POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W

AF Motors Anna Frelik

87-100 TORUŃ, ul. Szosa Chełmiśka 214

 

  • Podział obowiązków   
  • Inwentaryzacja zasobów informacyjnych
  • Inwentaryzacja zasobów informatycznych
  • Szacowanie ryzyka i wybór zabezpieczeń
  • Realizowanie obowiązków informacyjnych
  • Gotowość do realizacji uprawnień osób, których dane są przetwarzane
  • Powierzanie przetwarzania danych osobowych 
  • Naruszenia ochrony danych 
  • Monitorowanie i sprawdzanie

         

        CZEŚĆ PIERWSZA – PODZIAŁ OBOWIĄZKÓW

        §1

        Osoba prowadząca działalność gospodarczą, działając jako administrator danych osobowych (dalej jako „AD”) jest odpowiedzialna za realizację obowiązków wskazanych w niniejszej polityce.

        §2

        AD, AF Motors Anna Frelik  może wyznaczyć pełnomocnika ds. ochrony danych, który będzie bezpośrednio realizował zadania w jego imieniu, ze szczególnym uwzględnieniem szacowania ryzyka  oraz rozpatrywania naruszeń ochrony danych.

        §3

        Szczegółowy zakres czynności pełnomocnika ds. ochrony danych powinien być każdorazowo wyczerpująco uregulowany w ramach nadawanego upoważnienia.

        §4

        AD, AF MOTORS ANNA FRELIK może wyznaczyć administratora systemu informatycznego (dalej jako „ASI”), odpowiedzialnego za zapewnienie ciągłości i bezpieczeństwa funkcjonowania systemu informatycznego, w szczególności nadawania oraz odbierania uprawnień w imieniu AD do poszczególnych aplikacji, programów, systemów operacyjnych lub urządzeń elektronicznych, przeprowadzenie inwentaryzacji zasobów informatycznych wskazanej w rozdziale III niniejszego dokumentu oraz, gdy zajdzie taka potrzeba – zabezpieczenie informacji niezbędnych do stwierdzenia naruszenia ochrony danych związanego z systemem  informatycznym.

        §5

        Szczegółowy zakres czynności ASI powinien być każdorazowo wyczerpująco uregulowany w ramach nadawanego upoważnienia.

        §6

        Jeżeli AD, AF MOTORS ANNA FRELIK nie wyznaczy ASI, nie zwalnia go to z realizacji obowiązków związanych z zapewnieniem ciągłości i bezpieczeństwa działania systemu informatycznego.

        §7

        AD, AF MOTORS ANNA FRELIK  nadaje dostęp do przetwarzanych danych osobowych wyłącznie tym osobom, które zostały skutecznie zapoznane z wyciągiem z podstawowych zasad bezpieczeństwa danych osobowych, zobowiązały się do jego przestrzegania w drodze oświadczenia, oraz otrzymały upoważnienie ściśle precyzujące zakres czynności, które związane są z dostępem do danych osobowych.

        §8

        AD, AF MOTORS ANNA FRELIK  prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.

        CZEŚĆ DRUGA – INWENTARYZACJA ZASOBÓW INFORMACYJNYCH

        §1

        AD, AF MOTORS ANNA FRELIK   wykonuje i prowadzi na bieżąco inwentaryzację przetwarzanych informacji mogących stanowić dane osobowe.

        § 2

        Inwentaryzacja zasobów informacyjnych polega ustaleniu w stopniu wyczerpującym i kompletnym:

        • jakie kategorie informacji są przetwarzane
        • w jaki sposób
        • w jakim celu
        • na jakiej podstawie prawnej
        • w jakim miejscu
        • przez jaki okres czasu
        • kto może mieć do nich dostęp

        § 3 

        Inwentaryzacja zasobów informacyjnych zapisywana jest w formie dokumentu.

        §4

        Z inwentaryzacji zasobów informacyjnych powinno jasno wynikać, w stosunku do jakich informacji przedsiębiorca jest AD,  a w stosunku do jakich jest jedynie procesorem, któremu inny administrator danych jedynie powierzył przetwarzanie w konkretnym celu. AD prowadzi ewidencję wszystkich zawartych umów powierzenia przetwarzania.

