POLITYKA

OCHRONY DANYCH OSOBOWYCH

CRU Sp. z o.o.

Wersja 1 (data wdrożenia: 24 maja 2020 r.)

1. Wprowadzenie

Polityka Ochrony Danych (zwana w dalszej części również: „Polityką”) jest dokumentem wewnętrznym  CRU Sp. z o.o. prowadzonym przez podmiot: CRU Sp. z o.o., objęta obowiązkiem zachowania w poufności.

Celem opracowania i wdrożenia Polityki ochrony danych jest zdefiniowanie ogólnych wymagań i zasad ochrony, które będą fundamentem dla wszystkich dokumentów związanych z bezpieczeństwem informacji i ochroną danych osób, których te dane dotyczą w. Warunkiem wejścia w życie niniejszej „Polityki” jest wydanie stosownego zarządzenia (uchwały) przez Administratora.

„Polityka” zawiera wartość normatywną w zakresie oceny zachowania osób zatrudnionych w  firmie oraz świadczących na jej rzecz pracę na podstawie innej, niż umowa o pracę, pod kątem realizacji obowiązków pracowniczych lub umownych oraz wyciągania na tym polu konsekwencji dyscyplinarnych oraz umownych.

„Polityka” została opracowana w oparciu o:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w dalszej części „Polityki” w skrócie jako: „RODO”).
• Ustawę z dnia 10 maja 2018r. o ochronie danych osobowych (Dz. U. 2018, poz. 1000).
• Wymagania prawne dotyczące prowadzenia działalności gospodarczej  wynikające z zastosowania przepisów ustaw mających zastosowanie  oraz przepisów wykonawczych.
• Dobre praktyki i standardy wynikające z zastosowania norm PN/ISO w dziedzinie standardów zarządzania ryzykiem, bezpieczeństwa informacji oraz ochrony danych osobowych.

II.  Słownik pojęć zawartych w „Polityce”:

Dane osobowe – informacje o zidentyfikowanej lub możliwej
do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (co odpowiada definicji zawartej w art. 4 pkt. 1 RODO);

Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (wedle definicji z art. 4 pkt. 2 RODO);

Ograniczenie przetwarzania – oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania (co odpowiada definicji z art. 4 pkt. 3 RODO);

Pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (wedle art. 4 pkt. 5 RODO);

Zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (wedle art. 4 pkt. 6 RODO).

Administrator (ADO) – ( nazwa podmiotu gospodarczego), reprezentowana przez (imię nazwisko oraz funkcja osoby delegowanej przez administratora),(pełniącego funkcję piastuna ADO), działająca w oparciu o art. 4 pkt. 7 RODO.

Podmiot przetwarzający – osoba fizyczną lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (wedle definicji z art. 4 pkt. 8 RODO);

Odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią; organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania (wedle definicji z art. 4 pkt. 9 RODO);

Zgoda – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (zgodnie z definicją z art. 4 pkt. 11 RODO);

Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (do odpowiada definicji z art. 4 pkt. 12 RODO);

Przedsiębiorca – osoba fizyczna lub prawna, prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą (wedle art. 4 pkt. 18 RODO);

Osoba Nominowana do prowadzenia spraw związanych z  RODO z ramienia  Administratora– osoba, wyznaczona przez Administratora lub podmiot przetwarzający na podstawie art. 37 ust. 1 RODO, posiadająca odpowiednie kompetencje (wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wymagane do wypełniania zadań związanych z ochroną tych danych), pełniąca funkcje pomocniczo-doradcze oraz wykonująca zadania wynikające z art. 39 ust. 1 RODO.

1. Odpowiedzialność w zakresie ochrony i legalnego przetwarzanie danych osobowych oraz zadania podmiotów odpowiedzialnych

1. Administrator
2. wdraża odpowiednie środki techniczne i organizacyjne, mające na celu zabezpieczanie przetwarzanych danych oraz zapewnianie ich poufności, integralności i dostępności;
3. decyduje o przeprowadzeniu oceny skutków planowanych operacji przetwarzania danych we współpracy z Osobą Nominowaną przez Administratora do prowadzenia spraw związanych z  RODO .
4. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia przetwarzanych danych;
5. wydaje upoważnienia dla poszczególnych osób do przetwarzania danych osobowych w określonym indywidualnie zakresie;
6. prowadzi rejestr czynności przetwarzania danych osobowych;
7. zawiera umowy powierzenia danych do przetwarzania;
8. zarządza naruszeniami ochrony danych osobowych;
9. wdraża odpowiednie polityki ochrony danych, zatwierdzone kodeksy postępowania i zatwierdzone mechanizmy certyfikacji;
10. wyznacza Osobę Nominowaną do prowadzenia spraw związanych z  RODO   w warunkach określonych w art. 37 ust. 1 RODO

