Polityka Ochrony Danych Osobowych

Centrum Kultury i Czytelnictwa w Walcach

Spis treści

 

1. Postanowienia wstępne................................................................................................... 4
2. Deklaracja administratora................................................................................................ 4
3. Najważniejsze wymagania prawne dotyczące ochrony danych osobowych........................ 4
4. Najważniejsze wymagania regulacyjne dotyczące ochrony danych osobowych.................. 5
5. Inspektor ochrony danych................................................................................................ 5
6. Zasady przetwarzania danych osobowych......................................................................... 6
7. Warunki prawne przetwarzania danych osobowych.......................................................... 7
8. Przetwarzanie danych osobowych.................................................................................. 10
9. Szkolenie personelu w zakresie ochrony danych osobowych............................................ 12
10. Przebywanie w obszarze przetwarzania danych osobowych........................................... 13
11. Prawa osób, których dane dotyczą................................................................................ 13
12. Informowanie osób, których dane dotyczą, o przetwarzaniu ich danych osobowych....... 14
13. Zbiory danych osobowych............................................................................................ 14
14. Rejestrowanie czynności przetwarzania........................................................................ 15
15. Ujawnianie danych osobowych..................................................................................... 15
16. Usuwanie i niszczenie danych osobowych..................................................................... 16
17. Ochrona danych osobowych w fazie projektowania i realizacji przetwarzania (Privacy by design)  16
18. Domyślna ochrona danych osobowych (Privacy by default)........................................... 17
19. Zabezpieczenia – środki organizacyjne i techniczne....................................................... 17
20. Ocena skutków przetwarzania dla ochrony danych osobowych i jej uprzednie konsultacje

z organem nadzorczym....................................................................................................... 20

21. Naruszenie ochrony danych osobowych........................................................................ 22
22. Zarządzanie ryzykiem w ochronie danych osobowych.................................................... 24
23. Ciągłość działania......................................................................................................... 31
    1. Plan ciągłości działania dla urządzeń komputerowych i informatycznych nośników

danych.............................................................................................................................. 33

1. 2. Plan ciągłości działania dla oprogramowania komputerowego.................................... 34
   3. Plan ciągłości działania dla sieci i urządzeń sieciowych................................................ 35
   4. Plan ciągłości działania dla personelu........................................................................ 36
   5. Plan ciągłości działania dla siedziby i innych lokalizacji przetwarzania danych osobowych

......................................................................................................................................... 36

23. 6. Plan ciągłości działania dla dokumentacji w postaci papierowej.................................. 37
24. Zarządzanie systemami informatycznymi...................................................................... 38
    1. Administrator systemów informatycznych................................................................. 38
    2. Minimalne  wymagania  dla  systemów  informatycznych  wykorzystywanych  do

przetwarzania danych osobowych...................................................................................... 39

1. 3. Zabezpieczenia przed szkodliwym oprogramowaniem................................................ 39
   4. Kopie zapasowe informacji........................................................................................ 40
   5. Zarządzanie uprawnieniami do przetwarzania danych osobowych w systemach

informatycznych................................................................................................................ 41

24. 6. Zasady tworzenia i postępowania z hasłami............................................................... 41
    7. Praca w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych             42
    8. Ochrona kryptograficzna (szyfrowanie) danych osobowych........................................ 43
    9. Zasady korzystania z poczty elektronicznej................................................................. 45
    10. Zasady korzystania z Internetu................................................................................. 46
    11. Zasady stosowania urządzeń mobilnych................................................................... 47
25. Czynności zabronione.................................................................................................. 48
26. Terminy stosowane w Polityce Ochrony Danych Osobowych......................................... 49

 

1. Postanowienia wstępne
   1. Polityka Ochrony Danych Osobowych określa zasady przetwarzania i ochrony danych

osobowych wdrożone przez administratora.

1. 2. Niniejsza Polityka Ochrony Danych Osobowych została ustanowiona i wdrożona oraz jest stosowana (eksploatowana), monitorowana, przeglądana, utrzymywana i doskonalona, aby przetwarzanie danych osobowych przez administratora i osoby upoważnione do przetwarzania danych osobowych, odbywało się zgodnie z wymaganiami prawymi, regulacyjnymi i umownymi i aby móc to wykazać.
   3. Polityka Ochrony Danych Osobowych ma zastosowanie dla wszystkich czynności przetwarzania danych osobowych realizowanych przez administratora i osoby upoważnione do przetwarzania danych osobowych.
   4. Adekwatne wymagania prawne, regulacyjne i umowne dotyczące przetwarzania i ochrony danych osobowych są wiążące i obowiązkowe do stosowania przez administratora i przez wszystkie osoby upoważnione do przetwarzania danych osobowych.
2. Deklaracja administratora
   1. Administrator deklaruje pełne zaangażowanie w realizację wszelkich działań zmierzających do osiągnięcia i utrzymania możliwie najwyższego poziomu ochrony danych osobowych.
   2. Administrator zobowiązuje się:
      1. inicjować, organizować i nadzorować działania na rzecz ochrony danych osobowych,
      2. stale utrzymywać i doskonalić środki techniczne i organizacyjne, w tym niniejszą Politykę Ochrony Danych Osobowych, dla zapewnienia wystarczającej i efektywnej ochrony przetwarzanych danych osobowych, zgodnej z wymaganiami prawnymi, regulacyjnymi i umownymi,
      3. zapewnić wsparcie kierownicze dla uzyskania i utrzymania prawidłowej współpracy i komunikacji personelu, zgodnie z wdrożonym, monitorowanym i stale doskonalonym podziałem ról i odpowiedzialności, warunkującym prawidłową ochronę przetwarzanych danych osobowych,
      4. przeprowadzać wewnętrzne oraz finansować zewnętrzne szkolenia, warsztaty i inne formy kształcenia dla budowania świadomości, aktualizacji i doskonalenia wiedzy personelu w zakresie ochrony danych osobowych, w szczególności osób bezpośrednio zaangażowanych w działania związane z ochroną danych osobowych,
      5. zapewnić zasoby finansowe, osobowe i sprzętowe niezbędne dla utrzymania oraz

doskonalenia ochrony danych osobowych.

 

3. Najważniejsze    wymagania    prawne    dotyczące    ochrony    danych

osobowych

1. 1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
   2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

1. 3. Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
   4. Najważniejsze wymagania regulacyjne dotyczące ochrony danych

osobowych

1. Polska Norma PN-EN ISO/IEC 27001:2023 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania.
2. Polska Norma PN-EN ISO/IEC 27002:2023 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Zabezpieczanie informacji.
3. Polska Norma PN-EN ISO/IEC 27701:2021 Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o ochronie prywatności – Wymagania i wytyczne.
4. Polska Norma PN-ISO 31000:2018 Zarządzanie ryzykiem – Wytyczne.
5. Polska Norma PN-EN ISO/IEC 27005:2025 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Wytyczne do zarządzania ryzykami w bezpieczeństwie informacji.
   5. Inspektor ochrony danych

1. Administrator wyznaczył inspektora ochrony danych na podstawie jego kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia o ochronie danych osobowych (RODO):
   1. informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych i doradzanie im w tym zakresie,
   2. monitorowanie przestrzegania przepisów o ochronie danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
   3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz

monitorowanie jej wykonania,

1. 4. współpraca z organem nadzorczym,
   5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
2. Inspektor ochrony danych wyłącznie i bezpośrednio podlega administratorowi.
3. Administrator zapewnia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
4. Administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w punkcie 1., zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

5. Administrator zapewnia, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania zadań, o których mowa w punkcie 1. Nie jest on odwoływany ani karany za wypełnianie swoich zadań.
6. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich  sprawach  związanych  z  przetwarzaniem  ich  danych  osobowych  oraz z wykonywaniem praw przysługujących im na mocy przepisów o ochronie danych osobowych.
7. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do

wykonywania swoich zadań.

8. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator zapewnia, by takie zadania i obowiązki nie powodowały konfliktu interesów.
   6. Zasady przetwarzania danych osobowych
9. Administrator zapewnia, a przetwarzający dane osobowe personel zobowiązany jest do

tego, że dane osobowe są:

1. 1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane

dotyczą („zgodność z prawem, rzetelność i przejrzystość”),

9. 2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami – dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”),
   3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
   4. prawidłowe i w razie potrzeby uaktualniane, a nieprawidłowe w świetle celów ich przetwarzania, są niezwłocznie usuwane lub prostowane („prawidłowość”),
   5. przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane – dane osobowe mogą być przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych („ograniczenie przechowywania”),
   6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych („integralność i poufność”).
10. Na dowód stosowania zasad, określonych w punkcie 1, administrator:
    1. oraz personel upoważniony do przetwarzania danych osobowych, przetwarzają dane osobowe zgodnie z wymaganiami prawnymi i regulacyjnymi mającymi zastosowanie w ochronie danych osobowych,
    2. ustanowił, wdrożył, stosuje (eksploatuje), monitoruje, przegląda, utrzymuje i doskonali

niniejszą Politykę Ochrony Danych Osobowych,

1. 3. wyznaczył inspektora ochrony danych i udostępnił jego dane na swojej stronie internetowej i w sposób przyjęty w miejscu prowadzenia działalności,
   4. powołał administratora systemów informatycznych,

1. 5. realizuje obowiązek informacyjny udostępniając osobom, których dane dotyczą,

informacje o przetwarzaniu danych osobowych,

1. 6. gdy ma to zastosowanie, gromadzi zgody na przetwarzanie danych osobowych oraz

umożliwia ich wycofywanie,

1. 7. gdy ma to zastosowanie, zawiera i realizuje z podmiotami przetwarzającymi umowy przetwarzania danych osobowych w imieniu administratora lub istotne postanowienia tych umów wprowadza do innych instrumentów prawnych,
   8. przetwarza dane osobowe wyłącznie z udziałem świadomego i przeszkolonego personelu, którego role i odpowiedzialność są określone i przypisane, i który został upoważniony do przetwarzania danych osobowych,
   9. prowadzi rejestr zbiorów danych osobowych,
   10. inwentaryzuje, ewidencjonuje i przydziela personelowi odpowiednio urządzenia i oprogramowanie komputerowe, informatyczne nośniki danych oraz inny sprzęt i wyposażenie wykorzystywane do przetwarzania danych osobowych,
   11. identyfikuje i utrzymuje ewidencję obszaru przetwarzania danych osobowych stanowiącą zestawienie fizycznych lokalizacji, tj. budynków i pomieszczeń, w których dane osobowe są przetwarzane,
   12. zarządza dostępem do systemów informatycznych określając jego zakres we wnioskach o nadanie, zmianę lub odebranie dostępu do systemów informatycznych,
   13. prowadzi rejestr czynności przetwarzania danych osobowych, a gdy ma to zastosowanie, w odniesieniu do przetwarzania realizowanego jako podmiot przetwarzający, również rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora,
   14. zarządza ryzykiem w ochronie danych osobowych poprzez szacowanie i postępowanie z ryzykiem w ochronie danych osobowych, dokumentowane raportami z szacowania i postępowania z ryzykiem w  ochronie danych osobowych oraz sporządza, w uzasadnionych przypadkach, raporty z oceny skutków przetwarzania dla ochrony danych osobowych,
   15. zarządza   zidentyfikowanymi   naruszeniami   ochrony   danych   osobowych i niezgodnościami oraz realizuje działania naprawcze, korygujące i doskonalące dokumentując je zapisami w rejestrze naruszeń ochrony danych osobowych, niezgodności, działań naprawczych, korygujących i doskonalących, a gdy ma to zastosowanie, dokonuje zgłoszeń naruszeń ochrony danych osobowych do organu nadzorczego, tj. do Prezesa Urzędu Ochrony Danych Osobowych oraz zawiadamia osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych.

1. 7. Warunki prawne przetwarzania danych osobowych
1. Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
   1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych

w jednym lub większej liczbie określonych celów,

1. 2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,

1. 3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na

administratorze,

1. 4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
   5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
   6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem –przedmiotowy warunek umożliwiający przetwarzanie danych osobowych nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań, a w pozostałych przypadkach wymaga uprzedniego przeprowadzania przez administratora testu równowagi.
2. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, chyba że spełniony jest co najmniej jeden z poniższych warunków:
   1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych

osobowych w jednym lub kilku konkretnych celach,

1. 2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem,
   3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
   4. przetwarzania  dokonuje  się  w  ramach  uprawnionej  działalności  prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz, że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,
   5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
   6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
   7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie przepisów prawa, które są proporcjonalne do wyznaczonego celu, nie

naruszają  istoty  prawa  do  ochrony  danych  i  przewidują  odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą,

2. 8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie przepisów prawa lub zgodnie z umową z pracownikiem służby zdrowia, jeżeli dane są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy przepisów prawa lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy przepisów prawa,
   9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, na podstawie przepisów prawa, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową,
   10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie przepisów prawa, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
3. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła na to zgodę.
4. Zgody mogą być wyrażane:
   1. jako wyraźne działanie potwierdzające dokonanie określonych czynności, w tym

polegające na dokonaniu wyboru pola zgody w formularzach elektronicznych,

4. 2. jako pisemne, w tym elektroniczne, oświadczenie, poprzez złożenie podpisu odręcznego osoby wyrażającej zgodę w treści dokumentu pisemnego albo poprzez złożenie podpisu elektronicznego, zaawansowanego podpisu elektronicznego lub podpisu kwalifikowane osoby wyrażającej zgodę w dokumencie elektronicznym.
5. Jeżeli osoba, której dane dotyczą, wyrazi zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
6. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych, co nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie tej zgody na przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana zanim wyrazi zgodę na przetwarzanie danych osobowych. Wycofanie zgody na przetwarzanie danych osobowych musi być równie łatwe jak jej wyrażenie i gdy tylko jest to możliwe, powinno zostać utrwalane w formie pisemnej lub w formie elektronicznej. Pisemne wycofanie zgody na przetwarzanie danych osobowych może zostać utrwalone w postaci odpowiedniego zapisu zamieszczonego bezpośrednio na uprzednio wyrażonej zgodzie lub stanowić odrębne oświadczenie osoby, której dane dotyczą.
7. Zgoda na przetwarzanie danych osobowych może być wyrażona wyłącznie dobrowolnie i od jej wyrażenia nie może być uzależnione wykonanie umowy, w tym świadczenie usługi

czy wypełnienie obowiązku prawnego ciążącego na administratorze, jeśli przetwarzanie danych osobowych na podstawie zgody nie jest do tego niezbędne.

8. Dla zachowania zgodności z prawem, a przez to ważności, zgoda na przetwarzanie danych osobowych wyrażana w formie oświadczenia musi zawierać:
   1. imię i nazwisko osoby wyrażającej zgodę oraz imię i nazwisko osoby, której dane dotyczą, jeśli nie jest to ta sama osoba,
   2. kategorie danych, których zgoda na przetwarzanie danych osobowych dotyczy, albo odniesienie do dokumentu, którego treść zawiera dane osobowe, których zgoda dotyczy,
   3. nazwę i siedzibę administratora, któremu zgoda jest udzielana, a gdy ma to zastosowanie również wszystkich współadministratorów oraz ich przedstawicieli,
   4. cel lub cele przetwarzania danych osobowych, których dotyczy zgoda na przetwarzanie danych osobowych,
   5. zapis, że osoba, której dane dotyczą, została poinformowana przez administratora przed wyrażeniem zgody, że ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych, że nie wpłynie to na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem, i że ewentualne wycofanie zgody na przetwarzanie danych osobowych będzie równie łatwe jak jej wyrażenie,
   6. datę, a w uzasadnionych przypadkach również godzinę, wyrażenia zgody i podpis osoby

wyrażającej zgodę na przetwarzanie danych osobowych.

9. Za zbieranie i przechowywanie zgód na przetwarzanie danych osobowych oraz dokumentów dotyczących ich wycofania odpowiada administrator oraz osoby i podmioty upoważnione przez administratora lub przez podmioty przetwarzające, właściwie do zakresu realizowanego przetwarzania wynikającego z upoważnień do przetwarzania danych osobowych albo z umów przetwarzania danych osobowych w imieniu administratora, czy innych mających zastosowanie instrumentów prawnych.
   8. Przetwarzanie danych osobowych

1. Przetwarzanie danych osobowych może być realizowane przez:

1. osoby fizyczne lub podmioty na podstawie wymagań określonych w przepisach prawa,
2. osoby fizyczne na polecenie i z upoważnienia do przetwarzania danych osobowych administratora,
3. osoby fizyczne na polecenie administratora i z upoważnienia do przetwarzania danych osobowych podmiotu przetwarzającego,
4. podmioty przetwarzające na polecenie administratora na podstawie umów przetwarzania danych osobowych w imieniu administratora lub zapisów właściwych dla tych umów wprowadzonych do innych instrumentów prawnych.

2. Personel zatrudniany na podstawie umów o pracę oraz umów cywilnoprawnych zobowiązany jest przetwarzać dane osobowe, wyłącznie zgodnie z mającymi zastosowanie wymaganiami prawnymi, regulacyjnymi oraz umownymi.
3. Administrator lub osoba zajmująca się sprawami kadrowymi, w odniesieniu do osób, które mają być upoważnione do przetwarzania danych osobowych:

1. zapoznaje te osoby z wymaganiami prawnymi i regulacyjnymi dotyczącymi ochrony danych osobowych, w tym z zapisami niniejszej Polityki Ochrony Danych Osobowych lub kieruje je w tym celu do inspektora ochrony danych,
2. odbiera od tych osób oświadczenia o przestrzeganiu wymagań dotyczących ochrony danych osobowych i dołącza te oświadczenia do dokumentacji ochrony danych osobowych,
3. sporządza dla tych osób upoważnienia do przetwarzania danych osobowych, na podstawie danych przekazanych przez właściwych kierujących jednostkami (komórkami) organizacyjnymi, odpowiednio przez zarządzających projektami, gdy ma to zastosowanie,
4. utrzymuje ewidencję upoważnień do przetwarzania danych osobowych, wprowadzając do niej na bieżąco dane z upoważnień do przetwarzania danych osobowych.

