego,
-
żądania okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli lub sprawdzenia,
-
żądania udostępnienia do kontroli lub sprawdzenia urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.
-
IV. Administratorzy systemu informatycznego
§ 21.
Nadanie uprawnień w systemie informatycznym, zabezpieczenia
-
Najwyższe uprawnienia w systemie informatycznym posiada ASI. Osobami uprawnionymi do instalowania i usuwania oprogramowania systemowego i narzędziowego są również LASI. Dopuszcza się możliwość dokonywania zmian w systemie informatycznym przez inne osoby, wyłącznie pod nadzorem ASI lub LASI. ASI realizuje bezpośrednio obowiązki IOD w wyznaczonym przez IOD obszarze działania.
-
W doborze i stosowaniu środków ochrony danych osobowych przetwarzanych w systemie informatycznym w TNT, ASI/LASI zwraca szczególną uwagę na ich należyte zabezpieczenie przed udostępnieniem osobom nieuprawnionym, kradzieżą, uszkodzeniem lub nieuprawnioną modyfikacją.
§ 22.
Obowiązki ASI i LASI
Do obowiązków ASI oraz LASI należy w szczególności:
-
rejestrowanie i wyrejestrowywanie użytkowników systemu informatycznego na podstawie wniosku złożonego w RCPD przez Kierownika;
-
dokonywanie zmiany uprawnień użytkowników systemu informatycznego na podstawie wniosku, o którym mowa w pkt 1);
-
prowadzenie ewidencji identyfikatorów użytkowników systemu informatycznego;
-
konfigurowanie urządzeń i oprogramowania;
-
aktualizowanie i konfigurowanie oprogramowania antywirusowego;
-
reagowanie na naruszenia bezpieczeństwa i usuwanie skutków tych naruszeń;
-
nadzorowanie właściwego użytkowania oraz serwisowania urządzeń i oprogramowania;
-
dokonują zmian w systemach informatycznych na wniosek złożony w RCPD;
-
wykonywanie kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania w systemie informatycznym;
-
utrzymywanie deklarowanego poziomu bezpieczeństwa systemu informatycznego.
§ 23.
Przechowywanie haseł do systemu informatycznego
-
Obowiązki ASI wykonywane są przez pracownika wyznaczonego przez Administratora. ASI wyznacza LASI i informuje o tym fakcie IOD.
-
Nadzór nad wykonywaniem obowiązków przez ASI oraz LASI wynikających z Polityki i Instrukcji sprawuje Administrator.
-
Hasła do systemu, którymi posługuje się ASI są przechowywane w miejscu zapewniającym adekwatne środki bezpieczeństwa, w zamkniętej i opieczętowanej kopercie przez IOD. W kopercie umieszcza się przede wszystkim hasła do urządzeń znajdujących się na styku sieci publicznej i wewnętrznej, firewalli, aktywnych urządzeń sieciowych oraz hasła administracyjne.
-
Hasła, o których mowa w ust. 3 zmieniane są w każdym przypadku próby łamania hasła, jednak nie rzadziej niż raz na 12 miesięcy, chyba, że nastąpiła zmiana osoby pełniącej obowiązki ASI lub LASI. W tym przypadku hasła zmieniane są niezwłocznie po zmianie obsady kadrowej.
V. Przetwarzanie danych osobowych
§ 24.
Rejestr Czynności Przetwarzania Danych (RCPD)
-
RCPD stanowi formę dokumentowania czynności przetwarzania danych, narzędzie służące do inwentaryzacji i monitorowania sposobu, w jaki wykorzystuje się w TNT dane osobowe, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
-
Nadzór w imieniu Administratora, nad zgodnym z Przepisami o ochronie danych osobowych, prowadzeniem RCPD powierza się IOD.
-
W RCPD, dla każdej odrębnej czynności przetwarzania danych osobowych Kierownik lub Pracownik posiadający upoważnienie do przetwarzania danych osobowych, odnotowuje co najmniej:
-
cel przetwarzania danych osobowych;
-
opis kategorii osób, których dane dotyczą;
-
opis kategorii danych osobowych;
-
opis kategorii odbiorców, którym dane zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;
-
gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
-
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków ochrony danych;
-
jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
-
podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu TNT, jeśli podstawą jest uzasadniony interes;
-
sposób zbierania danych osobowych;
-
W RCPD, dla każdej odrębnej kategorii czynności przetwarzania danych Kierownik lub Pracownik posiadający upoważnienie do przetwarzania danych osobowych, odnotowuje co najmniej:
-
imię i nazwisko lub nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działa TNT;
-
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
-
gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej.