• Osoba Nominowana do prowadzenia spraw związanych z  RODO
• pełni funkcję pomocniczo-doradczą w zakresie ochrony oraz legalności przetwarzania danych osobowych;
• informuje Administratora oraz osoby, które z jego upoważnienia  przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy obowiązujących przepisów, kodeksów postępowania i zatwierdzonych mechanizmów certyfikacji;
• prowadzi szkolenia z zakresu ochrony danych osobowych dla nowo zatrudnionych pracowników oraz szkolenia okresowe dla pozostałych pracowników;
• aktualizuje i sprawuje nadzór nad dokumentacją z zakresu ochrony danych osobowych;
• współpracuje z Administratorem w zakresie oceny skutków planowanych operacji przetwarzania danych;
• współpracuje z Prezesem Urzędu Ochrony Danych Osobowych zgodnie z przepisami RODO oraz na podstawie właściwych regulacji krajowych;
• pełni funkcję punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych;
• wspólnie z Administratorem opracowuje rejestr czynności przetwarzania danych oraz dokonuje jego bieżącej aktualizacji.

Administrator publikuje dane kontaktowe Osoby Nominowanej do prowadzenia spraw związanych z  RODO, zgodnie z art. 37 ust. 7 RODO. Publikacja danych kontaktowych odbywa się w ten sposób, że Administrator udostępnia w sposób publicznie dostępny informacje o: imieniu i nazwisku Osoby Nominowanej do prowadzenia spraw związanych z  ochroną danych osobowych, numerze kontaktowym i/lub adresie e-mail, zgodnie z art. 11 w zw. z art. 10 ust. 1 ustawy z dnia 10 maja 2018r. o ochronie danych osobowych (Dz. U. 2018, poz. 1000).

Zgodnie z  art. 37 ust. 1  Ogólnego Rozporządzenia o Ochronie Danych (RODO), Administrator powołuje powołanie Inspektora Ochrony Danych (IOD)

1. Podstawy prawne przetwarzania danych osobowych zwykłych oraz dotyczących stanu zdrowia

Na gruncie rozporządzenia unijnego przetwarzanie danych jest dopuszczalne tylko wtedy, gdy zostanie spełniona jedna z przesłanek wynikających z art. 6 ust. 1 RODO (w przypadku przetwarzania danych zwykłych), bądź też przesłanka z art. 9 ust. 2 RODO (w zakresie danych dotyczących zdrowia).

Dane osobowe w jednostce  przetwarzane sągdy (art. 6 ust. 1 RODO):

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych
   w jednym lub większej liczbie określonych celów;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Co do zasady, uwzględniając zadania ustawowe, podstawą przetwarzania danych osobowych przez Administratora będzie wykonywanie obowiązków wynikających z przepisów prawa  (a art. 6 ust. 1 lit. c RODO). W sytuacji, w której przetwarzanie danych przez Administratora wykonywane będzie na podstawie przesłanki zgody (art. 6 ust. 1 lit. a, art. 9 ust. 2 lit. a RODO), wówczas osoba, które dane dotyczą może w każdym czasie odwołać zgodę na przetwarzanie danych (w załączniku do „Polityki” ustanawia się wzory oświadczeń o zgodzie na przetwarzaniu danych oraz o odwołaniu tej zgody).

Za przepisem art. 9 ust. 2 RODO należy wskazać przesłanki legalizujące przetwarzanie danych dotyczących zdrowia, tj.:

1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem;
3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, realizowanych na podstawie przepisów prawa, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie przepisów prawa;
9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie przepisów prawa, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

1. Obowiązek informacyjny przy przetwarzaniu danych

Obowiązek informacyjny spoczywający na Administratorze (wedle art. 13 i 14 RODO) jest realizowany poprzez przekazanie osobie, której dane są przetwarzane, informacji dotyczących pozyskiwania danych osobowych, a także ich dalszego przetwarzania oraz określenia w tym zakresie stosownej procedury. Obowiązek informacyjny jest realizowany zarówno w przypadku zbierania danych od osoby, której dane dotyczą, jak również z innych źródeł.