4. Każde upoważnienie do przetwarzania danych osobowych sporządza się co najmniej w dwóch egzemplarzach. Jeden dla osoby upoważnionej i drugi w celu dołączenia go do dokumentacji ochrony danych osobowych.
5. Administrator lub osoba zajmująca się sprawami kadrowymi albo kierujący właściwą jednostką (komórką) organizacyjną, odpowiednio zarządzający projektem, sporządza i przekazuje administratorowi systemów informatycznych wniosek o nadanie, zmianę lub odebranie dostępu do systemów informatycznych dla każdej osoby upoważnionej do przetwarzania danych osobowych, która ma przetwarzać dane osobowe w systemach informatycznych.
6. Na podstawie wniosku o nadanie, zmianę lub odebranie dostępu do systemów informatycznych administrator systemów informatycznych nadaje osobie upoważnionej do przetwarzania danych osobowych odpowiednie identyfikatory użytkownika oraz indywidualne informacje uwierzytelniające, umożliwiające dostęp do określonych systemów informatycznych.
7. Zmiana zakresu obowiązków skutkująca zmianą zakresu przetwarzania danych osobowych, powodująca dezaktualizację jakichkolwiek informacji zawartych w wydanym upoważnieniu do przetwarzania danych osobowych lub we wniosku o nadanie, zmianę lub odebranie dostępu do systemów informatycznych, wymaga wydania nowego, zaktualizowanego upoważnieniu do przetwarzania danych osobowych i / lub sporządzenia nowego wniosku o nadanie, zmianę lub odebranie dostępu do systemów informatycznych, z zachowaniem postępowania określonego w punktach 3-6.
8. Każde nowe upoważnienie do przetwarzania danych osobowych zastępuje dotychczasowe. Nieaktualne upoważnienia do przetwarzania danych osobowych przechowywane są przez administratora lub przez osobę zajmującą się sprawami kadrowymi, wraz z inną dokumentacją ochrony danych osobowych.
9. W każdym przypadku zakończenia przetwarzania danych osobowych, w ostatnim dniu

przetwarzania danych osobowych:

1. administrator lub osoba zajmująca się sprawami kadrowymi albo kierujący właściwą jednostką (komórką) organizacyjną, odpowiednio zarządzający projektem, sporządza i przekazuje administratorowi systemów informatycznych wniosek o nadanie, zmianę lub odebranie dostępu do systemów informatycznych, jeśli osoba, która dotąd posiadała

upoważnienie do przetwarzania danych osobowych przetwarzała dane osobowe w systemach informatycznych,

2. na podstawie wniosku o nadanie, zmianę lub odebranie dostępu do systemów informatycznych, administrator systemów informatycznych odbiera osobie dotąd upoważnionej do przetwarzania danych osobowych uprawnienia umożliwiające jej dostęp do systemów informatycznych,
3. osoba zajmująca się sprawami kadrowymi dokonuje adnotacji o dacie wygaśnięcia upoważnienia do przetwarzania danych osobowych w ewidencji upoważnień do przetwarzania danych osobowych.

10. Każda osoba, której zatrudnienie ustało, zwraca posiadane przez nią służbowe dane osobowe do administratora, kierującego właściwą jednostką (komórką) organizacyjną, odpowiednio do właściwego zarządzającego projektem i pozostaje bezterminowo związana wymaganiami określonymi w oświadczeniu o przestrzeganiu wymagań dotyczących ochrony danych osobowych.
11. Umowy przetwarzania danych osobowych w imieniu administratora lub zapisy właściwe dla tych umów w innych instrumentach prawnych, opracowuje administrator lub personel, którego zakres realizowanych obowiązków służbowych odpowiada zakresowi przetwarzania, które ma być realizowane przez podmioty przetwarzające.
12. Powierzenie przetwarzania danych osobowych w każdym przypadku uwarunkowane jest przeprowadzeniem uprzedniej weryfikacji stanu zarządzania ochroną danych osobowych przez podmiot przetwarzający.
13. Weryfikacja, o której mowa w punkcie 12., realizowana jest przez administratora oraz przez inspektora ochrony danych i stanowi podstawę decyzji administratora o podjęciu lub nie współpracy z podmiotem przetwarzającym.
14. Umowy przetwarzania danych osobowych w imieniu administratora lub zapisy właściwe dla tych umów w innych instrumentach prawnych, przed zatwierdzeniem przez administratora, podlegają opiniowaniu przez inspektora ochrony danych.
15. Umowy przetwarzania danych osobowych w imieniu administratora oraz inne instrumenty prawne zawierające zapisy właściwe dla tych umów, a także umowy w związku z którymi umowy przetwarzania danych osobowych w imieniu administratora, czy inne instrumenty prawne zawierające zapisy właściwe dla tych umów zostały zawarte, podlegają ewidencjonowaniu w rejestrze umów przetwarzania danych osobowych w imieniu administratora.
16. Rejestr umów przetwarzania danych osobowych w imieniu administratora prowadzony jest

w formie elektronicznej przez osobę wyznaczoną przez administratora.

 

1. 9. Szkolenie personelu w zakresie ochrony danych osobowych
1. Każda osoba, która ma być upoważniona do przetwarzania danych osobowych, musi najpierw zostać zapoznana z wymaganiami prawnymi i regulacyjnymi dotyczącymi ochrony danych osobowych. Obowiązek ten realizowany jest poprzez szkolenia, które przeprowadza administrator, inspektor ochrony danych albo upoważnione przez administratora osoby albo podmioty lub też w ramach samokształcenia.
2. Program szkolenia, o którym mowa w punkcie 1., obejmuje co najmniej zagadnienia:
   1. przepisy prawa i regulacje w zakresie ochrony danych osobowych,

2. 2. odpowiedzialność i obowiązki osób i podmiotów przetwarzających dane osobowe,
   3. dane osobowe i ich przetwarzanie – definicje, cele, czynności i operacje przetwarzania, zasady przetwarzania i zgodność przetwarzania z prawem, dopuszczalność przetwarzania szczególnych kategorii danych osobowych,
   4. zgoda na przetwarzanie danych osobowych – warunki ważności, wyrażenia i wycofania,
   5. obowiązek informacyjny i prawa osób, których dane dotyczą,
   6. bezpieczeństwo przetwarzania danych osobowych – środki techniczne i organizacyjne,
   7. naruszenie ochrony danych osobowych,
   8. kary administracyjne i sankcje karne.
3. Szkolenia dotyczące ochrony danych osobowych realizowane są również okresowo, nie rzadziej niż co 12 miesięcy.

10. Przebywanie w obszarze przetwarzania danych osobowych

W pomieszczeniach stanowiących obszar przetwarzania danych osobowych mogą przebywać:

1. osoby upoważnione do przetwarzania danych osobowych, odpowiednio do realizowanego zakresu przetwarzania – bez nadzoru,
2. osoby dopuszczone do przebywania w obszarze przetwarzania danych osobowych w celu realizacji obowiązków służbowych innych niż przetwarzanie danych osobowych – bez nadzoru,
3. osoby inne niż wymienione w podpunktach 1-2 – wyłącznie pod nadzorem właściwych osób upoważnionych do przetwarzania danych osobowych.

11. Prawa osób, których dane dotyczą

1. Administrator zobowiązany jest respektować prawa osób, których dane osobowe przetwarza i ułatwiać tym osobom wykonanie przysługujących im praw.
2. Osoba, której dane dotyczą, w zakresie i na warunkach określonych przepisami o ochronie

danych osobowych, uprawniona jest do:

1. 1. uzyskania od administratora potwierdzenia, czy przetwarzane są jej dane osobowe, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do informacji właściwych dla obowiązku informacyjnego oraz przysługujących jej prawach w zakresie ochrony danych osobowych,
   2. sprostowania danych,
   3. usunięcia danych (realizacji „prawa do bycia zapomnianym”),
   4. ograniczenia przetwarzania,
   5. przenoszenia danych,
   6. sprzeciwu wobec przetwarzania dotyczących jej danych osobowych,
   7. niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

12. Informowanie osób, których dane dotyczą, o przetwarzaniu ich danych

osobowych

1. W celu realizacji praw osób, których dane dotyczą, administrator niezwłocznie informuje te

osoby o przetwarzaniu ich danych osobowych w jeden z niżej wymienionych sposobów:

1. 1. w czasie pozyskiwania danych osobowych, w formie pisemnej, w tym elektronicznej, jeśli pozyskiwanie danych osobowych następuje w bezpośrednim fizycznym kontakcie z osobą, której dane dotyczą i w miejscu pozyskiwania danych osobowych,
   2. w czasie pozyskiwania danych osobowych, w formie ustnej, z informacją o pozostałych, możliwych formach uzyskania od administratora informacji o przetwarzaniu danych osobowych, tj. w formie pisemnej, w tym elektronicznej, jeśli pozyskiwanie danych osobowych następuje w kontakcie bezpośrednim z osobą, której dane dotyczą, ale na odległość (np. w przypadku kontaktu telefonicznego),
   3. przy pierwszej czynności skierowanej do osoby, której dane dotyczą, w formie pisemnej, w tym elektronicznej, odpowiednio do formy, w jakiej administrator pozyskał dane osobowe, albo zgodnie z żądaniem osoby, której dane dotyczą, jeśli dane osobowe pozyskane zostały bez bezpośredniego kontaktu z osobą, której dane dotyczą (np. w przypadku otrzymania danych osobowych w treści korespondencji).
2. Ponad wymaganie określone w punkcie 1., administrator realizuje obowiązek informacyjny poprzez publikowanie informacji o przetwarzaniu danych osobowych na swoich stronach internetowych oraz w widocznych i dostępnych publicznie fizycznych miejscach w swojej siedzibie i / lub w innych lokalizacjach prowadzenia działalności.
3. Informacje o przetwarzaniu danych osobowych opracowywane są przez administratora lub przez osoby upoważnione do przetwarzania danych osobowych, odpowiednio do realizowanego zakresu przetwarzania, a następnie są opiniowane przez inspektora ochrony danych.

13. Zbiory danych osobowych

1. Dane osobowe przetwarza się w zbiorach danych osobowych.
2. Grupowanie danych osobowych w zbiory danych osobowych wymaga uwzględnienia

wymagań:

1. 1. dane muszą mieć charakter osobowy,
   2. zbiór musi dotyczyć zdefiniowanych kategorii osób, których dane dotyczą,
   3. dostęp do danych musi być możliwy według określonych kryteriów, co najmniej jednego, tzn. musi istnieć sposób czy sposoby, umożliwiające wyszukanie określonych danych osobowych w zbiorze, np. z wykorzystaniem:
      1. celów lub czynności przetwarzania danych osobowych,
      2. zakresu merytorycznego (kryterium rzeczowego),
      3. kategorii przetwarzanych danych osobowych,
      4. układu chronologicznego (kryterium daty),
      5. numeracji porządkowej,
      6. spisu alfabetycznego.

3. Identyfikacji i aktualizacji zbiorów danych osobowych dokonuje administrator przy

współpracy z osobami przetwarzającymi dane osobowe i z inspektorem ochrony danych.

4. Zbiory danych osobowych podlegają wewnętrznej rejestracji, prowadzonej w formie elektronicznej. Przeznaczony do tego rejestr zbiorów danych osobowych utrzymuje inspektor ochrony danych.

14. Rejestrowanie czynności przetwarzania

1. W celu zapewnienia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w szczególności z zasadami i warunkami prawnymi przetwarzania danych osobowych, administrator prowadzi:
   1. rejestr czynności przetwarzania danych osobowych,
   2. rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, jeśli administrator jest jednocześnie podmiotem przetwarzającym.
2. Rejestry, o których mowa w punkcie 1., utrzymywane są w formie elektronicznej przez inspektora ochrony danych i udostępniane na każde żądanie organu nadzorczego.

15. Ujawnianie danych osobowych

1. Ujawnianie danych osobowych realizowane jest:
   1. wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków prawnych przetwarzania danych osobowych, w tym w odniesieniu do szczególnych kategorii danych osobowych, jeśli ujawnienie ma ich dotyczyć,
   2. przez administratora lub upoważnione przez niego osoby i podmioty przetwarzające,
   3. na wniosek odbiorców albo organów publicznych, które prowadzą konkretne postępowania.
2. Wniosek o ujawnienie danych osobowych powinien zawierać co najmniej:
   1. oznaczenie administratora lub podmiotu przetwarzającego, do którego jest kierowany,
   2. oznaczenie wnioskodawcy, tj. odbiorcy (osoby lub podmiotu) albo organu publicznego

prowadzącego konkretne postępowanie,

1. 3. podstawę prawną umożliwiającą ujawnienie danych osobowych,
   4. kategorie danych osobowych, które mają być ujawnione,
   5. przeznaczenie danych osobowych, tj. cel, dla realizacji którego dane osobowe mają być

ujawnione,

2. 6. datę oraz czytelny podpis wnioskodawcy, jeśli wniosek o ujawnienie danych osobowych składany jest w formie papierowej albo kwalifikowany podpis elektroniczny, jeśli wniosek o ujawnienie danych osobowych składany jest w formie elektronicznej.
3. Wniosek o ujawnienie danych osobowych może ponadto zawierać inne informacje istotne

dla wnioskodawcy, jak np. forma lub termin ujawnienia danych osobowych.

4. O ujawnieniu lub o odmowie ujawnienia danych osobowych decyduje administrator lub upoważnione przez niego w tym zakresie osoby albo podmioty przetwarzające.
5. Na wniosek osoby, której dane zostały ujawnione, sporządza się pisemną informację o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych.

16. Usuwanie i niszczenie danych osobowych

1. Usunięcie danych osobowych:
   1. utrwalonych w formie pisemnej, realizowane jest poprzez trwałe uniemożliwienie odczytu tekstu, który stanowi dane osobowe lub przynajmniej tych jego fragmentów, które pozwalałyby na zidentyfikowanie osoby fizycznej, której dane dotyczą, np. poprzez ich zaczernienie,
   2. utrwalonych na informatycznych nośnikach danych, następuje poprzez usunięcie zapisów tych danych z nośników lub taką ich modyfikację, aby odtworzenie danych osobowych nie było już możliwe.
2. Niszczenie danych osobowych:
   1. utrwalonych w formie pisemnej, realizowane jest poprzez fizyczne zniszczenie nośników, na których dane te są zapisane, za pomocą odpowiednich niszczarek dokumentów lub w inny sposób skutecznie uniemożliwiający odzyskanie i ponowne odczytanie danych osobowych,
   2. utrwalonych na informatycznych nośnikach danych, następuje poprzez fizyczne uszkodzenie  lub  zniszczenie  nośników  danych  uniemożliwiające  odtworzenie i ponowne odczytanie danych osobowych.
3. Usuwanie i niszczenie danych osobowych, realizowane jest przez osoby upoważnione do przetwarzania danych osobowych w ramach ich kompetencji lub przez podmioty zewnętrzne wyspecjalizowane w wykonywaniu tego typu usług, na podstawie umów przetwarzania danych osobowych w imieniu administratora lub zapisów właściwych dla tych umów zawartych w innych instrumentach prawnych oraz zgodnie z mającymi zastosowanie wymaganiami prawnymi i regulacyjnymi.

17. Ochrona danych osobowych w fazie projektowania i realizacji przetwarzania (Privacy by design)

1. Uwzględniając stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator, zarówno przy określaniu sposobów planowanego przetwarzania, jak i w czasie wykonywania przetwarzania, ustanawia, a następnie wdraża odpowiednie środki techniczne i organizacyjne zaprojektowane w celu skutecznej realizacji zasad ochrony danych, zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełnić wymogi prawne oraz regulacyjne dotyczące ochrony danych osobowych i w ten sposób chronić prawa osób, których dane dotyczą.
2. Dla spełnienia warunku, o których mowa w punkcie 1., wszelkie projektowane, nowe lub już istniejące ale modyfikowane czynności przetwarzania danych osobowych poddawane są szacowaniu i postępowaniu z ryzykiem w ochronie danych osobowych, w tym ocenie ryzyka naruszenia praw lub wolności osób, których dane dotyczą, a w razie potrzeby poddawane są także ocenie skutków przetwarzania danych osobowych, dokumentowanej raportami

z oceny skutków przetwarzania dla ochrony danych osobowych i uprzednim konsultacjom z organem nadzorczym.