        §5

        Po uwzględnieniu wyboru zabezpieczeń dokonanego w ramach szacowania ryzyka, należy uzupełnić rejestr czynności przetwarzania. W przypadku działania jako podmiot, któremu inny administrator powierzył przetwarzanie w trybie art. 28 RODO prowadzony jest rejestr wszystkich kategorii czynności przetwarzania dokonywanych na rzecz każdego z administratorów.

        §6

        Niezależnie od formy zapisu inwentaryzacji oraz dokumentu rejestru czynności przetwarzania, AD sporządza wykaz budynków i pomieszczeń stanowiących obszar przetwarzania danych osobowych oraz przetwarzanych zbiorów danych osobowych.

        CZEŚĆ TRZECIA – INWENTARYZACJA ZASOBÓW INFORMATYCZNYCH

        §1

        AD, AF MOTORS ANNA FRELIK. wykonuje i prowadzi na bieżąco inwentaryzację sprzętu wykorzystywanego do przetwarzania informacji mogących stanowić dane osobowe (inwentaryzacja zasobów informatycznych) oraz oprogramowania.

        §2

        Inwentaryzacja zasobów informatycznych polega ustaleniu w stopniu wyczerpującym i kompletnym:

        • jakie urządzenia są wykorzystywane do przetwarzania danych osobowych
        • jakie oprogramowanie jest wykorzystywane do przetwarzania danych osobowych
        • kategorii informacji przetwarzanych na konkretnych, odnotowanych co do tożsamości urządzeniach
        • miejscu ich przechowywania
        • osobach, które mogą mieć dostęp do tych urządzeń

        CZEŚĆ CZWARTA – SZACOWANIE RYZYKA I WYBÓR ZABEZPIECZEŃ

        §1

        AD, AF MOTORS ANNA FRELIK przeprowadza ogólne szacowanie ryzyka, które polega na przyporządkowaniu potencjalnych zagrożeń dla bezpieczeństwa danych osobowych wraz z zapisem i uzasadnieniem decyzji o konkretnych działaniach związanych z zabezpieczeniem informacji.

        §2

        AD, AF MOTORS ANNA FRELIK. zobowiązany jest do uwzględnienia możliwości nieuprawnionego lub przypadkowego:

        • zniszczenia
        • utraty
        • zmodyfikowania
        • nieuprawnionego ujawnienia
        • nieuprawnionego dostępu

        §4

        Szacowanie ryzyka przeprowadzane jest z perspektywy potencjalnych negatywnych skutków dla osób, których dane osobowe są przetwarzane w ramach prowadzonej działalności.

        CZĘŚĆ PIĄTA – REALIZOWANIE OBOWIĄZKÓW INFORMACYJNYCH

        §1

        AD, AF MOTORS ANNA FRELIK  przekazuje każdej osobie, której dane są przetwarzane informacje, o zakresie przetwarzania danych i jego czasie, chyba że przepis ustawy przewiduje zwolnienie z tego obowiązku.

         

        CZĘŚĆ SZÓSTA – GOTOWOŚĆ DO REALIZACJI UPRAWNIEŃ OSÓB, KTÓRYCH

         DANE SĄ PRZETWARZANE

        §1

        AD, AF MOTORS ANNA FRELIK  zapewnia możliwość dostępu do treści przetwarzanych danych osobowych – w formie udostępnienia bezpłatnej kopii danych osobowych (w formie elektronicznej lub papierowej), chyba że przepis ustawy zwalnia ją z tego obowiązku lub żądanie osoby, której dane są przetwarzane jest ewidentnie nieuzasadnione lub nadmierne.