-
jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.
-
Instrukcja obsługi RCPD stanowi Załącznik Nr 1 do Polityki.
-
RCPD prowadzony jest w formie elektronicznej w ramach systemu informatycznego PERS. RCPD udostępniany jest w formie pisemnej na każde żądanie właściwych organów, w postaci wydruku treści danych zawartych w RCPD.
§ 25.
Podstawy przetwarzania
-
Kierownicy dokumentują w RCPD podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania.
-
Kierownik ma obowiązek znać podstawy prawne, na jakich komórka przez niego kierowana dokonuje konkretnych czynności przetwarzania danych osobowych. Jeżeli podstawą jest uzasadniony interes TNT, kierownik komórki organizacyjnej ma obowiązek znać konkretny realizowany przetwarzaniem interes TNT.
-
Wskazując ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne/ władza publiczna, uzasadniony cel TNT) Kierownik dookreśla podstawę w czytelny sposób, gdy jest to potrzebne. Np. dla zgody wskazując na jej zakres, gdy podstawą jest prawo – wskazując na konkretny przepis i inne dokumenty, np. umowę, porozumienie administracyjne, żywotne interesy – wskazując na kategorie zdarzeń, w których się zmaterializują, uzasadniony cel – wskazując na konkretny cel.
-
TNT wdraża metody zarządzania zgodami, zgodnie z § 29 Polityki.
VI. Upoważnienia do przetwarzania danych osobowych, zgody na przetwarzanie danych osobowych
§ 26.
Upoważnienia do przetwarzania danych osobowych
-
Do przetwarzania danych osobowych w TNT mogą być dopuszczeni jedynie Pracownicy posiadający odpowiednie upoważnienie do przetwarzania danych osobowych. Upoważnienie nadawane jest na wniosek Kierownika, za pośrednictwem RCPD przez IOD działającego w imieniu Administratora.
-
Wzór upoważnienia do przetwarzania danych osobowych wraz z informacją o wygaśnięciu oraz o terminie odwołania upoważnienia do przetwarzania danych osobowych określony jest w załączniku nr 2 i do niniejszej Polityki.
-
Informacje o nadanych przez Administratora uprawnieniach do przetwarzania danych osobowych oraz informacje o odwołaniu lub wygaśnięciu uprawnień do przetwarzania danych ewidencjonowane są w RCPD.
-
Dokument upoważnienia do przetwarzania danych osobowych jak również dokument potwierdzający odwołanie lub wygaśnięcie upoważnienia do przetwarzania danych osobowych, po wydrukowaniu z RCPD, jest traktowany jako uwierzytelniona kopia, niewymagająca, dla zachowania formy pisemnej, złożenia podpisów, z wyłączeniem sytuacji gdy złożenie podpisu wymagane jest przepisami prawa powszechnie obowiązującego.
-
Kierownik jest zobowiązany do przekazania IOD informacji o zakończeniu stosunku pracy z Pracownikiem, który posiada upoważnienie do przetwarzania danych osobowych w celu odwołania tego upoważnienia.
-
Każdy Pracownik, przed dopuszczeniem go do przetwarzania danych osobowych w TNT, musi być zapoznany z Przepisami dotyczącymi ochrony danych osobowych. Za zapoznanie Pracownika z Przepisami dotyczącymi ochrony danych osobowych odpowiada IOD, rejestrując fakt przeszkolenia Pracownika.
§ 27.
Zasady doboru i weryfikacji podmiotów przetwarzających dane na rzecz TNT
Zasady doboru i weryfikacji podmiotów przetwarzających dane na rzecz I TNT opracowane w celu zapewnienia że podmioty przetwarzające wdrożyły odpowiednie środki organizacyjne i techniczne dla zapewnienia bezpieczeństwa danych osobowych oraz realizacji praw jednostki, o których mowa w § 7, zostały określone w odrębnych aktach prawa wewnętrznego.
§ 28.
Umowa powierzenia i podpowierzenia przetwarzania danych osobowych
-
Jeżeli do wykonania w imieniu Administratora czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu, umowa podpowierzenia z tym podmiotem zawiera minimalne postanowienia umowy zawartej pomiędzy Administratorem a podmiotem przetwarzającym.