3. Działania, o którym mowa w punkcie 2., realizowane są w celu identyfikacji ryzyka i określania optymalnych sposobów postępowania z nim, w tym zapewniania właściwych zabezpieczeń, tj. środków technicznych i organizacyjnych eliminujących lub minimalizujących prawdopodobieństwo i skutki wystąpienia ryzyka.
4. W fazie projektowania i realizacji przetwarzania danych osobowych czynnie uczestniczą inspektor ochrony danych oraz administrator systemów informatycznych, którzy nadzorują i doradzają w działaniach opisanych w punkcie 2. oraz rekomendują administratorowi możliwe do zastosowania, optymalne środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

18. Domyślna ochrona danych osobowych (Privacy by default)

1. W ramach domyślnej ochrony danych osobowych, ich przetwarzanie realizowane jest zawsze zgodnie z mającymi zastosowanie wymaganiami prawnymi i regulacyjnymi.
2. Dla wszystkich czynności przetwarzania administrator domyślnie ustanawia i wdraża zabezpieczenia, których stosowanie jest obowiązkowe przetwarzających dane osobowe.
3. Ustanawiane są i wdrażane odpowiednio dobrane i adekwatne zabezpieczenia, tj. środki techniczne i organizacyjne dla zapobiegania występowania incydentów naruszenia ochrony danych osobowych, zapewnienia spełnienia zasad przetwarzania danych osobowych oraz zgodność przetwarzania z prawem.
4. W domyślnej ochronie danych osobowych czynnie uczestniczą inspektor ochrony danych oraz administrator systemów informatycznych, którzy doradzają i rekomendują administratorowi wybór optymalnych rozwiązań i zabezpieczeń zapewniających możliwie najlepszą ochronę przetwarzanych danych osobowych.

19. Zabezpieczenia – środki organizacyjne i techniczne

1. Środki organizacyjne:
   1. przetwarzanie danych osobowych zorganizowane jest i realizowane z zachowaniem wymagań prawnych, regulacyjnych i umownych,
   2. wyznaczono inspektora ochrony danych,
   3. powołano administratora systemów informatycznych,
   4. dane osobowe przetwarzane są wyłącznie przez upoważnione do tego osoby, które zaznajomiono z wymogami prawnymi i regulacyjnymi dotyczącymi ochrony danych osobowych,
   5. dane osobowe przetwarzane są wyłącznie przez podmioty przetwarzające, które zapewniają   wystarczające   gwarancje   wdrożenia   środków   technicznych i organizacyjnych tak, aby przetwarzanie spełniało mające zastosowanie wymagania prawne, regulacyjne i umowne,
   6. dokumenty w formie pisemnej oraz cyfrowe nośniki danych zabezpiecza się przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, ujawnieniem lub dostępem, poprzez stosowanie polityki czystego biurka i polityki czystego ekranu oraz wdrożonych środków technicznych,

1. 7. osoby nieuprawnione przebywają w obszarze przetwarzania danych osobowych wyłącznie pod nadzorem właściwych osób upoważnionych do przetwarzania danych osobowych,
   8. pomieszczenia, w których przetwarzane są dane osobowe, zamykane są w czasie

nieobecności w nich osób upoważnionych do przetwarzania danych osobowych,

1. 9. stosuje się pseudonimizację, gdy jest to uzasadnione i możliwe do realizacji,
   10. kopie zapasowe danych osobowych przechowywane są przynajmniej w jednym egzemplarzu w innych lokalizacjach niż te, w których przetwarzane są na bieżąco,
   11. do użytku dopuszczane są wyłącznie autoryzowane przez administratora środki

przetwarzania i informatyczne nośniki danych.

2. Środki techniczne – środki ochrony fizycznej:
   1. wejścia do budynków i pomieszczeń, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych za pomocą zamykanych drzwi, oraz poprzez zastosowanie innych, adekwatnych zabezpieczeń,
   2. okna  pomieszczeń,  w  którym  przetwarza  się  dane  osobowe  są  zamykane, a w uzasadnionych przypadkach, wyposażone są w dodatkowe zabezpieczenia,
   3. w uzasadnionych przypadkach, pomieszczenia w których przetwarzane są dane osobowe chronione są przez stosowanie dodatkowych środków technicznych,
   4. stosowane są zabezpieczenia przeciwpożarowe pomieszczeń, w których przetwarzane są dane osobowe.
3. Środki techniczne – sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
   1. stosuje się sprzętowe rozwiązania techniczne, w celu ochrony systemów informatycznych przed skutkami awarii, w tym zasilania, błędów i ataków intruzów, jak np. awaryjne zasilanie czy redundancja źródeł zasilania, systemy i usługi do wykonywania, testowania i przechowywania kopii zapasowych,
   2. stosuje się sprzętowe środki uniemożliwiające wykonywanie nieautoryzowanych kopii

danych osobowych przetwarzanych w systemach informatycznych,

3. 3. stosuje się sprzętowe zabezpieczenia, w celu ochrony dostępu do sieci komputerowych i systemów informatycznych,
   4. zapewnia się awaryjne rozwiązania telekomunikacyjne lub redundancję w tym zakresie.
4. Środki techniczne – narzędzia programowe i bazy danych:
   1. stosuje się środki umożliwiające rejestrację dostępu i zmian wykonywanych przez użytkowników na danych osobowych przetwarzanych w systemach informatycznych (dat i nazw użytkowników) do systemów informatycznych (dzienniki zdarzeń rejestrujące działania użytkowników, dedykowane oprogramowanie do monitorowania aktywności użytkowników w systemach informatycznych),
   2. stosuje się systemowe środki umożliwiające określenie odpowiednich praw dostępu do systemów  informatycznych  dla  poszczególnych  użytkowników  (w  oparciu o funkcjonalności poszczególnych systemów informatycznych),
   3. dostęp do systemów informatycznych, w których przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia,
   4. stosuje się systemowe mechanizmy wymuszające okresową zmianę haseł dostępowych do systemów informatycznych a tam, gdzie nie jest to możliwe, hasła dostępowe zmieniane są nie rzadziej niż co 90 dni,

4. 5. przy przesyłaniu danych osobowych droga elektroniczna i w innych uzasadnionych przypadkach, stosuje się kryptograficzne środki ochrony danych osobowych przetwarzanych w systemach informatycznych (oprogramowanie do szyfrowania danych),
   6. stosuje się wygaszacze ekranów komputerowych i mechanizmy automatycznej blokady dostępu do systemów informatycznych w przypadku dłuższej nieaktywności użytkownika,
   7. stosuje się systemowe środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych (np. poprzez wyłączenie w systemie operacyjnym portów dostępowych urządzeń komputerowych),
   8. stosuje się programowe środki ochrony przed szkodliwym oprogramowaniem – co najmniej programy antywirusowe,
   9. stosuje się programowe zabezpieczenia, w celu ochrony dostępu do sieci komputerowych i systemów informatycznych – co najmniej zapory sieciowe (firewall).
5. Czyste biurko, to wymagania odnoszące się do:
   1. nośników informacji (dokumentów papierowych i informatycznych nośników danych),
   2. urządzeń komputerowych i oprogramowania wykorzystywanych do przetwarzania informacji,
   3. innego sprzętu i wyposażenia wykorzystywanego do przetwarzania informacji, w tym przechowywania nośników informacji,
   4. lokalizacji i pomieszczeń, w których informacje są przetwarzane.
6. Wymagania czystego biurka polegają na bezwzględnym stosowaniu niżej określonych zasad bezpieczeństwa:
   1. dokumenty papierowe oraz przenośne informatyczne nośniki danych należy przechowywać:
      1. w czasie pracy – w miejscach będących poza zasięgiem osób nieuprawnionych,
      2. po zakończeniu pracy – w zamykanych pomieszczeniach i w przeznaczonych do tego

miejscach (np. w szafach), jeśli tylko jest to możliwe,

1. 2. niepotrzebne informacje, w tym ich nośniki, należy usuwać,
   3. proces uwierzytelniania w dostępie do systemów informatycznych, w których przetwarzane są dane osobowe, może być realizowany wyłącznie w warunkach zapewniających zachowanie tajemnicy sposobów i informacji w tym celu wykorzystywanych,
   4. przerywając pracę, należy zamykać sesje lub blokować urządzenia komputerowe, aby ponowne ich użycie wymagało uwierzytelnienia użytkownika,
   5. wszystkie urządzenia komputerowe i oprogramowanie skonfigurowane są z funkcją limitu czasu lub automatycznego wylogowania po upływie określonego czasu bezczynności użytkownika,
   6. po zakończeniu pracy, urządzenia komputerowe należy przechowywać w zamykanych pomieszczeniach i jeśli jest to możliwe, zamykać przenośne urządzenia komputerowe i zewnętrzne informatyczne nośniki danych w przeznaczonych do tego miejscach (np. w zamykanych szafach),

1. 7. natychmiastowe  odbieranie  przez  inicjatora  wydruków  z  drukarek  i  urządzeń

wielofunkcyjnych,

6. 8. korzystanie z drukarek z funkcją uwierzytelniania, aby tylko inicjatorzy mogli uzyskiwać swoje wydruki i tylko wtedy, gdy są obecni przy ich wydruku,
   9. sposób usytuowania sprzętu i wyposażenia wykorzystywanego do przetwarzania danych osobowych, w tym przechowywania nośników informacji powinien uniemożliwiać dostęp do nich osób nieuprawnionych,
   10. dostęp osób nieuprawnionych do lokalizacji i pomieszczeń, w których przetwarzane są dane osobowe jest możliwy wyłącznie, gdy jest to dopuszczalne i tylko pod nadzorem osób uprawnionych,
   11. uniemożliwianie nieautoryzowanego wykorzystywania urządzeń rejestrujących obraz i dźwięk, w celu zachowania w tajemnicy rodzaju i sposobów stosowania zabezpieczeń oraz w celu zapewnienia poufności przetwarzanych danych osobowych.
7. Czysty ekran, to wymagania dotyczące urządzeń komputerowych wykorzystywanych do przetwarzania danych osobowych, które polegają na:
   1. ustawianiu monitorów urządzeń komputerowych w taki sposób, aby wyświetlane na

nich dane osobowe nie były widoczne dla osób nieuprawnionych,

7. 2. zabezpieczaniu urządzeń komputerowych w czasie przerw w pracy i po jej zakończeniu w taki sposób, aby na monitorach nie były wyświetlane żadne dane osobowe i aby ponowne użycie urządzeń komputerowych wymagało uwierzytelnienia użytkownika (np. poprzez zamykanie sesji, blokowanie lub wyłączanie urządzeń komputerowych),
   3. wyłączaniu powiadomień wyświetlanych na ekranach, np. dotyczących nowych wiadomości e-mail i z komunikatorów internetowych, jeśli to możliwe, podczas udostępniania ekranu innym użytkownikom, np. podczas prezentacji, czy wspólnej pracy na jednym stanowisku komputerowym.
8. Ocenianie skuteczności wdrożonych środków organizacyjnych i technicznych realizowane jest w ramach szacowania i postępowania z ryzykiem w ochronie danych osobowych, dokumentowanego raportami z szacowania i postępowania z ryzykiem w ochronie danych osobowych.
9. Testowanie i mierzenie skuteczności środków organizacyjnych i technicznych wdrożonych dla zapewnienia bezpieczeństwa przetwarzania danych osobowych może być realizowane przez administratora poprzez stosowanie testów socjotechnicznych i penetracyjnych.

20. Ocena skutków przetwarzania dla ochrony danych osobowych i jej

uprzednie konsultacje z organem nadzorczym

1. Jeżeli dany rodzaj operacji przetwarzania – w szczególności z użyciem nowych technologii –ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
2. Dokonując oceny skutków przetwarzania dla ochrony danych osobowych, administrator konsultuje się z inspektorem ochrony danych, w celu uzyskania od niego zaleceń co do oceny skutków przetwarzania dla ochrony danych osobowych.

3. Ocena  skutków  przetwarzania  dla  ochrony  danych  osobowych  jest  wymagana

w przypadku:

3. 1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
   2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych,
   3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
4. Ocena skutków przetwarzania dla ochrony danych osobowych zawiera co najmniej:
   1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie, prawnie uzasadnionych interesów realizowanych przez administratora,
   2. ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
   3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, wykonaną w ramach szacowania i postępowania z ryzykiem w ochronie danych osobowych, udokumentowaną raportem z szacowania i postępowania z ryzykiem w ochronie danych osobowych,
   4. środki planowane lub zastosowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie wymogów prawnych dotyczących ochrony danych osobowych, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, ustalone w raporcie z szacowania i postępowania z ryzykiem w ochronie danych osobowych.
5. Ocena skutków przetwarzania dla ochrony danych osobowych dokumentowana jest

raportem z oceny skutków przetwarzania dla ochrony danych osobowych.

6. Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym, wysyłając wniosek o konsultacje w tym zakresie.
7. Konsultując się z organem nadzorczym administrator przedstawia mu:
   1. obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, gdy ma to zastosowanie,
   2. cele i sposoby zamierzonego przetwarzania,
   3. środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą,
   4. dane kontaktowe inspektora ochrony danych,
   5. ocenę skutków dla ochrony danych, zawartą w raporcie z oceny skutków przetwarzania dla ochrony danych osobowych,
   6. wszelkie inne informacje, których zażąda organ nadzorczy.
8. W razie potrzeby, przynajmniej, gdy zmienia się ryzyko wynikające z operacji przetwarzania danych osobowych, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

21. Naruszenie ochrony danych osobowych

1. Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
2. Każdy, kto podejrzewa lub stwierdza, że doszło do naruszenia ochrony danych osobowych, w tym w związku ze zgłoszeniem otrzymanym od osób, których dane dotyczą lub od osób trzecich, zobowiązany jest:
   1. niezwłocznie zgłosić podejrzenie lub naruszenie ochrony danych osobowych do bezpośredniego przełożonego, inspektora ochrony danych, administratora systemów informatycznych lub do administratora, z podaniem wszystkich znanych zgłaszającemu, możliwie dokładnie i wyczerpująco określonych informacji dotyczących naruszenia,
   2. gdy ma to zastosowanie, niezwłocznie podjąć i prowadzić w sposób bezpieczny dla siebie i dla innych osób oraz organizacji administratora, wszelkie możliwe do realizacji i zasadne działania naprawcze i korygujące, za wiedzą i zgodą osób, o których mowa w podpunkcie 1., mające na celu eliminację lub minimalizację, negatywnych następstw (skutków) naruszenia ochrony danych osobowych, a także przeciwdziałanie dalszemu naruszaniu ochrony danych osobowych, w szczególności przerwać wykonywanie czynności, które są przyczyną lub mogą powodować eskalację następstw (skutków) naruszenia ochrony danych osobowych,
   3. o ile jest to możliwe, zabezpieczyć dowody oraz sporządzić informacje mogące mieć znaczenie przy ustalaniu okoliczności, przyczyn, świadków, osób poszkodowanych i odpowiedzialnych za naruszenie ochrony danych osobowych,
   4. wykonywać wszelkie polecenia przełożonego, administratora, inspektora ochrony danych, a gdy ma to zastosowanie również administratora systemów informatycznych, związane z naruszeniem ochrony danych osobowych.
3. Jeżeli zgłoszenie naruszenia ochrony danych osobowych, o którym mowa w pkt 2., zostanie potwierdzone, wówczas administrator, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je, w formie elektronicznej, organowi nadzorczemu, tj. Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
4. Zgłoszenie, o którym mowa w pkt 3., musi co najmniej:
   1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
   2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub

oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

1. 3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
   4. opisywać środki zastosowane lub proponowane przez administratora, w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

5. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wówczas administrator bez zbędnej zwłoki zawiadamia osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych.
6. Zawiadomienie, o którym mowa w punkcie 5., jasnym i prostym językiem opisuje charakter

naruszenia ochrony danych osobowych oraz:

1. 1. zawiera imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub

oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

6. 2. opisuje możliwe konsekwencje naruszenia ochrony danych osobowych,
   3. opisuje środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
7. Zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych,

o którym mowa w punktach 5-6, nie jest wymagane, w następujących przypadkach:

7. 1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do  danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
   2. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
   3. wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
8. Niezwłocznie po powzięciu informacji o podejrzeniu lub naruszeniu ochrony danych osobowych, administrator:
   1. o ile wcześnie nie dokonała tego osoba zgłaszająca naruszenie danych osobowych, informuje o tym inspektora ochrony danych oraz administratora systemów informatycznych,  jeśli  naruszenie  ochrony  danych  osobowych  wiąże  się z przetwarzaniem realizowanym z wykorzystaniem systemów informatycznych,
   2. przy współpracy z inspektorem ochrony danych oraz z administratorem systemów informacyjnych, jeśli naruszenie ochrony danych osobowych wiąże się z przetwarzaniem realizowanym z wykorzystaniem systemów informatycznych, weryfikuje, czy doszło do naruszenia ochrony danych osobowych, a jeśli miało ono miejsce, wówczas:
      1. analizuje już podjęte oraz określa i wdraża niezbędne, możliwe do zastosowania, optymalne działania naprawcze i korygujące, określane w raporcie z szacowania i postępowania z ryzykiem w ochronie danych osobowych, ze szczególnym uwzględnieniem oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
      2. gromadzi i weryfikuje informacje oraz dowody dotyczące naruszenia ochrony

danych osobowych,

1. 1. 3. ustala przyczyny naruszenia ochrony danych osobowych, osoby odpowiedzialne, poszkodowane oraz świadków,
      4. prowadzi postępowanie dyscyplinarne, jeśli ustali osoby odpowiedzialne za

naruszenie ochrony danych osobowych,

8. 1. 5. dokumentuje naruszenie ochrony danych osobowych, również te, które nie wymaga zgłoszenia do organu nadzorczego, opisując jego charakter, skutki oraz realizowane w związku z nim działania w rejestr naruszeń ochrony danych osobowych, niezgodności, działań naprawczych, korygujących i doskonalących.
9. Rejestr naruszeń ochrony danych osobowych, niezgodności, działań naprawczych, korygujących i doskonalących prowadzi inspektor ochrony danych.