        §2

        W przypadku uznania żądania za ewidentnie nieuzasadnione lub nadmierne należy uzasadnić odmowę realizacji żądania wskazując powody przemawiające za przyjęciem takiej kwalifikacji i w formie pisemnej przekazać uzasadnienie osobie wnoszącej żądanie informując, o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

        §3

        W przypadku tych informacji, które są przetwarzane przy użyciu środków elektronicznych na podstawie zgody lub umowy, AD, AF MOTORS ANNA FRELIK  przetwarza je w formie pozwalającej na przekazanie i odczyt przez innego administratora – jeżeli osoba, której dane dotyczą skorzysta z uprawnienia do przeniesienia dostarczonych przez nią danych.

        CZĘŚĆ SIÓDMA – POWIERZANIE PRZETWARZANIA DANYCH OSOBOWYCH

        §1

        W przypadku konieczności przekazania danych osobowych –  zarówno w formie papierowej jak i elektronicznej – do podmiotu, który ma realizować cele wskazane przez AD, uprzednio zawiera się umowę powierzenia przetwarzania.

        CZĘŚĆ ÓSMA – NARUSZENIA OCHRONY DANYCH

        §1

        AD, AF MOTORS ANNA FRELIK  informuje w formie wyciągu każdą osobę upoważnioną o potencjalnych możliwych naruszeniach ochrony danych i obowiązku ich niezwłocznego komunikowania bezpośredniemu przełożonemu.

        §2

        W przypadku pozyskania informacji z jakiegokolwiek źródła o potencjalnym naruszeniu ochrony danych, AD, AF MOTORS ANNA FRELIK. natychmiast podejmuje niezbędne środki w celu ustalenia, czy konkretne zdarzenie miało miejsce, a następnie, czy stanowiło ono naruszenie ochrony danych osobowych. Na tyle, na ile jest to możliwe należy podjąć działania, które ograniczą rozmiar i dotkliwość naruszenia dla osób, których danych ono dotyczyło.

        §3

        Z chwilą stwierdzenia naruszenia, AD, AF MOTORS ANNA FRELIK. niezwłocznie dokonuje klasyfikacji naruszenia.

        §4

        Każde stwierdzone naruszenie musi zostać odnotowane w wewnętrznym rejestrze naruszeń, a te naruszenia, które zostały zaklasyfikowane jako chrakteryzujące się większym niż niski stopniem powagi naruszenia muszą zostać zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych niezwłocznie – nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Naruszenia, które zostały zaklasyfikowane jako chrakteryzujące się WYSOKIM lub BARDZO WYSOKIM stopniem powagi naruszenia muszą zostać natychmiastowo zakomunikowane osobom, których danych one dotyczyły.

        CZĘŚĆ DZIEWIĄTA – MONITOROWANIE I SPRAWDZANIE

        §1

        W przypadku dokonywania aktualizacji należy sprawdzić, czy zachodzi konieczność dokonania ponownego szacowania ryzyka, o której mowa w części IV. W przypadku wątpliwości co do odpowiedniości zastosowanych środków bezpieczeństwa należy dokonać ponownej oceny ryzyka.

        §2

        AD, AF MOTORS ANNA FRELIK przynajmniej raz na miesiąc sprawdza wytyczne i rekomendacje wydawane przez Prezesa Urzędu Ochrony Danych Osobowych oraz Europejską Radę Ochrony Danych Osobowych, poprzez sprawdzenie treści zamieszczanych na oficjalnych stronach internetowych. Zapisane wytyczne i rekomendacje przechowywane są w formie elektronicznej w katalogu  na głównym komputerze służbowym.

        §3

        W sprawach nieuregulowanych niniejszym dokumentem znajdują zastosowanie odpowiadające w konkretnej sprawie postanowienia zawarte w wytycznych, opiniach oraz decyzjach grupy roboczej art. 29, Europejskiej Rady Ochrony Danych, Urzędu Ochrony Danych Osobowych, Komisji Europejskiej oraz zatwierdzonych przez Urząd Ochrony Danych mechanizmach certyfikacyjnych lub kodeksach postępowania.

        §4

        Niniejszy dokument wchodzi w życie z dniem 25 maja 2018 roku.

        …………………………

        Podpis Administratora Danych Osobowych

        Ta strona wykorzystuje pliki cookies
        OK