-
Właściwy Kierownik rozlicza podmioty przetwarzające w zakresie zgodnego z Przepisami o ochronie danych osobowych wykonywania umowy powierzenia i podpowierzenia.
-
Wzór umowy powierzenia przetwarzania danych osobowych stanowi Załącznik nr 3 do Polityki
§ 29.
Przetwarzanie danych osobowych na podstawie zgody
-
Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma formę pisemnego, elektronicznego lub ustnego oświadczenia. Czynność ta może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
-
Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.
-
W przypadku konieczności uzyskania zgody od osoby, której dane dotyczą właściwy Kierownik podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą wszelkich informacji, o których mowa w § 7.
-
Poza informacjami, o których mowa w ust. 3, Kierownik poucza osobę, której dane dotyczą, o możliwości cofnięcia zgody w dowolnym momencie oraz o fakcie, że wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
-
Informacje, o których mowa w ust. 3 i 4 Kierownik podaje z wykorzystaniem klauzuli informacyjnej, której wzór stanowi załącznik nr 4.
-
Kierownik musi być w stanie wykazać, w szczególności że osoba, której dane dotyczą:
-
wyraziła zgodę na przetwarzanie danych osobowych w konkretnym celu,
-
wyraziła zgodę na komunikowanie się na odległość (za pośrednictwem e-mail, telefon, sms, itp.)
-
odmówiła udzielenia zgody,
-
cofnęła zgodę.
Kierownik może w tym celu tworzyć rejestry zgód.
-
Informację o wyrażeniu zgody przez osobę, której dane dotyczą Kierownik niezwłocznie przekazuje do IOD.
VII.Bezpieczeństwo
§ 30.
Analizy ryzyka i adekwatności środków bezpieczeństwa
-
W TNT przeprowadzając analizy ryzyka i adekwatności środków bezpieczeństwa danych osobowych:
-
zapewnia się odpowiedni stan wiedzy o bezpieczeństwie informacji, cyberbezpieczeństwie i ciągłości działania;
-
kategoryzuje się dane oraz czynności przetwarzania danych osobowych pod kątem ryzyka, które przedstawiają;
-
przeprowadza się analizy ryzyka naruszenia praw lub wolności osób fizycznych dla czynności przetwarzania danych lub ich kategorii;
-
analizuje się możliwe sytuacje i scenariusze naruszenia ochrony danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
-
ustala się możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania. W tym celu ustala się przydatność i stosuje takie środki i podejście jak:
-
szyfrowanie danych osobowych,
-
pseudonimizacja,
-
minimalizacja,
-
uwzględnianie ochrony danych osobowych w fazie projektowania (przed przetwarzaniem jak i w czasie przetwarzania) oraz domyślna ochrona danych,
-
środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
-
inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
-
W TNT stosuje się środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.
-
W ramach przestrzegania zasad wynikających z ust. 1 pkt 5 lit. c) i d) właściwy Kierownik:
-
są obowiązani przed przetwarzaniem jak i w czasie samego przetwarzania weryfikować zakres pozyskiwanych danych, zakres ich przetwarzania i ilość przetwarzanych danych pod kątem adekwatności do celów przetwarzania, zmiany tego zakresu danych osobowych i ilości;
-
dokonują okresowego – nie rzadziej niż raz na rok – przeglądu ilości przetwarzanych danych i zakresu ich przetwarzania i okresu przetwarzania;
-
dane, których zakres i okres przydatności ulega ograniczeniu wraz z upływem czasu są usuwane z systemów informatycznych I TNT, jak też z akt podręcznych i głównych.
-
-
Właściwy Kierownik w porozumieniu z IOD dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych tam, gdzie zgodnie z analizą ryzyka ryzyko naruszenia praw i wolności osób jest wysokie.
§ 31.
Procedury bezpieczeństwa fizycznego i bezpieczeństwa informacji TNT
-
W TNT stosuje się ograniczenia dostępu do danych osobowych:
-
prawne (zobowiązania do poufności, zakresy upoważnień);
-
fizyczne (strefy dostępu, zamykanie pomieszczeń);
-
logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).
-
W TNT stosuje się kontrolę dostępu fizycznego.
-
IOD na wniosek właściwego Kierownika dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach stanowiskach pracy, oraz zmianach podmiotów przetwarzających.
-
IOD dokonuje okresowego przeglądu ustanowionych użytkowników systemów i aktualizuje ich uprawnienia nie rzadziej niż raz na rok.
§ 32.
Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych
-
Wszyscy Pracownicy oraz osoby spoza TNT mają obowiązek zachowania tajemnicy o przetwarzanych w TNT danych osobowych oraz o stosowanych sposobach zabezpieczeń danych osobowych. Obowiązek zachowania tajemnicy istnieje również po ustaniu zatrudnienia lub współpracy.
-
Użytkownicy, o których mowa w ust. 1 są w szczególności zobowiązani do:
-
bezwzględnego przestrzegania zasad bezpieczeństwa przetwarzania informacji w TNT, określonych w Przepisach o ochronie danych osobowych;
-
przetwarzania danych osobowych tylko w wyznaczonych do tego celu pomieszczeniach służbowych (lub wyznaczonych ich częściach);
-
zabezpieczania zbioru danych osobowych oraz dokumentów zawierających dane osobowe przed dostępem osób nieupoważnionych za pomocą środków określonych w Przepisach o ochronie danych osobowych;
-
niszczenia wszystkich zbędnych nośników zawierających dane osobowe w sposób uniemożliwiający ich odczytanie lub taką ich anonimizację aby niemożliwym stało się zidentyfikowanie na ich podstawie osoby fizycznej;
-
nieudzielania informacji o danych osobowych przetwarzanych w TNT innym podmiotom, chyba że obowiązek taki wynika wprost z przepisów prawa i tylko w sytuacji, gdy przesłanki określone w Przepisach o ochronie danych osobowych zostały spełnione;
-
bezzwłocznego zawiadamiania IOD o wszelkich przypadkach naruszenia bezpieczeństwa danych osobowych w TNT, a także o przypadkach utraty lub kradzieży dokumentów lub innych nośników zawierających te dane osobowe.
§ 33.
Sposoby zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe
-
Wszystkie pomieszczenia, w których przetwarza się dane osobowe należy zamykać na klucz, w przypadku opuszczenia pomieszczenia przez ostatnią osobę upoważnioną do przetwarzania danych osobowych — także w godzinach pracy. Po zakończeniu pracy klucz od pomieszczenia zdawany jest zgodnie z wewnętrznie przyjętymi dla każdej lokalizacji TNT procesami.
-
Dane osobowe gromadzone w wersji papierowej lub na nośnikach informatycznych (typu pamięć zewnętrzna) po zakończeniu pracy należy przechowywać w zamkniętych na klucz meblach biurowych, a tam, gdzie jest to możliwe – w szafach metalowych. Klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych. Nieaktualne lub błędne wydruki zawierające dane osobowe należy niszczyć w niszczarkach.
-
Obiekty TNT, w których zlokalizowane są zbiory danych osobowych, są nadzorowane zgodnie z wewnętrznie przyjętymi dla każdej lokalizacji TNT procesami.
§ 34.
Sposoby zabezpieczenia przed nieautoryzowanym dostępem do baz danych osobowych w TNT
W TNT stosuje się następujące sposoby zabezpieczenia przed nieautoryzowanym dostępem do baz danych osobowych w TNT:
-
podłączenie urządzenia końcowego (komputera, terminalu, drukarki) do sieci informatycznej (komputerowej) TNT dokonywane jest przez ASI lub LASI.
-
udostępnianie użytkownikowi zasobów systemu informatycznego zawierających dane osobowe (programy i baza danych) następuje na podstawie wniosku zgłoszonego za pośrednictwem RCPD;
-
identyfikacja użytkownika w systemie informatycznym poprzez zastosowanie uwierzytelnienia,
-
przydzielanie indywidualnego identyfikatora i hasła każdemu użytkownikowi systemu informatycznego i rejestrowanie przez system czasu logowania użytkownika i rodzaju wprowadzonych przez niego danych,udostępnianie kluczy i uprawnień do wejścia do bazy danych osobowych (serwerowni) tylko pracownikom do tego upoważnionym,
-
stosowanie programu antywirusowego z zaporą antywłamaniową;
-
zabezpieczenie hasłami kont na komputerach oraz używanie kont z ograniczonymi uprawnieniami do ciągłej pracy,
-
ustawienie monitorów stanowisk przetwarzania danych osobowych w sposób uniemożliwiający wgląd w dane osobom nieupoważnionym,
-
automatyczne wygaszanie ekranu i blokowanie nieużywanego komputera po upływie 5 minut;
-
wymuszanie zmiany hasła do systemu informatycznego nie rzadziej niż co 30 dni.
§ 35.