22. Zarządzanie ryzykiem w ochronie danych osobowych

1. Zarządzanie ryzykiem w ochronie danych osobowych:
   1. jest integralną częścią wszystkich działań związanych z ochroną danych osobowych,
   2. odnosi się do wszystkich realizowanych czynności i operacji przetwarzania danych osobowych oraz środków przetwarzania i ich zabezpieczeń,
   3. stanowi kluczowy element i kryterium ustalania priorytetów i podejmowanych decyzji

niezbędnych dla rozwoju i doskonalenia ochrony danych osobowych,

1. 4. jest procesem ciągłym, dynamicznym, stale dopasowywanym do kontekstu działalności

administratora,

1. 5. wykorzystuje najlepsze dostępne informacje, w tym dane historyczne, doświadczenie, obserwacje, prognozy i opinie ekspertów.
2. Proces zarządzania ryzykiem w ochronie danych osobowych obejmuje działania:
   1. ustanowienie kontekstu zarządzania ryzykiem,
   2. szacowanie ryzyka, w ramach którego dokonuje się identyfikacji, analizy i oceny ryzyka,
   3. postępowanie z ryzykiem, które może polegać na modyfikowaniu, zachowaniu, unikaniu lub dzieleniu ryzyka,
   4. akceptowanie ryzyka,
   5. informowanie i konsultowanie ryzyka,
   6. monitorowanie i przegląd ryzyka.
3. Ustanowienie kontekstu zarządzania ryzykiem w ochronie danych osobowych wymaga:
   1. uwzględnienia wszystkich mających odniesienie, istotnych informacji o działalności

prowadzonej przez administratora,

3. 2. uwzględnienia  rodzaju  i  specyfiki  realizowanych  czynności  przetwarzania i wykorzystywanych do tego aktywów pomocniczych (wspierających) oraz ich zabezpieczeń,
   3. określenia i ustanowienia odpowiedniej struktury organizacyjnej zajmującej się zarządzaniem ryzykiem w ochronie danych osobowych,
   4. zdefiniowanie zakresu i granic zarządzania ryzykiem w ochronie danych osobowych,
   5. wyznaczenie kryteriów zarządzania ryzykiem w ochronie danych osobowych.
4. Za zarządzanie ryzykiem w ochronie danych osobowych odpowiedzialny jest administrator.
5. Za nadzór i doradztwo w zarządzaniu ryzykiem w ochronie danych osobowych odpowiada inspektor ochrony danych, który w zakresie właściwym dla przetwarzania danych osobowych realizowanym w systemach informacyjnych wspierany jest przez administratora systemów informatycznych.
6. Kierujący jednostkami (komórkami) organizacyjnymi oraz zarządzający projektami odpowiedzialni są za:

1. 1. szacowanie ryzyka związanego w ochronie danych osobowych dokumentowane raportami z szacowania i postępowania z ryzykiem w ochronie danych osobowych,
   2. informowanie o ryzyku i konsultowanie oszacowanego ryzyka z administratorem i z inspektorem ochrony danych,
   3. w odniesieniu do ryzyka związanego z przetwarzaniem danych osobowych w systemach informacyjnych, konsultowanie oszacowanego ryzyka z administratorem systemów informatycznych,
   4. określanie sposobów postępowania z ryzykiem,
   5. uzyskiwanie zgód administratora na wdrażanie określonych sposobów postępowania

z ryzykiem,

6. 6. kierowanie realizacją działań związanych z postępowaniem z ryzykiem,
   7. informowanie administratora i inspektora ochrony danych oraz administratora systemów  informatycznych  w  odniesieniu  do  przetwarzania  realizowanego z wykorzystaniem systemów informatycznych, o rezultatach postępowania z ryzykiem,
   8. uzyskiwanie akceptacji administratora dla każdego ryzyka nieakceptowalnego rezydualnego (szczątkowego, zachowanego),
   9. monitorowanie i przegląd ryzyka.
7. Zakres i granice zarządzania ryzykiem w ochronie danych osobowych określa się uwzględniając:
   1. zewnętrzne  i  wewnętrzne  czynniki  oddziałujące  na  realizowane  czynności

przetwarzania,

7. 2. planowane i realizowane czynności przetwarzania, przetwarzane w nich dane osobowe, a także wykorzystywane do tego przetwarzania, niezbędne aktywa (pomocnicze) wspierające i ich zabezpieczenia,
   3. ograniczenia dotyczące administratora.
8. Kryteriami zarządzania ryzykiem w ochronie danych osobowych są:
   1. kryteria akceptacji ryzyka w ochronie danych osobowych,
   2. kryteria przeprowadzenia oceny ryzyka w ochronie danych osobowych.
9. Kryteria akceptacji ryzyka w ochronie danych osobowych odnoszą się do uzyskanej oceny

ryzyka:

9. 1. ryzyko jest akceptowalne, jeśli oceniono je jako niskie, umiarkowane lub średnie,
   2. ryzyko jest nieakceptowalne, jeśli oceniono je jako wysokie lub krytyczne.
10. Kryteriami przeprowadzenia oceny ryzyka w ochronie danych osobowych są:
    1. kryteria następstw ryzyka w ochronie danych osobowych,
    2. kryteria prawdopodobieństwa ryzyka w ochronie danych osobowych.
11. Kryteria następstw w ochronie danych osobowych odnosi się do podstawowych własności bezpieczeństwa informacji. Dla każdego zidentyfikowanego zagrożenia określa się, czy dla przetwarzanych danych osobowych występuje ryzyko:
    1. utraty poufności – TAK lub NIE,
    2. utraty integralności – TAK lub NIE,
    3. utraty dostępności – TAK lub NIE.
12. Kryteria następstw ryzyka w ochronie danych osobowych odnosi się również do stopnia wielkości strat dla organizacji i osób fizycznych oraz okresu negatywnego oddziaływania, będących skutkiem naruszeń ochrony danych osobowych, występujących w wyniku

materializacji  zagrożeń  powodowanych  sprzyjającymi  im  podatnościami,  zgodnie  z

następująca metodyką jakościową:

1. niskie [1] – mało istotne, nieznaczne, jednostkowe, <=20%, bardzo krótkotrwałe,
2. umiarkowane [2] – ograniczone, nieliczne, 21-35%, krótkotrwałe,
3. średnie [3] – istotne, znaczące, 36-50%, odczuwalne w dłuższym okresie,
4. wysokie [4] – bardzo istotne, dotkliwe, rozległe, 51-80%, odczuwalne w bardzo długim

okresie,

5. krytyczne [5] – katastrofalne, 81-100%, niemożliwe do przezwyciężenia.

13. Kryteria następstw ryzyka w ochronie danych osobowych, wymienione w punkcie 12.,

określa się odrębnie dla:

1. 1. organizacji, w podziale na następstwa niematerialne oraz materialne i finansowe,
   2. osób fizycznych, w podziale na następstwa niematerialne, materialne i finansowe oraz

na zdrowiu.

14. Następstwa niematerialne dla organizacji to pogorszenie lub utrata wizerunku, reputacji, zaufania, wiarygodności i wsparcia interesariuszy, pogorszenie marki, jakości produktów, usług, morale, zaangażowania i wydajności personelu.
15. Następstwa materialne i finansowe dla organizacji to utrata lub ograniczenie możliwości uzyskiwania przychodów, wzrost kosztów działalności, obniżenie dochodów (zysków), zmniejszenie wydajności i opłacalności, koszty zastąpienia lub odtworzenia aktywów, zmniejszenie wartości kapitału i zdolności finansowej, kary finansowe umowne, administracyjne i odsetki od zaległości, wypłacone odszkodowania, ograniczenia lub zakazy prowadzenia działalności ze względu na niespełnianie wymagań prawnych, utrata lub ograniczenie lokalizacji albo infrastruktury wykorzystywanej do prowadzenia działalności, utrata lub ograniczenie ilości, jakości lub wydajności środków przetwarzania, czy zmniejszeniem mocy przerobowych.
16. Następstwa na zdrowiu osób fizycznych dotyczą uszczerbku (pogorszenia) lub utraty zdrowia

fizycznego lub psychicznego albo życia.

17. Następstwa niematerialne dla osób fizycznych to naruszenia prawa do swobody dysponowania swoimi danymi osobowych (prawa do wolności), naruszenia prawa do prywatności (poufności danych osobowych), naruszenia prawa do zachowania dobrego imienia, wizerunku, reputacji, czci i godności, naruszenia prawa dostępu do danych osobowych, ich sprostowania, usunięcia i ograniczenia przetwarzania, prawa do sprzeciwu wobec przetwarzania danych osobowych, naruszenia prawa do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu danych osobowych.
18. Następstwa materialne i finansowe dla osób fizycznych to utrata lub ograniczenie możliwości uzyskiwania przychodów, utrata dóbr materialnych lub praw majątkowych, utrata lub ograniczenie zdolności finansowej albo kary finansowe, umowne, administracyjne, odsetki od zaległości, czy wypłacone odszkodowania.
19. Prawdopodobieństwo wystąpienia ryzyka w ochronie danych osobowych określa się z uwzględnieniem:
    1. szacowanej lub faktycznej częstotliwości występowania ryzyka,
    2. łatwości wykorzystania podatności sprzyjających zagrożeniu, którego ryzyko dotyczy,
    3. skuteczności wdrożonych zabezpieczeń,

19. 4. wartości i znaczenia (atrakcyjności) aktywów, których ryzyko dotyczy.
20. Prawdopodobieństwu przypisuje się ważność i odpowiadające jej wartości liczbowe, zgodnie z metodyką:
    1. niskie [1] – ryzyko występuje sporadycznie, jest niepowtarzalne lub powtarzalne w bardzo długich okresach: <=20%, sprzyjające podatności są bardzo trudne do wykorzystania, wdrożone zabezpieczenia są na wysokim poziomie i bardzo skuteczne, wartość i znaczenie aktywów są niskie,
    2. umiarkowane [2] – ryzyko występuje rzadko, jest powtarzalne w stosunkowo długich okresach: 21-35%, sprzyjające podatności są trudne do wykorzystania, wdrożone zabezpieczenia są na dobrym poziomie i skuteczne, wartość i znaczenie aktywów są umiarkowane,
    3. średnie [3] – ryzyko jest powtarzalne w średnich okresach: 36-50%, sprzyjające podatności są średnio możliwe do wykorzystania, wdrożone zabezpieczenia są na podstawowym, względnie akceptowalnym poziomie, zadowalająco skuteczne, wartość i znaczenie aktywów są istotne,
    4. wysokie [4] – ryzyko jest powtarzalne w krótkich okresach: 51-80%, sprzyjające podatności są łatwe do wykorzystania, wdrożone zabezpieczenia są na niskim poziomie, możliwe do obejścia lub zniesienia, wartość i znaczenie aktywów są wysokie,
    5. krytyczne [5] – ryzyko jest wysoce powtarzalne w bardzo krótkich okresach lub występuje na stałe: 81-100%, sprzyjające podatności są bardzo łatwe do wykorzystania, wdrożone zabezpieczenia są nieadekwatne, niewystarczające lub ich nie ma, wartość i znaczenie aktywów są bardzo wysokie.
21. Szacowanie ryzyka w ochronie danych osobowych przeprowadza się okresowo, nie rzadziej niż raz w roku, w odniesieniu do tych aktywów (zasobów) i ich zabezpieczeń, dla których zidentyfikowano ryzyka, a także w każdym przypadku zmian, tj.:
    1. w fazie projektowania, dla każdej nowej czynności przetwarzania,
    2. przy modyfikowaniu już realizowanych czynności przetwarzania,
    3. przy zmianach aktywów (zasobów) i ich zabezpieczeń,
    4. przy zmianach środowiska przetwarzania danych osobowych,
    5. w przypadku zidentyfikowania nowych zagrożeń i sprzyjających im podatności,
    6. po wystąpieniu naruszeń ochrony danych osobowych,
    7. po stwierdzeniu niezgodności z wymaganiami prawnymi lub regulacyjnymi,
    8. przy mających znaczenie dla ochrony danych osobowych zmianach we współpracy z podmiotami zewnętrznymi oraz po zmianach w tych podmiotach,
    9. w każdym innym przypadku wystąpienia istotnych zmian czynników zewnętrznych lub wewnętrznych  mających  znaczenia  dla  realizowanych  czynności  przetwarzania i bezpieczeństwa danych osobowych.
22. Szacowanie ryzyka w ochronie danych osobowych dokumentowane jest raportami z szacowania i postępowania z ryzykiem w ochronie danych osobowych opracowywanymi odrębnie dla każdej jednostki (komórki) organizacyjnej, projektu i czynności przetwarzania, gdy ma to zastosowanie.
23. Na szacowanie ryzyka w ochronie danych osobowych składają się następujące działania:

identyfikowanie ryzyka, analiza ryzyka, ocena ryzyka.

24. Identyfikowanie ryzyka to proces znajdowania, rozpoznawania i opisywania zagrożeń. Celem identyfikowania ryzyka w ochronie danych osobowych jest określenie co może się zdarzyć i spowodować potencjalną stratę dla organizacji lub dla osób fizycznych oraz uzyskanie wiedzy na temat tego jak, gdzie i dlaczego strata może się zdarzyć.
25. Identyfikowanie ryzyka w ochronie danych osobowych realizowane jest w odniesieniu do aktywów oraz ich zabezpieczeń, wykorzystywanych do przetwarzania danych osobowych, z uwzględnieniem mających zastosowanie dla tych aktywów czynników zewnętrznych i wewnętrznych oraz właściwych dla specyfiki realizowanych czynności przetwarzania i wykorzystywanych do tego aktywów pomocniczych (wspierających) oraz ich zabezpieczeń.
26. Identyfikowanie ryzyka w ochronie danych osobowych wymaga określenia wszystkich zagrożeń oraz sprzyjających im podatności (słabości), jakie mogą dotyczyć poszczególnych aktywów i ich zabezpieczeń.
27. W procesie identyfikacji ryzyka w ochronie danych osobowych nie uwzględnia się zagrożeń, dla których nie występują podatności.
28. Analizy ryzyka w ochronie danych osobowych obejmuje:
    1. ocenę następstw materializacji zidentyfikowanego ryzyka, przeprowadzaną zgodnie z metodyką określoną dla kryteriów następstw ryzyka w ochronie danych osobowych,
    2. ocenę prawdopodobieństwa wystąpienia ryzyka, przeprowadzaną zgodnie z metodyką określoną dla kryteriów prawdopodobieństwa wystąpienia ryzyka w ochronie danych osobowych,
    3. określenie poziomu (wielkości) ryzyka metodą jakościową, określoną w punkcie 29..
29. Poziom (wielkość) ryzyka [R] ustala się jako iloczyn liczbowych wartości jego następstw [N] oraz prawdopodobieństwa [P], zgodnie ze wzorem:

 

R = N • P

 

 

 

gdzie poziom (wielkość) ryzyka może przyjmować wartości liczbowe: 1, 2, 3, 4, 5, 6, 8, 9, 10,

12, 15, 16, 20 lub 25, odpowiednio dla wszystkich możliwych kombinacji iloczynów następstw [N] oraz prawdopodobieństwa [P]:

 

 

		Następstwa
		1	2	3	4	5
Prawdopodobieństwo	1	1	2	3	4	5	Wielkość (poziom) ryzyka
	2	2	4	6	8	10
	3	3	6	9	12	15
	4	4	8	12	16	20
	5	5	10	15	20	25
		Wielkość (poziom) ryzyka

W organizacji przyjmuje się, że

29. 1. ryzyko o wartości liczbowej 1, 2, 3, 4 lub 5, to ryzyko niskie,
    2. ryzyko o wartości liczbowej 6 lub 8, to ryzyko umiarkowane,
    3. ryzyko o wartości liczbowej 9, 10 lub 12, to ryzyko średnie,
    4. ryzyko o wartości liczbowej 15, 16 lub 20, to ryzyko wysokie,
    5. ryzyko o wartości liczbowej 25, to ryzyko krytyczne.
30. Ocena ryzyka w ochronie danych osobowych obejmuje:
    1. odniesienie ustalonego poziom (wielkość) ryzyka do kryteriów akceptacji ryzyka, gdzie:

ryzyko o wartości liczbowej 1, 2, 3, 4 lub 5, to ryzyko niskie – akceptowalne, ryzyko o wartości liczbowej 6 lub 8, to ryzyko umiarkowane – akceptowalne, ryzyko o wartości liczbowej 9, 10 lub 12, to ryzyko średnie – akceptowalne,

ryzyko o wartości liczbowej 15, 16 lub 20, to ryzyko wysokie – nieakceptowalne,

ryzyko o wartości liczbowej 25, to ryzyko krytyczne – nieakceptowalne,

30. 2. priorytetyzację przeanalizowanych ryzyk w celu ich przetworzenia.
31. Jeśli ocena ryzyka dla osób fizycznych, oszacowana zostanie na poziomie ryzyka nieakceptowalnego (wysokiego lub krytycznego), wówczas bezwzględnie wymagane jest przeprowadzenie  oceny  skutków  przetwarzania  dla  ochrony  danych  osobowych i sporządzenie raportu z oceny skutków przetwarzania dla ochrony danych osobowych, a w uzasadnionych przypadkach również przeprowadzenie uprzednich konsultacji z organem nadzorczym.
32. Postępowanie z ryzykiem to proces podejmowania decyzji dotyczących redukowania, unikania, dzielenia lub zachowania (retencji, akceptacji) ocenionego (oszacowanego poziomu) ryzyka. Jeśli:
    1. ryzyko oceniono jako akceptowalne, wówczas nie ma konieczności podejmowania

żadnych innych działań, niż postępowanie z ryzykiem opisane w punkcie 33.,

32. 2. ryzyko oceniono jako nieakceptowalne, wówczas, w zależności od spodziewanych rezultatów, stosuje się postępowanie z ryzykiem opisane w punktach 33-36, właściwie do wymagania określonego w pkt 37.
33. Zachowanie (zatrzymanie, retencja, akceptacja) oszacowanego poziomu ryzyka polega na podjęciu świadomej decyzji o niepodejmowaniu żadnych działań, jeśli poziom ryzyka spełnia kryteria akceptowania ryzyka lub jeśli przewidywane rezultaty wszelkich możliwych do realizacji działań nie będą skutkować obniżeniem poziomu ryzyka i jednocześnie nie ma możliwości uniknięcia ryzyka.
34. Redukowanie (modyfikowanie) ryzyka poprzez zapobieganie, eliminowanie lub minimalizowanie, następstw (skutków) i / lub prawdopodobieństwa wystąpienia ryzyka, w tym poprzez zastosowanie dodatkowych lub zmianę istniejących zabezpieczeń, żeby ryzyko rezydualne (zachowane, szczątkowe) można było ponownie oszacować jak ryzyko akceptowalne.
35. Unikanie ryzyka polega na nierozpoczynaniu planowanych lub niekontynuowaniu realizowanych czynności przetwarzania albo eliminowaniu warunków, które powodować mogą lub powodują powstanie lub utrzymywanie się określonych typów ryzyka.
36. Dzielenie ryzyka – z inną stroną – to częściowy lub całkowity transfer ryzyka do podmiotu zewnętrznego, który zapewni skuteczne zarządzanie tym ryzykiem.