Administrator realizuje obowiązek informacyjny poprzez wykorzystanie odpowiednich środków, które umożliwią w zwięzłej, przejrzystej i łatwo dostępnej formie udzielenie osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO (na podstawie wytworzonych procedur oraz wzorów dokumentów). Zwolnienie z realizacji obowiązku informacyjnego znajduje zastosowanie w sytuacji, gdy dane pozyskiwane są od osoby, której te dane dotyczą a podmiot ten dysponuje już informacjami, o których mowa w art. 13 RODO.

Administrator na swojej stronie internetowej umieszcza informację, stanowiącą załącznik do „Polityki”, wypełniając tym samym obowiązek, o którym mowa w art. 13 i 14 RODO.

• Prawa osób, których dane dotyczą w zakresie danych osobowych przetwarzanych przez CRU Sp. z o.o.

Osobie, której dane przetwarzane są przez CRU Sp. z o.o., przysługuje:

1. Uprawnienie do dostępu do danych (art. 15 RODO), które jest realizowane przez administratora poprzez potwierdzenie faktu przetwarzania danych, z użyciem formy wykorzystanej przez osobę kierującą żądanie (wedle dokumentu, stanowiącego załącznik do „Polityki”).
2. Uprawnienie do sprostowania danych (art. 16 RODO), które jest wykonywane
   w wyniku żądania osoby, której dane są przetwarzane (dotyczy przypadków przetwarzania danych nieprawidłowych, bądź też niekompletnych).
3. Uprawnienie do usunięcia danych, tzw. „prawo do bycia zapomnianym” (art. 17 RODO), wykonywane na podstawie przesłanek z art. 17 ust. 1 RODO.
4. Uprawnienie do ograniczenia przetwarzania (art. 18 RODO), na podstawie przesłanek z art. 18 ust. 1 RODO.
5. Uprawnienie do przenoszenia danych (art. 20 RODO), tj. prawo do otrzymania w ustrukturyzowanym, powszechnie używanym formacie (nadającym się do odczytu maszynowego) danych osobowych jej dotyczących, które dostarczyła Administratorowi, jak również przesłanie tychże danych innemu administratorowi.

Na podstawie art. 19 RODO Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

Szczegółowe zasady realizowania w/w uprawnień opisane są w procedurach, stanowiących załączniki do „Polityki”.

• Nadawanie upoważnień do przetwarzania danych osobowych przez Administratora

1. Do przetwarzania danych osobowych przez Administratora mogą mieć dostęp osoby posiadające pisemne upoważnienia do przetwarzania danych osobowych, nadane przez Administratora (zgodnie z art. 29 RODO). Dokument upoważnienia przygotowuje, bądź to samodzielnie Administrator bądź to Osoba Nominowana do prowadzenia spraw związanych z  ochroną danych przez Administratora (wedle wzoru stanowiącego załącznik do „Polityki”).
2. Upoważnienia wskazane pkt. 1 zatwierdza i podpisuje Administrator lub Osoba Nominowana do prowadzenia spraw związanych z  ochroną danych.
3. Administrator  lub na jego polecenie- Osoba Nominowana do prowadzenia spraw związanych z ochroną danych zobowiązany jest wydać nowe, zmodyfikować lub cofnąć upoważnienie dla osoby przetwarzającej dane osobowe, jeżeli nastąpiła zmiana:
4. stanowiska tej osoby lub zakresu jej obowiązków;
5. okoliczności faktycznych, związanych ze świadczeniem pracy przez tę osobę, strukturą organizacyjną Administratora etc., wpływająca bezpośrednio na rodzaj i zakres przetwarzanych danych osobowych.
6. Upoważnienia do przetwarzania danych osobowych są przechowywane przez osobę wyznaczoną oraz skatalogowane w ewidencję osób upoważnionych do przetwarzania danych osobowych, która prowadzona jest pod nadzorem Administratora (wedle wzoru stanowiącego załącznik do „Polityki”).

• Środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych

Administrator, działając w oparciu o art. 24 ust. 1 i art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Szczegółowe skatalogowanie środków technicznych i organizacyjnych opisane jest w załączniku do „Polityki”, w tym również oświadczenie, o którym mowa w art. 22[2] § 8 Kodeksu pracy.

• Umowy powierzenia zawierane z Administratorem

Umowa powierzenia przetwarzania danych osobowych zawierana jest pomiędzy Administratorem oraz podmiotem przetwarzającym, który przetwarza dane w jego imieniu. Szczegółowe zasady dotyczące zawierania umów powierzenia są uregulowane w art. 28 ust. 3 RODO. Ustanawia się wzór umowy powierzenia przetwarzania danych osobowych, stanowiący załącznik do „Polityki”, będący standardem zawierania tego rodzaju umów. Wszystkie umowy powierzenia skatalogowane są w ewidencję umów powierzenia, stanowiącą załącznik do „Polityki”.

1. Praca na danych osobowych – ogólne obowiązki personelu

Ustanawia się następujące dobre praktyki w zakresie pracy na danych osobowych:

1. Zasada „czystego biurka”:

– w trakcie pracy osoba przetwarzająca dane powinna mieć na biurku (lub innym miejscu pracy) jedynie te materiały, które są niezbędne do wykonywania obowiązków służbowych; w przypadku opuszczenia stanowiska pracy materiały zawierające dane wymagające szczególnej ochrony powinny być zabezpieczone przed dostępem osób nieuprawnionych;

– po zakończeniu, przy zawieszeniu lub przerwaniu pracy osoba przetwarzająca dane zobowiązana jest do zabezpieczenia wszelkich dokumentów i nośników zawierających dane, w celu uniemożliwienia dostępu do nich osobom nieupoważnionym.

– zabrania się umożliwienia dostępu do danych przetwarzanych w wersji papierowej osobom postronnym.

• Zasada „czystego ekranu”:

– w przypadku chwilowego opuszczenia stanowiska pracy osoba przetwarzająca dane zobowiązana jest do wylogowania się z systemu bądź zablokowania dostępu do pulpitu stacji roboczej w celu uniemożliwienia dostępu do systemu operacyjnego lub aplikacji przez osoby niepowołane (np. poprzez ustawienie krótkiego okresu wygaszania ekranu);

– w trakcie pracy osoba przetwarzająca dane powinna mieć otwarte tylko te aplikacje, które są niezbędne do wykonywania obowiązków służbowych;

– po zakończeniu, przy zawieszeniu lub przerwaniu pracy osoba przetwarzająca dane zobowiązana jest do zabezpieczenia wszelkich dokumentów i nośników zawierających dane, w celu uniemożliwienia dostępu do nich osobom nieupoważnionym;

– ustawienie monitora powinno być wykonane w taki sposób, aby nie ujawniać danych osobowych osobom postronnym mogącym mieć dostęp do pomieszczeń gdzie odbywa się przetwarzanie danych.

• Zabrania się nieautoryzowanego kopiowania i przenoszenia danych osobowych na prywatne nośniki danych.
• Nakazuje się bieżące niszczenia w niszczarce niepotrzebnej dokumentacji papierowej oraz przechowywania pozostałej dokumentacji papierowej w szafach zamykanych na klucz lub posiadających inne, adekwatne zabezpieczenia (np. czytnik).
• Bezwzględnie zabrania się pozostawianie osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności osoby upoważnionej.
• Bezwzględnie zakazane jest wynoszenie każdej dokumentacji zawierającej dane osobowe poza biuro bez zgody Administratora, jak również samowolną ingerencję w strukturę zbioru danych osobowych. Kopie dokumentacji zawierające dane osobowe sporządzane  w postaci elektronicznej jak i papierowej powinne zostać zarchiwizowane w sposób bezpieczny i uniemożliwiający ich utratę oraz powinny pozostać w siedzibie Administratora  przez cały okres archiwizacji wymagany przepisami.

Obowiązek zachowania w poufności danych przetwarzanych przez Administratora, w tym danych osobowych, niezależnie od regulacji ustawowej, realizowany jest poprzez złożenie stosownego oświadczenia, wciąganego do akt pracowniczych, stanowiącego załącznik do „Polityki”.