Sposoby zabezpieczenia przed nieautoryzowanym dostępem do baz danych w TNT poprzez Internet
W TNT stosuje się następujące sposoby zabezpieczenia przed nieautoryzowanym dostępem do baz danych w TNT poprzez Internet:
-
logiczne oddzielenie sieci wewnętrznej LAN od sieci zewnętrznej, uniemożliwiające uzyskanie połączenia z bazą danych osobowych spoza systemu informatycznego, jak również uzyskanie dostępu z systemu do sieci rozległej Internet;
-
zastosowanie dwóch poziomów zabezpieczenia sieci:
-
pierwszy poziom ochrony stanowi lokalna brama sieciowa z zainstalowanym systemem typu firewall — z funkcją analizy charakteru ruchu sieciowego uniemożliwiającym nawiązanie połączenia z chronionymi komputerami oraz blokującym ruch o charakterze niepożądanym lub takim, który może zostać uznany za szkodliwy,
-
drugi poziom zabezpieczeń stanowią listy dostępu do serwerów baz danych z określonych adresów i puli adresowej.
-
§ 36.
Sposoby zabezpieczenia przed utratą danych osobowych w wyniku awarii
W TNT stosuje się następujące sposoby zabezpieczenia przed utratą danych osobowych w wyniku awarii:
-
odrębne zasilanie sprzętu komputerowego,
-
ochrona serwerów przed zanikiem zasilania poprzez stosowanie zasilaczy zapasowych UPS,
-
ochrona przed utratą zgromadzonych danych osobowych poprzez cykliczne wykonywanie kopii zapasowych, z których, w przypadku awarii, odtwarzane są dane i system operacyjny,
-
ochrona przed awarią podsystemu dyskowego poprzez używanie macierzy dyskowych,
-
zapewnienie właściwej temperatury i wilgotności powietrza dla pracy sprzętu komputerowego, poprzez zastosowanie przynajmniej jednego klimatyzatora,
-
zastosowanie ochrony przeciwpożarowej poprzez umieszczenie w serwerowniach gaśnic,
-
zwiększenie niezawodności serwerów i urządzeń sieciowych poprzez odpowiednie rozmieszczenie ich w szafach serwerowych.
§ 37.
Organizacyjne sposoby zabezpieczenia ochrony danych osobowych i ich przetwarzania:
-
W TNT stosuje się następujące organizacyjne sposoby zabezpieczenia ochrony danych osobowych i ich przetwarzania:
-
wyznaczenie IOD, ASI oraz LASI;
-
zapoznanie każdej osoby z przepisami dotyczącymi ochrony danych osobowych, przed dopuszczeniem jej do pracy przy ich przetwarzaniu,;
-
przeszkolenie osób w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochroną danych osobowych oraz form zabezpieczenia pomieszczeń i budynków;
-
zobowiązanie osób upoważnionych do przetwarzania danych osobowych do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich przetwarzania;
-
ograniczenie przebywania osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe w warunkach zapewniających bezpieczeństwo tych danych;
-
kontrolowanie pomieszczeń, w których przetwarzane są dane osobowe;
-
prowadzenie ewidencji użytkowników;
-
opracowanie i wdrożenie Polityki i Instrukcji;
-
stosowanie pisemnych umów powierzenia przetwarzania danych osobowych dla współpracy z wykonawcami i podwykonawcami przetwarzającymi dane osobowe;
-
stosowanie upoważnień do przetwarzania danych osobowych.
-
-
Zasady przebywania pracowników i interesantów na terenie obiektów TNT oraz pobieranie i zdawanie kluczy od pomieszczeń służbowych przez pracowników regulują wewnętrzne procesy przyjęte dla każdej lokalizacji TNT.
§ 38.
Postępowanie w przypadku naruszenia ochrony danych osobowych
-
Pracownicy TNT zobowiązani są do niezwłocznego informowania IOD o każdym przypadku naruszenia przestrzegania Przepisów o ochronie danych osobowych, w tym o każdym przetwarzaniu danych osobowych niezgodnie z prawem, udostępnieniu danych osobowych osobie nieuprawnionej do ich przetwarzania oraz o każdej czynności mogącej lub budzącej wątpliwości w zakresie zgodnego z prawem przetwarzania danych osobowych.