37. Wyboru wariantu lub niewykluczających się wzajemnie wariantów postępowania z ryzykiem dokonuje się odpowiednio do potrzeb, możliwości i efektywności spodziewanych rezultatów (korzyści). Wdraża się warianty, które zapewniają znaczną redukcję ryzyka przy relatywnie niskich nakładach.
38. Postępowanie z ryzykiem w ochronie danych osobowych wymaga uprzedniego zaplanowania:
    1. określonego wariantu lub wariantów postępowania z ryzykiem,
    2. niezbędnych zabezpieczeń albo określonych działań, jeśli postępowanie z ryzykiem

polegać ma na redukcji lub dzieleniu ryzyka,

38. 3. terminów realizacji poszczególnych działań dotyczących postępowania z ryzykiem,
    4. osób odpowiedzialnych za nadzór i realizację działań dotyczących postępowania z ryzykiem.
39. W przypadku ryzyka ocenionego jako nieakceptowalne, postępowanie z ryzykiem określa kierujący jednostką (komórką) organizacyjną, odpowiednio zarządzający projektem, właściwy dla aktywów, których ryzyko dotyczy, a zatwierdza administrator, po uprzedniej konsultacji z inspektorem ochrony danych i z administratorem systemów informatycznych w zakresie właściwym dla przetwarzania realizowanego w systemach informatycznych.
40. Po zakończeniu działań przewidzianych do realizacji w ramach postępowania z ryzykiem, o którym mowa w punkcie 40., dokonuje się ponownej analizy i oceny ryzyka w celu ustalenia czy ryzyko rezydualne (szczątkowe, zachowane) jest akceptowalne.
41. Jeśli rezultaty postępowania z ryzykiem nie pozwalają na obniżenie poziomu ryzyka do akceptowalnego, to określa się i wdraża nowe postępowanie z ryzykiem, po zakończeniu którego wykonuje się kolejnej iteracje analizy ryzyka, aż do osiągnięcia akceptowalnego poziomu ryzyka, chyba że przewidywane rezultaty wszelkich możliwych do realizacji działań nie będą skutkować obniżeniem poziomu ryzyka i jednocześnie nie ma możliwości uniknięcia ryzyka. Wówczas postępowanie z ryzykiem ogranicza się do jego zachowania (retencji, akceptacji oszacowanego poziomu ryzyka) i nie podejmuje się żadnych innych działań dotyczących postępowania z ryzykiem.
42. Postępowanie z ryzykiem w ochronie danych osobowych dokumentowane jest zapisami w raportach z szacowania i postępowania z ryzykiem w ochronie danych osobowych, których utrzymywanie i przekazywanie do administratora jest obowiązkiem odpowiednio kierujących poszczególnymi jednostkami (komórkami) organizacyjnymi lub zarządzających projektami,  właściwych  dla  aktywów,  których  ryzyko  dotyczy,  o  ile  szacowania i postępowania z ryzykiem w ochronie danych osobowych nie realizuje sam administrator.
43. Ryzyka akceptowalne i nieakceptowalne podlegają przeglądom i weryfikacji przez ich

właścicieli, inspektora ochrony danych i przez administratora.

44. Informowanie o ryzyku w ochronie danych osobowych realizowane jest przez kierujących poszczególnymi jednostkami (komórkami) organizacyjnymi i zarządzających projektami, właściwych dla aktywów lub ich zabezpieczeń i obszarów, gdzie ryzyko występuje, poprzez przesyłanie przez nich do administratora raportów z szacowania i postępowania z ryzykiem w ochronie danych osobowych.
45. Informowanie o ryzyku jest działaniem podejmowanym w celu osiągnięcia porozumienia co do sposobu zarządzania ryzykiem. Przekazywane informacje obejmują co najmniej istnienie,

charakter, formę, następstwa, prawdopodobieństwo, postępowanie i możliwości akceptacji

ryzyka.

46. Skuteczna komunikacja o ryzyku jest niezbędna dla zapewnienia realizacji procesu podejmowania decyzje przez administratora. Wymiana informacji zapewnia, że osoby zaangażowane w zarządzania ryzykiem rozumieją podstawy i przesłanki podejmowanych decyzji oraz związanych z nimi, koniecznych do realizacji działań.
47. Działania informacyjne dotyczące ryzyka, mają na celu:
    1. zapewnienie wiarygodności wyników zarządzania ryzykiem,
    2. zbieranie informacji o ryzyku,
    3. dystrybucję rezultatów z szacowania ryzyka i prezentowania postępowania z ryzykiem,
    4. uniknięcie lub ograniczenie wystąpienia oraz następstw braku wzajemnego zrozumienia

administratora i personelu,

1. 5. wsparcie procesu podejmowania decyzji dotyczących ryzyka,
   6. uzyskanie nowej wiedzy na temat ochrony danych osobowych,
   7. koordynowanie z innymi stronami oraz planowanie reakcji prowadzących do ograniczenia następstw każdego naruszenia ochrony danych osobowych,
   8. zwiększenie świadomości oraz wytworzenie u administratora i personelu poczucia

odpowiedzialności za ryzyko.

48. Ryzyko w ochronie danych osobowych nie jest statyczne. Zagrożenia, podatności, prawdopodobieństwo i następstwa mogą zmieniać się w sposób nagły i nieprzewidywalny, odpowiednio do zmian czynników zewnętrznych i wewnętrznych determinujących działalność organizacji, albo w związku ze zmianami specyfiki realizowanych czynności przetwarzania i wykorzystywanych do tego aktywów pomocniczych (wspierających) oraz ich zabezpieczeń. Dlatego ryzyko w ochronie danych osobowych jest stale monitorowane i przeglądane, dla zapewnienia, że kontekst, wyniki szacowania ryzyka i postępowania z ryzykiem odpowiadają potrzebom administratora, szczególnie w odniesieniu do prowadzonej działalności i realizowanych w związku z tą działalnością czynności przetwarzania.
49. Organizacja w sposób ciągły monitoruje czynniki ryzyka w ochronie danych osobowych, tj.:
    1. nowe aktywa (zasoby), które zostały włączone w zakres zarządzania ryzykiem,
    2. konieczne modyfikacje wartości aktywów,
    3. nowe zagrożenia, które dotąd nie zostały zidentyfikowane i oszacowane,
    4. nowe lub zwiększone rodzaje podatności,
    5. większe następstwa (skutki) i prawdopodobieństwa oszacowanych zagrożeń,
    6. naruszenia ochrony danych osobowych.
50. Monitorowanie, przeglądy i doskonalenie zarządzania ryzykiem w ochronie danych osobowych są konieczne dla zapewnienia, że żadne ryzyka, zagrożenia lub podatności nie zostaną pominięte i że podejmowane będą odpowiednie działania i decyzje w celu zagwarantowania realistycznego, obiektywnego postrzegania i oceny ryzyka.

23. Ciągłość działania

1. Administrator zobowiązany jest do zapewnienia ciągłości bezpieczeństwa przetwarzanych danych osobowych w ramach zarządzania ciągłością działania. W tym celu administrator określa niezbędne i adekwatne wymagania oraz warunki umożliwiające bezpieczne

przetwarzanie danych osobowych w przypadku wystąpienia niekorzystnych sytuacji (zakłóceń) w prowadzonej działalności, w tym skutkujących incydentami fizycznymi lub technicznymi stanowiącymi naruszenia ochrony danych osobowych, polegających na utracie dostępności danych osobowych lub dostępu do nich.

2. Dla zapewnienia spełnienia wymagań, o których mowa w punkcie 1., administrator opracowuje plany zarządzania ciągłością działania podczas zakłóceń (BCP – Business Continuity Plan) dla wszystkich krytycznych czynności przetwarzania, które ułatwiają reagowanie na zakłócenia oraz wznowienie, odzyskanie i przywrócenie dostaw wyrobów i usług, w tym danych osobowych i dostępu do danych osobowych.
3. Plan zarządzania ciągłością działania podczas zakłóceń ma zastosowanie i uruchamiany jest w każdym przypadku, gdy występują zakłócenia w realizacji czynności przetwarzania, wynikające z problemów dotyczących procesów i wykorzystywanych do ich realizacji aktywów wspierających, tj.: sprzętu (w tym urządzeń komputerowych i nośników informacji), oprogramowania, sieci (urządzeń i okablowania), personelu, miejsc (siedziby i innych lokalizacji wraz z ich infrastrukturą), struktury organizacyjnej.
4. Właściwy plan zarządzania ciągłością działania podczas zakłóceń uruchamiany jest niezwłocznie przez właściciela czynności przetwarzania, której dotyczy zakłócenie, za wiedzą i zgoda administratora, przy współpracy z inspektorem ochrony danych. Jeśli zakłócenie dotyczy urządzeń komputerowych, informatycznych nośników danych, oprogramowania komputerowego lub sieci, właściciel czynności przetwarzania informuje o tym i angażuje do współpracy administratora systemów informatycznych.
5. Plany zarządzania ciągłością działania podczas zakłóceń, opracowywane i corocznie aktualizowane dla wszystkich krytycznych czynności przetwarzania przez ich właścicieli, zawierają:
   1. analizę wpływu biznesowego – Business Impact Analysis (BIA) określającą wartości poszczególnych rodzajów wpływów następstw na proces w czasie zakłócenia,
   2. deklarację wymagań ciągłości działania uzasadnioną co najwyżej średnią wartością

jakiegokolwiek rodzaju wpływu następstw na proces w czasie zakłócenia, określającą:

1. 1. 1. docelowy czas trwania odzyskiwania (przywracania) (RTO – Recovery Time Objective), tj. czas, w którym należy przywrócić minimalny poziom usług i / lub produktów oraz wspierających je systemów, aplikacji lub funkcji po wystąpieniu zakłócenia (RTO <= MAO = MTPD),
      2. docelowy punktu odzyskiwania (przywracania) (RPO – Recovery Point Objective), tj. punktu w czasie, do którego informacja wykorzystywana przez określone działanie musi zostać odzyskana w celu umożliwienia wznowienia tego działania; punkt w czasie, w którym informacja jest gwarantowana; punkt w czasie wskazujący na akceptowalny poziom utraty danych, tj. maksymalną ilość utraconych danych,
      3. maksymalny tolerowany okres zakłócenia (MTPD – Maximum Tolerable Period of Disruption), tj. czasu, po upływie którego negatywne skutki, jakie mogą powstać w wyniku niedostarczenia produktu, usługi lub wykonywania czynności, stają się nieakceptowalne (MTPD = MAO => RTO),
      4. maksymalny akceptowalny okres przestoju (MAO – Maximum Acceptable Outage),

tj. czas, po upływie którego negatywne skutki, jakie mogą powstać w wyniku

niedostarczenia    produktu,    usługi    lub     wykonywania    czynności,    stają     się

nieakceptowalne (MAO = MTPD => RTO),

1. 2. 5. minimalny docelowego poziom działalności (MBCO – Minimum Business Continuity Objective) dostarczania usług lub produktów, który jest akceptowalny przez organizację dla osiągnięcia celów jej działalności w czasie trwania zakłócenia,
   3. zasoby niezbędne dla zapewnienia minimalnego docelowego poziomu działalności w czasie trwania zakłócenia (MBCD).

 

		czas trwania zakłócenia
	RPO - docelowy punk odzyskiwania (ostatnia kopii zapasowa danych)			RPO - docelowy punk odzyskiwania (ostatnia kopii zapasowa danych)
		MTPD - maksymalny tolerowany okres zakłócenia MAO - maksymalny akceptowalny okres przestoju
		RTO - docelowy czas odzyskiwania
	Nominalny poziom działalności			Nominalny poziom działalności
			MBCO Minimalny docelowy poziom działaności
działalność przed wystąpieniem zakłócenia		działalność w czasie trwania zakłócenia		działalność po zakończeniu zakłócenia

 

1. 1. Plan  ciągłości  działania  dla  urządzeń  komputerowych i informatycznych nośników danych
1. Każdy użytkownik, w przypadku wystąpienia awarii urządzenia komputerowego lub informatycznego nośnika danych, ma obowiązek niezwłocznie poinformować o tym swojego bezpośredniego przełożonego oraz administratora systemów informatycznych, którzy dokonują weryfikacji zgłoszenia ze stanem faktycznym i przekazują wnioski administratorowi.
2. W przypadku potwierdzenia wystąpienia problemów z urządzeniami komputerowymi lub informatycznymi nośnikami informacji, administrator podejmuje decyzje i wydaje dyspozycje o dalszym postępowaniu, tj. o działaniach niezbędnych do wykonania ich naprawy oraz ewentualnego zapewnienia alternatywnego sposobu przetwarzania danych osobowych.
3. Naprawy urządzeń komputerowych oraz informatycznych nośników danych podejmowane są (inicjowane) niezwłocznie, tj. w czasie nie dłuższym niż 24 godziny od zweryfikowania informacji o wystąpieniu awarii.
4. Naprawy urządzeń komputerowych i informatycznych nośników danych wykonują:
   1. administrator systemów informatycznych, gdy posiada niezbędne do tego kompetencje i narzędzia oraz jeśli jednocześnie nie ma przeciwskazań organizacyjnych, prawnych czy regulacyjnych w tym zakresie,

4. 2. podmioty zewnętrzne zajmujące się serwisem informatycznym, w odniesieniu do urządzeń komputerowych oraz informatycznych nośników danych nieobjętych gwarancją producenta lub dostawcy,
   3. autoryzowane przez producentów lub dostawców podmioty zewnętrzne zajmujące się serwisem informatycznym, w odniesieniu do urządzeń komputerowych oraz informatycznych nośników danych objętych gwarancją producenta lub dostawcy.
5. Na czas trwania naprawy, administrator systemów informatycznych, za wiedzą i zgodą administratora, zapewnia użytkownikom zastępcze urządzenia komputerowe oraz informatyczne nośniki danych.
6. Jeżeli naprawa nie jest możliwa do wykonania, a także w przypadku zniszczenia lub kradzieży urządzenia komputerowego lub informatycznego nośnika danych, administrator systemów informatycznych, za wiedzą i zgodą administratora, zapewnia niezwłocznie użytkownikom inne, odpowiednie lub alternatywne urządzenia komputerowe oraz informatyczne nośnik danych.
7. Założenia do działań zapewniających ciągłość działania:

• RTO – docelowy czas trwania odzyskiwania (przywracania): do 5 dni dla serwerów i ich nośników danych oraz do 14 dni dla stacji roboczych i ich nośników danych,
• RPO – docelowy punktu odzyskiwania (przywracania): kopia sprzed maksymalnie 1 miesiąca dla danych przechowywanych na dyskach stacji roboczych oraz dla danych przechowywanych na dyskach serwerowych,
• MTPD – maksymalny tolerowany okres zakłócenia (MAO – maksymalny akceptowalny okres przestoju: do 1 tygodnia dla serwerów i ich nośników danych oraz do 2 tygodni dla stacji roboczych i ich nośników danych,
• MBCO - minimalny docelowego poziom działalności: minimum 20%.

 

1. 2. Plan ciągłości działania dla oprogramowania komputerowego
1. W przypadku wystąpienia awarii oprogramowania komputerowego, każdy użytkownik ma obowiązek niezwłocznie poinformować o tym swojego bezpośredniego przełożonego oraz administratora systemów informatycznych, którzy dokonują weryfikacji zgłoszenia ze stanem faktycznym i przekazują wnioski administratorowi.
2. W przypadku potwierdzenia wystąpienia problemów z oprogramowaniem komputerowym, administrator  systemów  informatycznych,  za  wiedzą  i  zgodą  administratora, w nieprzekraczalnym czasie do 24 godzin:
   1. gdy tylko jest to możliwe, podejmuje działania diagnostyczne i właściwe czynności

naprawcze, albo

2. 2. dokonuje zgłoszenia do właściwego podmiotu zewnętrznego odpowiedzialnego za utrzymanie (serwis) oprogramowania komputerowego oraz nadzoruje czynności naprawcze realizowane przez ten podmiot, w szczególność jego wywiązywanie się z gwarantowanego umową serwisową poziomu świadczenia usług (SLA – Service Level Agreement).
3. Na czas realizacji czynności naprawczych albo do czasu wdrożenia innego oprogramowania komputerowego, jeśli naprawa dotychczasowego nie jest możliwa, administrator, odpowiednio do sytuacji i możliwości określa oraz zapewnia inne, alternatywne sposoby przetwarzania informacji lub podejmuje decyzję o wstrzymaniu przetwarzania, jeśli

planowany lub faktyczny czas naprawy oprogramowania komputerowego nie przekracza 48 godzin.