Procedura nadawania i odbierania uprawnień dla użytkowników w systemie informatycznym Administratora przebiega wedle następującego porządku:

1. Administrator lub na jego polecenie osoba nominowana do prowadzenia spraw związanych z ochroną danych osobowych nadaje uprawnienia do pracy przy systemach informatycznych obsługujących dane osobowe  .
2. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych.
3. Administratorowi (lub na jego polecenie Osoba Nominowana do prowadzenia spraw związanych z  RODO z ramienia  Administratora dokonuje modyfikacji, zmiany lub wyrejestrowania uprawnień użytkowników, na dokumencie sporządzonym wedle załącznika do „Polityki”.
4. Wyrejestrowanie, o którym mowa w pkt 3, może mieć charakter czasowy lub trwały.
5. Wyrejestrowanie następuje poprzez:
6. zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe);
7. usunięcie danych użytkownika z bazy użytkowników systemu (wyrejestrowanie trwałe).
8. System informatyczny  – ogólne zasady postępowania
9. Osoba przetwarzająca dane zobowiązana jest korzystać ze sprzętu komputerowego wskazanego przez Administratora, jak również chronić go przed zniszczeniem lub uszkodzeniem. Użytkownik ma obowiązek niezwłocznie zgłosić utratę lub zniszczenie powierzonego sprzętu komputerowego Administratorowi (lub Osobie Nominowanej do prowadzenia spraw związanych z  RODO ).
10. Samowolny demontaż sprzętu komputerowego, instalowanie dodatkowych urządzeń (np. twardych dysków) lub podłączenie jakichkolwiek niezatwierdzonych urządzeń są bezwzględnie zakazane.
11. Użytkownicy nie mogą bez zgody Administratora korzystać z prywatnego sprzętu IT (np. laptopów, telefonów, aparatów fotograficznych, nośników typu pendrive etc.) do wykonywania zadań służbowych.
12. Osoba przetwarzająca dane osobowe   zobowiązana jest do korzystania wyłącznie z oprogramowania dopuszczonego do stosowania  przez Administratora. Zakazane jest instalowanie oraz wykorzystywanie oprogramowania innego, niż przekazane lub udostępnione im przez Administratora.
13. Dopuszcza się korzystanie przez pracowników  ze stron Internetowych w celach służbowych. Podczas korzystania z sieci internetowych niedozwolone jest przeglądanie, a także ściąganie oraz wytwarzanie materiałów, których treści są prawnie zakazane, naruszających dobra osobiste osób trzecich oraz mogących stanowić podstawę do zakwalifikowania jako przestępstwo, w szczególności przestępstwo: zniesławienia, znieważenia, groźby karalnej etc.
14. Osoba korzystająca z Internetu zobowiązana jest do zachowania szczególnej ostrożności w przypadku żądania lub prośby podania kodów, PIN-ów, haseł, numerów kart płatniczych, w szczególności w procesie korzystania z bankowości elektronicznej.
15. W zakresie dozwolonym przepisami prawa, Administrator zastrzega sobie prawo kontrolowania sposobu korzystania przez użytkownika z Internetu,  stacji roboczych oraz służbowej poczty elektronicznej, pod kątem wyżej opisanych zasad; posiada on uprawnienie do blokowania dostępu do wybranych stron internetowych. Podstawą dokonywania monitoringu przestrzegania w/w zasad jest przyjęcie tego faktu do wiadomości przez osobę przetwarzającą dane . Administrator nie może rozpocząć procesu monitorowania wcześniej, aniżeli po upływie dwóch tygodni przed jego uruchomieniem (art. 22[2] § 7 w zw. z art. 22[3] § 4 Kodeksu pracy). Stosowne oświadczenie, sporządzone wedle wzoru stanowiącego załącznik do „Polityki”, jest wciągane do jego akt osobowych.
16. Osoba przetwarzająca dane , zobowiązana jest do korzystania z przyznanego mu adresu mailowego służbowej skrzynki elektronicznej, wyłącznie w celu prowadzenia korespondencji związanej z działalnością jednostki. Bez upoważnienia Administratora użytkownik nie ma prawa wysyłać wiadomości zawierających dane osobowe pracowników, klientów, kontrahentów lub podmiotów współpracujących , w szczególności informacje stanowiące tajemnicę przedsiębiorstwa, o której mowa w art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. 2018, poz. 419 ze zm.).