-
IOD analizuje każdy zgłoszony przypadek i ocenia go pod kątem zaistnienia naruszenia Przepisów o ochronie danych osobowych;
-
W przypadku potwierdzenia przez IOD, że doszło do naruszenia Przepisów o ochronie danych osobowych, Kierownik obowiązany jest przekazać do IOD komplet informacji związanych ze stwierdzonym naruszeniem, w szczególności:
-
opis naruszenia, jego charakter i czas trwania naruszenia;
-
kategorie danych osobowych, których dotyczyło naruszenie, a nadto w miarę możliwości przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
-
ewentualnie liczbę poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody;
-
umyślny lub nieumyślny charakter naruszenia;
-
działania podjęte przez Kierownika w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
-
wszelkie inne czynniki (obciążające lub łagodzące) mające zastosowanie do okoliczności sprawy, np. osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
-
-
Potwierdzone przez IOD naruszenie ochrony danych, IOD zobowiązany jest zgłosić Organowi nadzorczemu bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeżeli zgłoszenie będzie organowi przekazane później, to konieczne będzie wyjaśnienie przyczyn opóźnienia.
-
Zgłoszenie powinno, co najmniej:
-
opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
-
zawierać imię i nazwisko oraz dane kontaktowe IOD;
-
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
-
opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
-
IOD ma obowiązek dokumentowania wszelkich naruszeń ochrony danych, w tym okoliczności naruszenia, jego skutków i podjętych działań zaradczych. Dokumentacja musi być na tyle szczegółowa, aby na jej podstawie Organ nadzorczy mógł ocenić, czy Administrator wypełnia obowiązki związane ze zgłaszaniem naruszeń.
-
Jeżeli Administrator podejmie decyzję o niezgłaszaniu naruszenia Organowi nadzorczemu ze względu na niskie ryzyko naruszenia praw podmiotów danych, to takie naruszenie ochrony i decyzja powinny być udokumentowane przez IOD.
-
Naruszeń ochrony danych nie trzeba będzie zgłaszać tylko wówczas, gdy jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Przy ocenie prawdopodobieństwa i powagi ryzyka należy uwzględnić przede wszystkim rodzaj i wrażliwość danych osobowych, których dotyczy naruszenie, łatwość w zidentyfikowaniu osób fizycznych, dotkliwość naruszenia dla osób fizycznych, liczbę osób fizycznych dotkniętych naruszeniem, a także szczególne cechy administratora.
-
W przypadkach, jeżeli naruszenie ochrony danych osobowych powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych IOD w porozumieniu z Administratorem bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu.
§ 39.
Kontrola przestrzegania ochrony danych osobowych
-
IOD co najmniej raz w roku przeprowadza kontrolę w zakresie przestrzegania przez Pracowników przetwarzających dane osobowe Przepisów prawa o ochronie danych osobowych.
-
Kontrola dokonywana jest w trybie:
-
kontroli planowej,
-
kontroli doraźnej w przypadku powzięcia informacji o naruszeniu ochrony danych osobowych,
-
-
Kontrola polega w szczególności na sprawdzeniu:
-
czy Pracownicy i inne osoby mające dostęp do danych osobowych przetwarzanych w TNT posiadają odpowiednie upoważnienia do przetwarzania danych osobowych;
-
czy dane osobowe nie zostały udostępnione nieupoważnionym Pracownikom lub osobom spoza TNT;
-
wykonywania obowiązku wprowadzenia wymaganych informacji do RCPD;
-
przestrzegania obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane w TNT.
-
-
Przed rozpoczęciem okresu objętego kontrolą planową IOD informuje o tym fakcie Administratora i Kierownika.
-
Po zakończeniu kontroli IOD przygotowuje sprawozdanie pokontrolne i przekazuje je Kierownikowi i Administratorowi.
-
IOD raz w roku przygotowuje, w oparciu o wyniki wszystkich kontroli, sprawozdanie roczne stanu funkcjonowania systemu ochrony danych osobowych w TNT i przekazuje je Administratorowi na koniec I kwartału każdego następującego po kontroli roku.
VIII.Odpowiedzialność karna i dyscyplinarna i postanowienia końcowe
§ 40.
Odpowiedzialność karna i dyscyplinarna
-
Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi wynikającymi z Przepisów o ochronie danych osobowych oraz w przepisach kodeksu karnego.
-
Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony danych osobowych obowiązujących w TNT może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych skutkować odpowiedzialnością dyscyplinarną.
§ 41.
Postanowienia końcowe
-
Do spraw nieuregulowanych w Polityce stosuje się przepisy RODO i UODO.
-
Polityka nie wyłącza stosowania innych dokumentów dotyczących zabezpieczenia danych osobowych.