4. W przypadku uszkodzenia baz danych, odpowiednio administrator systemów informatycznych lub utrzymujący oprogramowanie podmiot zewnętrzny, przywraca je z posiadanych kopii zapasowych.
5. Założenia do działań zapewniających ciągłość działania:

• RTO – docelowy czas trwania odzyskiwania (przywracania): do 5 dni dla serwerów i ich nośników danych oraz do 14 dni dla stacji roboczych i ich nośników danych,
• RPO – docelowy punktu odzyskiwania (przywracania): kopia sprzed maksymalnie 1 miesiąca dla danych przechowywanych na dyskach stacji roboczych oraz dla danych przechowywanych na dyskach serwerowych,
• MTPD – maksymalny tolerowany okres zakłócenia (MAO – maksymalny akceptowalny okres przestoju: do 1 tygodnia dla serwerów i ich nośników danych oraz do 2 tygodni dla stacji roboczych i ich nośników danych,
• MBCO – minimalny docelowego poziom działalności: minimum 20%.

 

1. 3. Plan ciągłości działania dla sieci i urządzeń sieciowych
1. W przypadku wystąpienia awarii lub braku dostępu do sieci, stwierdzający ten fakt użytkownik ma obowiązek niezwłocznie poinformować o tym bezpośredniego przełożonego oraz administratora systemów informatycznych, którzy dokonują weryfikacji zgłoszenia ze stanem faktycznym i przekazują wnioski w tym zakresie do administratora.
2. W przypadku potwierdzenia wystąpienia problemów z siecią, administrator systemów informatycznych, za wiedzą i zgodą administratora, w nieprzekraczalnym czasie do 24 godzin podejmuje działania diagnostyczne i właściwe czynności naprawcze, gdy tylko jest to możliwe, albo dokonuje zgłoszenia do podmiotu zewnętrznego, specjalizującego się w naprawach sieci / urządzeń sieciowych oraz nadzoruje czynności naprawcze realizowane przez ten podmiot.
3. Na czas trwania naprawy, administrator systemów informatycznych, za wiedzą i zgodą administratora, zapewnia inne, alternatywne połączenie sieciowe lub zastępcze urządzenie sieciowe.
4. Jeżeli naprawa sieci lub urządzeń sieciowych nie jest możliwa do wykonania, wówczas administrator systemów informatycznych, za wiedzą i zgodą administratora, zapewnia alternatywną sieć lub inne, adekwatne urządzenia sieciowe.
5. W przypadku zniszczenia lub kradzieży, administrator systemów informatycznych, za wiedzą i zgodą administratora, ustanawia inne połączenie sieciowe lub zapewnia inne, alternatywne urządzenie sieciowe.
6. Założenia do działań zapewniających ciągłość działania:
   • RTO – docelowy czas trwania odzyskiwania (przywracania): do 5 dni,
   • RPO – docelowy punktu odzyskiwania (przywracania): ostatnia kopia konfiguracji

urządzeń sieciowych – maksymalnie sprzed 30 dni,

• • MTPD – maksymalny tolerowany okres zakłócenia (MAO – maksymalny akceptowalny okres przestoju: do 2 tygodni,
  • MBCO – minimalny docelowego poziom działalności: 20%.

1. 4. Plan ciągłości działania dla personelu
1. W przypadku wystąpienia okoliczności uniemożliwiających podjęcie lub kontynuowanie, choćby czasowe, przetwarzania danych osobowych, o ile to możliwe, osoba, która nie może realizować  czynności  przetwarzania,  zobowiązana  jest  niezwłocznie  powiadomić o tym swojego bezpośredniego przełożonego, współpracowników, osoby odpowiedzialne za sprawy kadrowe lub administratora.
2. Jeżeli powiadomienie, o którym mowa w punkcie 1., nie zostało zrealizowane przez osobę, która nie podjęła lub nie kontynuuje przetwarzania danych osobowych, o ile to możliwe, zgłoszenia tego dokonują niezwłocznie jej współpracownicy.
3. Kierujący personelem zobowiązani są do bieżącego monitorowania składu osobowego i prawidłowości czynności wykonywanych przez podległy im personel, również dla zapewnienia, że będą dysponowali aktualnymi informacjami na wypadek braku możliwości realizacji obowiązków, o których mowa w punktach 1-2.
4. W każdym przypadku wystąpienia okoliczności uniemożliwiających podjęcie lub kontynuowanie przetwarzania danych osobowych, kierujący personelem zobowiązany jest niezwłocznie wyznaczyć zastępstwa, poprzez zorganizowanie dodatkowego personelu lub poprzez przesunięcie obowiązków realizowanych przez nieobecne osoby na inny, będący w dyspozycji administratora personel, albo wstrzymać przetwarzanie danych osobowych realizowane przez nieobecne osoby do czasu ponownego podjęcia przez nie obowiązków w tym zakresie, uwzględniając przyczyny niepodjęcia lub niekontynuowania przetwarzania danych osobowych i ewentualną prognozę czasu trwania przerwy w przetwarzaniu.
5. Decyzje o realizacji działań, o których mowa w punkcie 4., podejmuje kierujący personelem lub administrator, w zależności od tego, czy decyzja ta wpływa na działalność tylko jednej określonej komórki organizacyjnej, czy ma też znaczenie dla innych komórek organizacyjnych.
6. Założenia do działań zapewniających ciągłość działania:
   • RTO – docelowy czas trwania odzyskiwania (przywracania): do 5 dni,
   • RPO – docelowy punktu odzyskiwania (przywracania): informacje sprzed maksymalnie 5 dni,
   • MTPD – maksymalny tolerowany okres zakłócenia (MAO – maksymalny akceptowalny okres przestoju: do 7 dni,
   • MBCO – minimalny docelowego poziom działalności: minimum 25%.

 

1. 5. Plan ciągłości działania dla siedziby i innych lokalizacji przetwarzania danych osobowych
1. W przypadku braku dostępu lub możliwości korzystania z pomieszczeń, w których przetwarzane są dane osobowe, osoby przetwarzające dane osobowe w tych pomieszczeniach zobowiązane są niezwłocznie powiadomić o tym swoich bezpośrednich przełożonych albo administratora.
2. W zależności od przyczyny braku dostępu lub możliwości korzystania z pomieszczeń, w których przetwarzane są dane osobowe, kierujący komórką organizacyjną lub administrator niezwłocznie podejmuje decyzje o wdrożeniu właściwych działań zaradczych,

które odpowiednio do bieżącego potencjału administratora, realizowane są wewnętrznie lub zlecane właściwym podmiotom zewnętrznym.

3. Jeżeli usunięcie przyczyn braku dostępu lub możliwości korzystania z pomieszczeń, w których przetwarzane są dane osobowe, nie jest możliwe do wykonania, wówczas przetwarzanie to realizowane jest w innym lub w innych pomieszczeniach, zgodnie z decyzją kierującego komórką organizacyjną lub administratora.
4. Jeżeli usunięcie przyczyn braku dostępu lub możliwości korzystania z pomieszczeń, w których przetwarzane są dane osobowe, nie jest możliwe, a realizacja przetwarzania nie może być kontynuowana w pomieszczeniach zastępczych, wówczas administrator podejmuje decyzje o wstrzymaniu przetwarzania danych osobowych przez personel do czasu przywrócenia dostępności pomieszczeń, w których przetwarzanie to było dotąd realizowane.
5. W przypadku wystąpienia utraty zasilania z sieci energetycznej, administrator systemów informatycznych niezwłocznie informuje o tym administratora, który podejmuje decyzje o wdrożeniu działań niezbędnych do uruchomienia zapasowego źródła zasilania.
6. Jeśli zasilanie awaryjne nie jest dostępne lub zapotrzebowanie na energię elektryczną jest większe niż możliwości wytwórcze zapasowego zasilania, wówczas:
   1. we wszystkich urządzeniach komputerowych wykorzystywanych do przetwarzania danych osobowych wyposażonych w zasilanie awaryjne, w tym bateryjne, kończy się pracę, a następnie wyłącza się te urządzenia przed utratą ich zasilania,
   2. administrator systemów informatycznych przeprowadza czynności niezbędne do prawidłowego wyłączenia serwerów przed utratą ich zasilania,
   3. do czasu przywrócenia zasilania, o ile to możliwe i konieczne, personel przetwarza dane osobowe tylko w postaci papierowej,
   4. po przywróceniu zasilania, w zależności od potrzeb i możliwości, przetwarzane w postaci papierowej dane osobowe w czasie trwania zakłócenia, personel wprowadza do systemów informacyjnych.
7. Założenia do działań zapewniających ciągłość działania:

• RTO – docelowy czas trwania odzyskiwania (przywracania): do 2 tygodni,
• RPO – docelowy punktu odzyskiwania (przywracania): informacje maksymalnie sprzed

1 miesiąca,

• MTPD – maksymalny tolerowany okres zakłócenia (MAO – maksymalny akceptowalny okres przestoju: do 14 dni,
• MBCO – minimalny docelowego poziom działalności: minimum 25%.

 

1. 6. Plan ciągłości działania dla dokumentacji w postaci papierowej
1. W przypadku braku dostępu do danych osobowych przetwarzanych w postaci papierowej, z powodu utraty dokumentów, nieuprawnionej lub niezamierzonej (przypadkowej) modyfikacji dokumentów lub nieuprawnionego lub niezamierzonego (przypadkowego) zniszczenia dokumentów, należy niezwłocznie powiadomić o tym bezpośredniego przełożonego lub administratora.
2. Właściwy  kierujący  komórką  organizacyjną  lub  administrator,  niezwłocznie, w porozumieniu z inspektorem ochrony danych, dokonuje przeglądu i wyboru optymalnego

sposobów i narzędzi odzyskania utraconych danych osobowych i realizuje czynności w celu

ich przywrócenia.

3. Jeśli nie jest możliwe odzyskanie utraconych danych osobowych poprzez realizację działań, o których mowa w punkcie 2., wówczas należy:
   1. rozważyć możliwość ponownego ich wytworzenie i podjąć decyzję oraz właściwe w tym kierunku działania,
   2. jeżeli nie jest możliwa realizacja wariantu działań, o których mowa w podpunkcie 1., wówczas należy rozważyć i jeśli jest to dopuszczalne wymaganiami prawnymi, regulacyjnymi lub umownymi, podjąć decyzję o nieodtwarzaniu utraconych danych osobowych i zaakceptowaniu ich straty, biorąc pod uwagę wynikające z tego konsekwencje dla realizowanych procesów, działalności oraz praw lub wolności osób, których dane dotyczą.
4. Założenia do działań zapewniających ciągłość działania:

• RTO – docelowy czas trwania odzyskiwania (przywracania): do 2 tygodni,
• RPO – docelowy punktu odzyskiwania (przywracania): informacje maksymalnie sprzed

1 miesiąca,

• MTPD – maksymalny tolerowany okres zakłócenia (MAO – maksymalny akceptowalny okres przestoju: do 14 dni,
• MBCO – minimalny docelowego poziom działalności: minimum 25%.

 

24. Zarządzanie systemami informatycznymi

System informatyczny stanowią: urządzenia komputerowe, oprogramowanie komputerowe,

informatyczne nośniki danych oraz sieci i urządzenia sieciowe.

 

1. 1. Administrator systemów informatycznych

Za zarządzanie systemami informatycznymi odpowiedzialny jest administrator oraz administrator systemów informatycznych, który:

1. 1. 1. zarządza systemami informatycznymi,
      2. inwentaryzuje i utrzymuje ewidencje urządzeń komputerowych i oprogramowania komputerowego, informatycznych nośników danych oraz sieci, w tym instalacji i urządzeń sieciowych, utrzymuje dokumentację systemów informacyjnych, w tym konfiguracji i architektury urządzeń i ich zabezpieczeń oraz utrzymuje dokumentację monitorowania i zmian w systemach informacyjnych,
      3. określa, realizuje i nadzoruje, zatwierdzone przez administratora, działania dotyczące zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemach informacyjnych, w tym tworzy i testuje kopie zapasowe oraz doradza i pomaga w utrzymaniu zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności sieci, systemów i usług przetwarzania,
      4. doradza w doborze odpowiednich środków technicznych – sprzętowych infrastruktury informatycznej i telekomunikacyjnej oraz środków technicznych – narzędzi programowych i baz danych.

1. 2. Minimalne   wymagania   dla   systemów   informatycznych

wykorzystywanych do przetwarzania danych osobowych

1. Wymagania związane z bezpieczeństwem danych osobowych identyfikowane są dla systemów informacyjnych w odniesieniu do wymagań prawnych i regulacyjnych, uwzględniają ich wartość (krytyczność) i kategorie oraz potencjalne szkody dla działalności organizacji, które mogłyby być wynikiem braku odpowiednich zabezpieczeń.
2. Wymagania związane z bezpieczeństwem danych osobowych uwzględniają:
   1. żądany poziom zaufania wobec podawanej tożsamości użytkowników dla zastosowania odpowiednich mechanizmów uwierzytelniania użytkowników w ich dostępie do systemów informacyjnych,
   2. procesy przydzielania dostępu i autoryzacji dla użytkowników,
   3. wymagania wynikające z realizowanych procesów.
3. Zidentyfikowane wymagania związane z bezpieczeństwem informacji:
   1. systemy informacyjne muszą identyfikować użytkowników uzyskujących dostęp do danych poprzez weryfikację identyfikatora skojarzonego z hasłem lub z innym informacjami uwierzytelniającymi, a identyfikatory muszą być powiązane ze zdefiniowanymi uprawnieniami określonego użytkownika systemu informacyjnego,
   2. jeżeli ochrona dostępu do systemu informacyjnego opiera się na hasłach, te nie mogą być zapisywane w zbiorach baz danych w formacie jawnym lub przy zastosowaniu zabezpieczeń umożliwiających ich odtworzenie na podstawie zawartości baz danych,
   3. rejestrowane są informacje identyfikujące użytkowników, którzy wprowadzali nowe, modyfikowali lub usuwali wcześniej już wprowadzone do systemu informacyjnego dane.
4. Systemy informatyczne wykorzystywane do przetwarzania danych osobowych, chroni się

poprzez stosowanie odpowiednich zabezpieczeń – środków organizacyjnych i technicznych.

 

1. 3. Zabezpieczenia przed szkodliwym oprogramowaniem
1. Administrator wdrożył zabezpieczenia wykrywające, zapobiegające i odtwarzające, które w połączeniu z właściwymi mechanizmami kontroli dostępu i zarządzania zmianami oraz właściwym uświadamianiem użytkowników w zakresie ochrony danych osobowych, służą ochronie przed szkodliwym oprogramowaniem.
2. W celu zabezpieczenia przed szkodliwym oprogramowaniem:
   1. zabrania się korzystania z nieautoryzowanych lub zabronionych zasobów Internetu, w tym pobierania i instalowania w urządzeniach komputerowych wykorzystywanych do przetwarzania danych osobowych plików i aplikacji innych niż niezbędne i dopuszczone przez administratora do realizacji powierzonych obowiązków,
   2. zabrania się podejmowania czynności powodujących obejście lub wyłączenie zabezpieczeń systemowych, w tym sieciowych wdrożonych przez administratora,
   3. utrzymuje się i stosuje zabezpieczenia sprzętowe i programowe do wykrywania i zapobiegania instalacji oraz użycia nieautoryzowanego oprogramowania, które zostały określone w rozdziale 18. Zabezpieczenia – środki organizacyjne i techniczne,
   4. monitoruje się i usuwa lub redukuje podatności, które mogą być wykorzystane przez

szkodliwe oprogramowanie,

1. 5. przeprowadza się regularne przeglądy wykorzystywanego oprogramowania,
   6. instaluje się, eksploatuje i regularnie aktualizuje oprogramowanie do wykrywania oraz usuwania szkodliwego oprogramowania,
   7. określa się i przydziela odpowiedzialność za ochronę systemów przed szkodliwym

oprogramowaniem,

1. 8. prowadzi się szkolenia uświadamiające w zakresie niebezpieczeństw powodowanych działalnością szkodliwego oprogramowania,
   9. wykonuje się, w zależności od potrzeb, kopie zapasowe informacji, oprogramowania i obrazów systemów.

1. 4. Kopie zapasowe informacji
1. Dla zapewnienia bezpieczeństwa danych osobowych oraz systemów informatycznych, w których są przetwarzane, tj. dla zachowania możliwości ich odzyskania i przywrócenia w przypadku utraty, uszkodzenia lub nieprawnej modyfikacji, wykonywane są, przechowywane i testowane następujące rodzaje kopii zapasowych informacji:
   1. kopie  systemów  –  zawartości  informatycznych  nośników  danych  urządzeń

komputerowych,

1. 2. kopie oprogramowania (pakietów instalacyjnych i aktualizacyjnych systemów operacyjnych, oprogramowania użytkowego, w tym produkcyjnego, a także oprogramowania narzędziowego),
   3. kopie  danych  (plików  systemowych,  baz  danych  oprogramowania  i  innych

przetwarzanych informacji).

2. W zależności od możliwości technicznych, oszacowanego ryzyka, wagi i wolumenu danych, kopie zapasowe informacji wykonywane są jako obrazy, kopie pełne, przyrostowe lub różnicowe. Mogą być też wykonywane migawki i replikacje.
3. W zależności od rodzaju i przeznaczenia oraz sposobów wykorzystywania poszczególnych systemów informatycznych, danych w nich przetwarzanych, a także procesów i lokalizacji, gdzie  są  stosowane,  za  wykonywanie,  weryfikację  (testowanie),  przechowywanie i przywracanie kopii zapasowych systemów, oprogramowania i danych odpowiadają:
   1. administrator systemów informatycznych,
   2. poszczególni użytkownicy systemów informatycznych,
   3. personel  podmiotów  zewnętrznych,  które  świadczą  dla  administratora  usługi

informatyczne.

4. Każdą wykonywaną kopię zapasową informacji oznacza się w sposób trwały, unikatowym

identyfikatorem i opisuje się jej zawartości.

5. Każda zmiana informacji, w tym aktualizacja oprogramowania, bezwzględnie wymaga

uprzedniego wykonania ich kopii zapasowych.

6. Dla zapewnienia dostępności (ciągłości bezpieczeństwa) danych osobowych, co najmniej jedna kopia ze wszystkich wykonanych dla każdego rodzaju i zakresu kopii zapasowych systemów, oprogramowania i danych, musi być przechowywana w lokalizacji innej, niż lokalizacja środowiska, którego dotyczy.
7. Przywracanie kopii zapasowych informacji realizowane jest, przez osoby określone

w punkcie 3., w przypadku zniszczenia, utraty, nieprawnej albo nieprawidłowej modyfikacji

systemów, oprogramowania lub danych, zmian sprzętowych lub oprogramowania albo

w celu testowania poprawności kopii zapasowych.

8. Wszelkie niezbędne kopie zapasowe informacji ewidencjonowane są w planie kopii zapasowych informacji.
   5. Zarządzanie uprawnieniami do przetwarzania danych osobowych

w systemach informatycznych

1. W zależności od warunków licencyjnych i technicznych poszczególnych systemów informatycznych, zarządzanie uprawnieniami ich użytkowników należy do administratora, administratora systemów informatycznych lub do innych osób uprawnionych w tym zakresie przez administratora lub przez dostawców systemów informatycznych.
2. Każdy użytkownik systemu informatycznego posiada własny, unikatowy identyfikator, aby

można było monitorować jego działania.

3. Użycie identyfikatorów grupowych jest dozwolone tylko wtedy, gdy uzasadniają to

ograniczenia systemu informatycznego.

4. Identyfikatory użytkowników, którzy utracili uprawnienia do korzystania z określonych systemów informatycznych są dezaktywowane, ale zachowywane.
5. Uprzednio użyte identyfikatory nie są ponownie przydzielane nowym użytkownikom.
6. Szczegółowe wymagania organizacyjne związane z nadawaniem, zmianą i odbieraniem uprawnień dostępowych do systemów informatycznych zostały określone w rozdziale
7. Przetwarzanie danych osobowych.

 

1. 6. Zasady tworzenia i postępowania z hasłami
1. Hasła dostępowe, tak jak i inne informacje uwierzytelniające, należy zachowywać w ścisłej tajemnicy i chronić przed dostępem osób nieuprawnionych.
2. Z zastrzeżeniem wyjątku opisanego w punkcie 3., zabrania się przekazywania indywidualnych haseł dostępowych innym osobom, czy współdzielenia tych haseł z innymi osobami.
3. Wymóg, opisany w punkcie 2., nie ma zastosowania wyłącznie do:
   1. grupowych haseł dostępowych,
   2. haseł dostępowych ustanawianych w celu ochrony kryptograficznej informacji cyfrowych przekazywanych określonym odbiorcom, które można przekazywać jednak wyłącznie innymi kanałami komunikacyjnymi niż te, które wykorzystano do przesłania zabezpieczonych informacji.
4. Nakazuje się niezwłoczne zmienianie haseł dostępowych, jeśli doszło do ich nieprawnego ujawnienia lub istnieje takie uzasadnione podejrzenie.
5. Zabrania  się  zapamiętywania  (zapisywania)  haseł  dostępowych  w  przeglądarkach

internetowych.

6. Zabrania się korzystania z tych samych haseł w dostępie do różnych systemów

informatycznych.

7. Zabrania się wykorzystywania haseł dostępowych w celach innych niż te, dla których zostały ustanowione  oraz  w  urządzeniach,  aplikacjach  i  sieciach  innych,  niż  określone i dopuszczone przez administratora.

8. Jeśli system informatyczny automatycznie nie wymusza, hasła dostępowe należy okresowo

zmieniać – nie rzadziej niż co 90 dni.

9. Jeśli w systemie informatycznym nie zostały zdefiniowane inne, bardziej rygorystyczne

kryteria, hasła dostępowe:

1. 1. muszą mieć minimalną długości 16 znaków, o ile tylko system informatyczny umożliwia zastosowanie takiej liczby znaków,
   2. nie mogą opierać się na prostych skojarzeniach, łatwych do odgadnięcia lub wywnioskowania z informacji dotyczących posiadacza hasła,
   3. nie mogą być podatne na atak słownikowy (nie mogą być pojedynczymi słowami),
   4. nie mogą zawierać ciągu jednakowych znaków ani grup znaków złożonych z samych cyfr

lub samych liter,

9. 5. powinny zawierać co najmniej jeden ze znaków specjalnych,
   6. powinny się składać z dużych i małych liter,
   7. jeśli są tymczasowe, to należy je bezwzględnie zmienić przy pierwszym uwierzytelnieniu.
10. Jeśli jest to możliwe jako hasła można stosować niestandardowe zdania z zachowaniem wymagań opisanych w pkt 7., np.: „7ubie_TuPracowaC!”, „trudn0_Spami3tac-teH@SLA”.
11. Jeżeli jest to technicznie możliwe, dostęp do wszelkich kont uprzywilejowanych, przez które należy rozumieć przede wszystkim konta administratorów systemów informatycznych, powinien być zabezpieczony poprzez stosowanie wieloskładnikowego uwierzytelniania (MFA – Multi Factor Authentication), minimum dwuskładnikowego (2FA).
12. W celu umożliwienia tworzenia prawidłowych haseł oraz bezpiecznego ich przechowywania, w organizacji preferowane jest stosowanie przez personel oprogramowanie komputerowe do zarządzania hasłami (menadżerów haseł).
    7. Praca    w    systemach    informatycznych    wykorzystywanych    do przetwarzania danych osobowych

1. Rozpoczęcie pracy w systemie informatycznym wymaga identyfikacji (określenia tożsamości) uwierzytelnienia (udowodnienia tożsamości) oraz autoryzacji użytkownika (nadania uprawnień dostępowych do zasobów systemowych).
2. W zależności od poszczególnych systemów informatycznych, uwierzytelnienie następuje

poprzez:

2. 1. podanie identyfikatora użytkownika (login) i hasła lub numeru PIN,
   2. użycie profilu zaufanego lub kwalifikowalnego podpisu elektronicznego,
   3. użycie elektronicznej lub magnetycznej karty dostępowej,
   4. identyfikację biometryczną (odcisk palca, wizerunek itp.),
   5. wprowadzenie jednorazowego kodu dostępowego (tokenu),
   6. wprowadzenie symbolu graficznego,
   7. uwierzytelnienie wieloskładnikowe (MFA) – co najmniej dwuskładnikowe (2FA).
3. Czasowe zawieszenie pracy w systemie informatycznym dopuszczalne jest pod warunkiem zablokowania przez użytkownika dostępu innych osób do tego systemu. Wznowienie pracy powinno wymagać ponownego uwierzytelnienia.
4. Ekrany monitorów komputerowych pozycjonowane mogą być wyłącznie w sposób uniemożliwiający osobom nieuprawnionym wgląd w wyświetlane na nich dane osobowe.

5. Zabrania się udostępniania stanowisk komputerowych, w tym sprzętu komputerowego

i oprogramowania do przetwarzania danych osobowych, osobom nieuprawnionym.

6. Zabrania się pracy w systemach informatycznych na jednym koncie przez dwóch lub więcej użytkowników.
7. Zabrania się przetwarzania danych osobowych z wykorzystaniem urządzeń komputerowych i oprogramowania komputerowego oraz sieci do tego nie przeznaczonych, tj. które nie zostały przydzielone do użytku przez administratora lub które nie zostały zaakceptowane do użytku (autoryzowane) przez administratora.
8. Zabrania się korzystania z urządzeń komputerowych, informatycznych nośników danych i systemów informatycznych administratora w lokalizacjach, celach, zakresach i czasie innych, niż określone przez administratora.
9. Zabrania się samodzielnego instalowania, modyfikowania i usuwania jakiegokolwiek oprogramowania komputerowego w urządzeniach komputerowych administratora, które służą do przetwarzania danych osobowych.
10. Zabrania się użytkownikom korzystania z urządzeń komputerowych, oprogramowania komputerowego, informatycznych nośników danych, sieci oraz sprzętu i wyposażenia administratora w celach i w zakresach innych niż realizacja powierzonych obowiązków.
11. Zakończenie pracy w systemie informatycznym wymaga zabezpieczenia wszelkich informatycznych zewnętrznych nośników danych przed dostępem do nich osób nieuprawnionych.
12. Zakończenie pracy w systemie informatycznym następuje poprzez prawidłowe, właściwe dla danego systemu informatycznego, wykonanie czynności kończących jego użytkowanie. Zabrania się zakańczania pracy w systemach informatycznych jedynie poprzez odłączenie napięcia zasilającego urządzenia komputerowe.
13. Użytkownik systemów informatycznych zobowiązany jest do prawidłowej eksploatacji powierzonych mu urządzeń i oprogramowania komputerowego oraz informatycznych nośników danych, tj. zgodnie z ich przeznaczeniem, a także do niezwłocznego zgłaszania wszelkich ich awarii, zniszczenia lub utraty administratorowi.
14. W przypadku stwierdzenia lub podejrzenia nieautoryzowanego dostępu do systemu informatycznego, użytkownik zobowiązany jest niezwłocznie powiadomić o tym administratora.
    8. Ochrona kryptograficzna (szyfrowanie) danych osobowych

1. Szyfrowanie danych osobowych stosowane jest w uzasadnionych przypadkach. Bezwzględnie do zabezpieczania danych osobowych w postaci cyfrowej, utrwalonych na wymiennych informatycznych nośnikach danych (zewnętrznych dyskach twardych, pamięciach masowych, dyskach optycznych) lub w urządzeniach przenośnych albo przesyłanych drogą elektroniczną.
2. Szyfrowanie  wykorzystywane  jest  również  do  zapewnienia  niezaprzeczalności i autentyczności danych osobowych, osób i podmiotów.
3. Kryptografia wykorzystywana jest także do uwierzytelnienia użytkowników i systemów, występujących o dostęp lub o umożliwienie transakcji z innymi użytkownikami systemu, elementami systemu lub zasobami.

4. Dopuszcza się do stosowania zarówno sprzętowe jak i programowe metody szyfrowania, dobierane w zależności od potrzeb i możliwości ich zastosowania. Stosuje się algorytmy kryptograficzne zgodnie z najlepszymi praktykami.
5. Szyfrowanie danych osobowych w postaci cyfrowej realizowane może być wyłącznie z wykorzystaniem dedykowanego oprogramowania komputerowego, dopuszczonego przez administratora, takiego jak np. aplikacja „7-Zip”, za pomocą, której można dodatkowo kompresować dowolne rodzaje plików, a także katalogi plików.
6. W celu zaszyfrowania katalogu lub pliku wystarczy kliknąć go prawym przyciskiem myszy i w wyświetlonym menu wskazać opcję „7-Zip” oraz „Dodaj do archiwum…”

 

 

 

 

7. W wyświetlonym oknie należy wpisać nazwę tworzonego pliku lub katalogu, a także wybrać format archiwum, pozostawiając domyślny „7z” lub wybierając „zip”, określić stopień i metodę kompresji archiwum, utworzyć hasło i zatwierdzić szyfrowanie „OK”.

8. Aplikacja 7-Zip tworzy zaszyfrowany plik / katalog, pozostawiając w niezmienionej postaci

plik / katalog, na podstawie którego zaszyfrowane archiwum zostało utworzone.

 

 

 

 

9. Otwarcie zaszyfrowanego pliku / katalogu wykonuje się klikając na jego ikonie prawym przyciskiem myszy kolejno w opcje „7-Zip” oraz „Otwórz archiwum” i wymaga podania hasła dostępowego.

 

 

 

 

10. Brak lub błędne hasło uniemożliwia rozszyfrowanie archiwum.

 

 

 

1. 9. Zasady korzystania z poczty elektronicznej
1. Korzystanie z poczty elektronicznej wymaga spełnienia niżej wymienionych kryteriów i innych, adekwatnych wdrożonych przez administratora zabezpieczeń chroniących wiadomości i przesyłane w nich dane osobowe przed nieuprawnionym dostępem, modyfikacją, zniszczeniem lub utratą.

2. Przesyłanie danych osobowych pocztą elektroniczną może odbywać się wyłącznie w uzasadnionych przypadkach i tylko pod warunkiem stosowania mechanizmów ochrony kryptograficznej, zgodnie z wymaganiami określonymi w rozdziale 23.8. Ochrona kryptograficzna (szyfrowanie) danych osobowych.
3. Przesyłanie wiadomości elektronicznych, w uzasadnionych przypadkach, a bezwzględnie, jeśli wynika to z przepisów prawa, wymaga stosowania podpisów elektronicznych.
4. Przesyłanie wiadomości może być realizowane wyłącznie w celach służbowych i tylko za pomocą oprogramowania i urządzeń komputerowych do tego przeznaczonych –zapewnionych lub dopuszczonych (autoryzowanych) przez administratora.
5. Zabrania się korzystania z prywatnej poczty elektronicznej w urządzeniach komputerowych

administratora.

6. Nadawcy wiadomości zobowiązani są zwracać szczególną uwagę na poprawność wprowadzanych adresów odbiorców wiadomości w celu niedopuszczenia do nieuprawnionego udostępnienia informacji osobom nieupoważnionym.
7. Zabrania się otwierania załączników i uruchamiania odnośników (linków) do stron internetowych, których adresy znajdują się w wiadomościach otrzymanych od nieznanych nadawców, czy też w wiadomościach, których treść albo okoliczności ich otrzymania wzbudzają jakiekolwiek wątpliwości podejrzenia odbiorcy wiadomości.
8. Zabrania się automatycznego przekierowywania wiadomości na inne niż dozwolone adresy

poczty elektronicznej.

9. Zabrania się tworzenia i przesyłania wiadomości zawierających treści nieetyczne, naruszające powszechnie obowiązujące zasady współżycia społecznego, o charakterze przestępczym, niedozwolone przez prawo lub przez organizację.
10. Użytkownicy zobowiązani są do usuwania niepotrzebnych wiadomości elektronicznych oraz tych, z których treścią się już zapoznali i zrealizowali niezbędne czynności z nimi związane. Jeśli istnieje potrzeba zachowania treści otrzymanych lub wysłanych wiadomości, wówczas przed usunięciem ich z aplikacji pocztowych, można je, w zależności od potrzeb i możliwości, wydrukować na papierze lub utrwalić w formie dokumentów elektronicznych, a następnie przechowywać w odpowiednim repozytorium, innym niż klient poczty elektronicznej.
11. Wysyłając informacje w wiadomościach kierowanych jednocześnie do wielu adresatów, należy stosować dostępne mechanizmy ukrywania adresów pocztowych odbiorców takich wiadomości.
    10. Zasady korzystania z Internetu

1. Osoby przetwarzające dane osobowe uprawnione są do korzystania z Internetu wyłącznie w celach służbowych.
2. Zabrania się korzystania z nieautoryzowanych lub zabronionych zasobów Internetu, pobierania i instalowania w urządzeniach komputerowych organizacji plików i aplikacji innych niż niezbędne i dopuszczone przez organizację do realizacji powierzonych obowiązków.
3. Zabrania się korzystania z zasobów sieci Internet udostępniających treści o charakterze przestępczym, pornograficznym lub innych zakazanych przez prawo lub niedozwolonych przez organizację.

4. Zabrania się podejmowania czynności powodujących obejście lub wyłączenie zabezpieczeń sieciowych wdrożonych przez administratora.
5. Zabrania się włączania opcji autouzupełniania formularzy i zapamiętywania haseł dostępowych do systemów informatycznych w opcjach przeglądarek internetowych.
6. W przypadku przesyłania danych osobowych należy bezwzględnie stosować szyfrowane

połączenia przez przeglądarkę.

7. Zobowiązuje się użytkowników systemów informatycznych do niezwłocznego informowania administratora systemów informatycznych lub administratora o wszelkich stwierdzonych lub domniemanych nieprawidłowościach przy korzystaniu z Internetu.
   11. Zasady stosowania urządzeń mobilnych

1. Korzystanie z urządzeń mobilnych do przetwarzania danych osobowych poza siedzibą administratora wymaga bezwzględnej i uprzedniej autoryzacji w formie polecenia służbowego lub zgody administratora lub bezpośredniego przełożonego.
2. Dane osobowe przechowywane w urządzeniach mobilnych i na zewnętrznych informatycznych nośnikach danych, a także urządzenia te i nośniki, zabezpiecza się przed ich zniszczeniem, utratą (zagubieniem lub kradzieżą), nieuprawnioną modyfikacją danych osobowych oraz przed ich nieuprawnionym dostępem (odczytem) lub ujawnieniem, które skutkowałoby utratą ich poufności, integralności i dostępności, a przez to naruszeniem ochrony danych osobowych.
3. Dla zapewnienia bezpieczeństwa danych osobowych przetwarzanych w urządzeniach mobilnych, w tym przechowywanych w zewnętrznych informatycznych nośnikach danych, bezwzględnie stosuje się właściwe środki techniczne i organizacyjne, zgodne z określonymi w rozdziale 18. Zabezpieczenia – środki organizacyjne i techniczne.
4. Prawidłowa ochrona danych osobowych wymaga, aby urządzenia mobilne, w tym zewnętrzne informatyczne nośniki danych:
   1. nie były pozostawiane bez nadzoru w miejscach publicznych i innych, do których dostęp mają lub mogą mieć osoby nieuprawnione,
   2. przechowywane były w zamykanych pomieszczeniach, do których dostęp mają wyłącznie uprawnione osoby lub w pomieszczeniach stale nadzorowanych przez osoby uprawnione, a jeżeli warunek ten nie jest możliwy do spełnienia, wówczas przechowywane muszą być w zamykanych miejscach (np. w szafach), do których dostęp mają wyłącznie uprawnione osoby,
   3. przechowywane były wyłącznie w miejscach bezpiecznych, gdzie nie ulegną uszkodzeniu

lub zniszczeniu,

1. 4. w czasie transportu nie były dostępne dla osób nieuprawnionych,
   5. użytkowane były zgodnie z ich przeznaczeniem i chronione w sposób określony przez ich

producenta lub dostawcę.

5. Zewnętrzne informatyczne nośniki danych oraz te zainstalowane w urządzeniach mobilnych bezwzględnie podlegają ochronie kryptograficznej, zgodnie z wymaganiami określonymi w rozdziale 23.8. Ochrona kryptograficzna (szyfrowanie) danych osobowych.

25. Czynności zabronione

Dla zapewnienia bezpieczeństwa eksploatacji oraz minimalizacji ryzyka naruszenia ochrony danych osobowych, określa się niżej wymienione czynności zabronione, których przestrzeganie jest obowiązkiem każdej osoby przetwarzającej dane osobowe.

1. Co nie jest dozwolone jest zabronione. Nadrzędna zasada zabraniająca realizowania niewdrożonych w organizacji procesów (czynności przetwarzania) oraz realizowania wdrożonych procesów (czynności przetwarzania) w sposób lub z wykorzystaniem środków przetwarzania innych, niż dozwolone w organizacji lub przez nieuprawnione osoby.
2. Nie ujawniaj swoich haseł. Twoje indywidualne hasła należą wyłącznie do Ciebie i nikt poza Tobą nie może ich znać, ani mieć do nich dostępu. Nie przekazuj ich słownie, nie zamieszczaj ich w treści dokumentów papierowych, wiadomości elektronicznych (e-mail, SMS, MMS itp.), ani nie utrwalaj ich na informatycznych nośnikach danych, do których dostęp mogą mieć nieuprawnione osoby.
3. Nie zapisuj (nie zapamiętuj) swoich haseł w przeglądarkach internetowych. Hasła tak utrwalone są łatwe do odczytania i wykorzystania przez nieuprawnione osoby, które np. uzyskają dostęp do Twojego komputera.
4. Nie stosuj tego samego hasła w różnych systemach informatycznych. Do każdego systemu informatycznego stosuj inne hasło, aby w przypadku jego ujawnienia nieuprawnione osoby nie mogły uzyskać dostęp do wielu systemów informatycznych.
5. Nie pozostawiaj odblokowanych urządzeń komputerowych i systemów informatycznych i nie udostępniaj swojego sprzętu komputerowego i oprogramowania osobom nieuprawnionym. Zabezpieczaj nieużywane w danym momencie komputery osobiste i urządzenia mobilne przed nieupoważnionym dostępem, poprzez blokadę klawiatury lub w inny równoważny sposób. Zamykaj aktywne sesje po zakończeniu pracy, chyba że są one zabezpieczane przez odpowiedni mechanizm blokujący, np. wygaszacz ekranu chroniony hasłem.
6. Nie pracuj w systemach informatycznych na jednym koncie z innymi użytkownikami. Każdy użytkownik systemu informatycznego musi posiadać odrębny do niego dostęp, aby dochować wymogu rozliczalności przetwarzanych informacji.
7. Nie wykorzystuj oprogramowania i urządzeń komputerowych do celów niedozwolonych. Zabronione jest wykorzystywania oprogramowania i urządzeń komputerowych do celów innych, niż przetwarzanie informacji w zakresie zgodnym z realizowanymi obowiązkami służbowymi.
8. Nie korzystaj z nieautoryzowanego oprogramowania i urządzeń komputerowych, ani z niedopuszczonych do użytku informatycznych nośników danych. Zabronione jest korzystanie z oprogramowania i urządzeń komputerowych oraz z informatycznych nośników danych (dysków twardych, pamięci masowych i nośników optycznych, tj. płyt CD / DVD) innych, niż dopuszczone przez organizację.
9. Nie zaniedbuj obowiązku szyfrowania informacji chronionych. Informacje chronione w postaci cyfrowej utrwalone na wymiennych informatycznych nośnikach danych lub w urządzeniach przenośnych albo przesyłane drogą elektroniczną (np. w załącznikach wiadomości e-mail) należy bezwzględnie szyfrować.

10. Nie zaniedbuj obowiązku stosowania polityki czystego biurka. Nie pozostawiaj dokumentów papierowych ani przenośnych informatycznych nośników danych w zasięgu i w miejscach dostępnych dla osób nieuprawnionych. Nie pozostawiaj bez nadzoru osób nieuprawnionych w pomieszczeniach, w których przetwarzasz informacje.
11. Nie zaniedbuj obowiązku stosowania polityki czystego ekranu. Ustawiaj monitory urządzeń komputerowych w taki sposób, aby wyświetlane na nich informacje nie były widoczne dla osób nieuprawnionych.

26. Terminy stosowane w Polityce Ochrony Danych Osobowych

W Polityce Ochrony Danych Osobowych zastosowano niżej opisane terminy.

 

Lp.	Termin	Opis terminu
1.	Administrator	Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
2.	Administrator systemów informatycznych (ASI)	Osoba, która realizuje i nadzoruje zarządzanie systemami informatycznymi organizacji, wspierając i weryfikując działania innych administratorów, w tym zewnętrznych, dotyczące zapewnienia bezpieczeństwa informacji przetwarzanych w systemach informatycznych i w sieciach teleinformacyjnych, w tym związane z zarządzaniem dostępem do systemów informacyjnych, tj. nadawania, modyfikowania i odbierania uprawnień dostępowych poszczególnym użytkownikom. Doradza w doborze oraz implementuje środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej oraz narzędzi programowych  i  baz  danych,  a  także  inwentaryzuje i aktualizuje urządzenia i oprogramowanie komputerowe oraz sieciowe, jak też nadzoruje i wspiera realizację przedmiotowych  działań  wykonywanych  przez  innych administratorów systemów informatycznych organizacji.
3.	Analiza ryzyka	Proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzyka. Analiza ryzyka stanowi podstawę do oceny ryzyka oraz podejmowania decyzji w zakresie postępowania z ryzykiem. Analiza ryzyka zawiera estymację ryzyka.
4.	Analiza wpływu biznesowego (BIA – Business Impact Analysis)	Proces analizowania wpływu na organizację w czasie zakłócenia, którego wynikiem jest deklaracja i uzasadnienie wymagań ciągłości działania.
5.	Anonimizacja	Proces zmiany informacji sektora publicznego w informacje anonimowe, które nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, lub proces zmiany danych osobowych w dane anonimowe w taki

 

Lp.	Termin	Opis terminu
		sposób, że identyfikacja osoby, której dane dotyczą, nie jest lub już nie jest możliwa.
6.	Ciągłość działania (BC – Business Continuity)	Zdolność organizacji do ciągłego dostarczania wyrobów i usług w akceptowalnych ramach czasowych, przy zdefiniowanej wcześniej zdolności do działania w czasie zakłócenia.
7.	Czynność przetwarzania	Proces, zbiór operacji wykonywanych na danych osobowych, wzajemnie powiązanych lub wzajemnie oddziałujących, realizowany dla osiągnięcia określonych celów przetwarzania danych osobowych.
8.	Dane biometryczne	Dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
9.	Dane dotyczące zdrowia	Dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej –ujawniające informacje o stanie jej zdrowia.
10.	Dane genetyczne	Dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.
11.	Dane osobowe	Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), w szczególności imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
12.	Docelowy czas odzyskiwania (przywracania) (RTO – Recovery Time Objective)	Czasu, w którym należy przywrócić minimalny poziom usług i / lub produktów oraz wspierających je systemów, aplikacji lub funkcji po wystąpieniu zakłócenia. RTO <= MAO = MTPD
13.	Docelowy punk odzyskiwania (przywracania) (RPO – Recovery Point Objective)	Punkt w czasie, do którego informacja wykorzystywana przez określone działanie musi zostać odzyskana w celu umożliwienia wznowienia tego działania. Punkt w czasie, w którym informacja jest gwarantowana. Punkt w czasie wskazujący na akceptowalny poziom utraty danych, tj. określający maksymalną ilość utraconych danych.
14.	Działanie doskonalące	Działanie     mające     na      celu      optymalizację,     poprawę efektywności i skuteczności bezpieczeństwa informacji.

 

Lp.	Termin	Opis terminu
15.	Działanie korygujące (prewencyjne)	Działanie    mające    na    celu    wyeliminowanie    przyczyny niezgodności i zapobieżenie ich powtórzeniu.
16.	Działanie naprawcze (zaradcze)	Działanie mające na celu naprawę, tj. wyeliminowanie lub minimalizację          następstw          incydentu         związanego z bezpieczeństwem informacji.
17.	Identyfikowanie ryzyka	Proces wyszukiwania, rozpoznawania i opisywania ryzyka. Identyfikowanie ryzyka obejmuje rozpoznanie źródeł ryzyka, zdarzeń, ich przyczyn i potencjalnych następstw. Identyfikowanie ryzyka może obejmować dane historyczne, analizy teoretyczne, pozyskane opinie, opinie ekspertów oraz potrzeby interesariuszy.
18.	Inspektor ochrony danych (IOD)	Osoba  wyznaczona  przez  administratora  lub  podmiot przetwarzający, realizująca zadania określone w przepisach o ochronie danych osobowych.
19.	Maksymalny akceptowalny okres przestoju (MAO – Maximum Acceptable Outage)	Czas, po upływie którego negatywne skutki, jakie mogą powstać w wyniku niedostarczenia produktu, usługi lub wykonywania czynności, stają się nieakceptowalne. MAO = MTPD => RTO
20.	Maksymalny tolerowany okres zakłócenia (MTPD – Maximum Tolerable Period of Disruption)	Czas, po upływie którego negatywne skutki, jakie mogą powstać w wyniku niedostarczenia produktu, usługi lub wykonywania czynności, stają się nieakceptowalne. MTPD = MAO => RTO
21.	Minimalny docelowy poziom działalności (MBCO – Minimum Business Continuity Objective)	Minimalny docelowy poziom działalności (dostarczania usług lub produktów), który jest akceptowalny przez organizację dla osiągnięcia celów jej działalności w czasie trwania zakłócenia.
22.	Naruszenie ochrony danych osobowych	Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych,  przechowywanych  lub  w  inny  sposób przetwarzanych.
23.	Następstwa (skutki, rezultaty)	Straty powstałe w wyniku wystąpienia zdarzenia związanego z bezpieczeństwem informacji, w tym naruszenia ochrony danych osobowych.
24.	Niezgodność	Niespełnienie wymagania.
25.	Obszar przetwarzania danych osobowych	Lokalizacje  przetwarzania  danych  osobowych:  siedziba i  inne  miejscach  prowadzenia  działalności  organizacji,

 

Lp.	Termin	Opis terminu
		zgodnie ze strukturą organizacyjną lub w cyberprzestrzeni, przestrzeni publicznej i prywatnej.
26.	Ocena skutków dla prywatności Ocena wpływu na prywatność (PIA – Privacy Impact Assesment)	Proces identyfikowania, analizowania, oceniania, konsultowania, komunikowania i planowania postępowania, z uwzględnieniem potencjalnych skutków dla prywatności w związku z przetwarzaniem informacji o identyfikowalnych osobach, ujęty w ramy szerszego podejścia organizacji do zarządzania ryzykiem.
27.	Ocena ryzyka	Proces porównywania wyników analizy ryzyka z kryteriami ryzyka w celu stwierdzenia czy ryzyko lub jego wielkość są akceptowalne lub tolerowane. Ocena ryzyka wspomaga podejmowanie decyzji w zakresie postępowania z ryzykiem.
28.	Odbiorca (danych osobowych)	Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią, z wyłączeniem organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem.
29.	Plan ciągłości działania (BCP – Business Continuity Plan)	Udokumentowana informacja, która ukierunkowuje organizację na reagowanie na zakłócenie oraz wznowienie, odzyskanie i przywrócenie dostaw wyrobów i usług zgodnie z jej celami w zakresie ciągłości działania.
30.	Podatność	Słabość  zasobu  lub  zabezpieczenia,  w  tym  luka  lub sprzeczność w wymaganiach albo w działaniach, która może być wykorzystana przez jedno lub więcej zagrożeń.
31.	Podmiot przetwarzający Procesor PII (PII – Personally Identifiable Information	Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Podmiot odpowiedzialny za ochronę prywatności, który przetwarza informacje umożliwiające identyfikację osoby (PII) w imieniu i zgodnie z instrukcjami Administratora PII.
32.	Postępowanie z ryzykiem	Postępowanie z ryzykiem, które obejmuje: unikanie ryzyka polega na nierozpoczynaniu planowanych lub niekontynuowaniu realizowanych procesów albo eliminowaniu warunków, które powodować mogą lub powodują powstanie lub utrzymywanie się ryzyka, redukowanie (modyfikowanie) ryzyka poprzez zapobieganie, eliminowanie, minimalizowanie, następstw (skutków) i / lub prawdopodobieństwa wystąpienia incydentu przez wdrożenie, usunięcie lub zmianę zabezpieczeń,

 

Lp.	Termin	Opis terminu
		dzielenie ryzyka – z inną stroną – to częściowy lub całkowity transfer ryzyka do podmiotu zewnętrznego, zachowanie (retencja, akceptacja) ryzyka polega na podjęciu decyzji o niepodejmowaniu żadnych działań, jeśli poziom ryzyka spełnia kryteria akceptowania ryzyka lub jeśli przewidywane rezultaty wszelkich możliwych do realizacji działań nie będą skutkować obniżeniem poziomu ryzyka i jednocześnie nie ma możliwości uniknięcia ryzyka.
33.	Poufność	Właściwość polegająca na tym, że informacja nie jest udostępniana, ani ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
34.	Poziom ryzyka	Wielkość  ryzyka  wyrażona  w  kategoriach  kombinacji następstw oraz ich prawdopodobieństwa.
35.	Prawdopodobieństwo	Możliwość           wystąpienia          zdarzenia           związanego z bezpieczeństwem informacji, w tym naruszenia ochrony danych osobowych.
36.	Profilowanie	Dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
37.	Przetwarzanie danych osobowych	Operacja lub zestaw operacji wykonywanych na danych osobowych lub ich zestawach, w sposób zautomatyzowany lub niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie,           porządkowanie,           przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
38.	Pseudonimizacja	Przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

 

Lp.	Termin	Opis terminu
39.	Ryzyko naruszenia praw lub wolności osób fizycznych	Kombinacja prawdopodobieństwa wystąpienia określonych zagrożeń oraz ich następstw niematerialnych, materialnych, finansowych lub na zdrowiu osoby, której dane dotyczą.
40.	Ryzyko rezydualne (zachowane, szczątkowe)	Ryzyko zachowane, podlegające retencji, pozostające po zastosowaniu      działań     określonych     w      postępowaniu z ryzykiem.
41.	System informacyjny System teleinformatyczny	Zespół współpracujących ze sobą urządzeń, programów, usług i innych aktywów technik informacyjnych lub komponentów   przetwarzających   informacje,   wraz z przetwarzanymi w nich danymi w postaci elektronicznej.
42.	Szacowanie ryzyka	Całościowy proces identyfikowania, analizy i oceny ryzyka.
43.	Szczególne kategorie danych osobowych (dane wrażliwe)	Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
44.	Uwierzytelnienie	Pewność, że deklarowana charakterystyka podmiotu jest poprawna.
45.	Zabezpieczenie	Środek, który utrzymuje lub modyfikuje ryzyko. Zabezpieczenia obejmują procesy, polityki, urządzenia, praktyki lub inne działania, które utrzymują lub modyfikują ryzyko.
46.	Zagrożenie	Potencjalna przyczyna niepożądanego incydentu, który może powodować szkodę w systemie lub organizacji.
47.	Zakłócenie	Zdarzenie, przewidywane lub nieprzewidziane, które powoduje nieplanowane, negatywne odchylenie od oczekiwanej dostawy produktów i usług zgodnych z celami organizacji.
48.	Zarządzanie ciągłością działania (BCM – Business Continuity Management)	Holistyczny (całościowy) proces zarządzania, który identyfikuje potencjalne zagrożenia i skutki, jaki te zagrożenia, jeśli wystąpią, mogą wywrzeć na działalność organizacji, zapewniający ramy do budowania odporności organizacyjnej z możliwością skutecznej reakcji, która zabezpiecza interesy jej kluczowych interesariuszy oraz chroni jej reputację, markę i działania tworzące wartość.
49.	Zbiór danych	Uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany, czy rozproszony funkcjonalnie lub geograficznie.
50.	Zgodność	Spełnienie wymagania.

---

PDFPolityka Ochrony Danych Osobowych 2026.pdf (972,97KB)