17. Podczas przesyłania danych należy zachować szczególną ostrożność przy wpisywaniu adresu odbiorcy dokumentu; na tym polu rekomendowanym jest co najmniej dwukrotne sprawdzenie poprawności wprowadzonego adresu e-mail adresata (celem uniknięcia wystąpienia incydentu). Zaleca się, aby użytkownik podczas przesyłania danych osobowych pocztą elektroniczną zawarł w treści prośbę o potwierdzenie otrzymania i zapoznania się z informacją przez adresata.
18. W przypadkach gdy wiadomość jest kierowana jednocześnie do kilku adresatów należy używać metody wysyłania „ukryte do wiadomości”, „UDW” lub „ukryta kopia”.
19. Nie należy otwierać załączników w wiadomościach nadesłanych przez nieznanego nadawcę lub podejrzanych załączników nadanych przez znanego nadawcę. W takiej sytuacji rekomenduje się odesłanie informacji zwrotnej do nadawcy wiadomości, bez otwierania załącznika, z żądaniem opisania załączników. Użytkownicy nie mają prawa korzystać ze służbowej poczty elektronicznej w celu rozpowszechniania lub wytwarzania treści mogących stanowić naruszenie dóbr osobistych lub innych dóbr chronionych prawem, jak również – kwalifikowanych jako przestępstwo, w szczególności: zniesławienie, znieważenie lub groźbę karalną.
20. Korzystanie z bankowości elektronicznej  możliwe jest w oparciu o następujące zasady:
    1. Osoby korzystające z systemów informatycznych , którzy w zakresie obowiązków mają za zadanie korzystania z bankowości elektronicznej, zobowiązane są do regularnej zmiany hasła dostępu do portalu danego banku.
    1. Zakazane jest utrwalanie danych dostępowych do konta internetowego w formie pisemnej oraz opuszczanie stanowiska pracy bez uprzedniego wylogowania się i zamknięcia przeglądarki bankowości elektronicznej.
    1. Rekomenduje się wykorzystywanie dedykowanej przeglądarki do obsługi bankowości elektronicznej, świadczonej przez oprogramowanie antywirusowe.
    1. Użytkownik logujący się do bankowości elektronicznej nie powinien korzystać z nieznanych sieci bezprzewodowych lub sieci powszechnie dostępnych.
    1. W celu zalogowania się do systemu bankowości elektronicznej pracownik nie powinien wchodzić na stronę internetową banku za pośrednictwem hiperłączy znajdujących się w korespondencji przychodzącej skrzynki elektronicznej.
21. Zaleca się aby dokumenty przesyłane drogą elektroniczną były zabezpieczane  przy pomocy środków ochrony kryptograficznej, np. poprzez spakowanie pliku z zabezpieczeniem hasła. Jeżeli dokumenty są przesyłane droga elektroniczną z użyciem środków ochrony kryptograficznej to klucze kryptograficzne (hasła), wykorzystywane do przesyłania takich dokumentów (załączników), nie mogą być przesyłane  razem z wiadomością; rekomenduje się przesłanie klucza inną metodą, np. przy użyciu sms
22. Osoby przetwarzające dane  mogą korzystać z elektronicznych nośników (w szczególności: laptopów, przenośnych nośników pamięci, dysków zewnętrznych etc.) oraz komputerów przenośnych przeznaczonych wyłącznie do użytku służbowego. Użytkownik korzystający z w/w urządzeń zobowiązany jest do:
23. przechowywania przedmiotowych danych na dysku szyfrowanym, zabezpieczonym hasłem (najlepiej zawierającym co najmniej znaków typu: małe oraz wielkie litery, znaki specjalne i cyfry);
24. transportu nośnika w sposób minimalizujący ryzyko kradzieży uszkodzenia, zniszczenia etc.;
25. uniemożliwienia korzystania z komputera osobom nieuprawnionym (np. rodzinie, dzieciom, znajomym).

Osoba Nominowana do prowadzenia spraw związanych z  RODO   prowadzi inwentaryzację nośników i komputerów przenośnych.

Przenośne nośniki danych przechowuje się w zamykanych szafach lub meblach biurowych – co do zasady zawsze w miejscach minimalizujących ryzyko: utraty, uszkodzenia lub dostępu osób nieupoważnionych.

Kasowanie danych z elektronicznych nośników danych powinno nastąpić za pomocą demagnetyzera; wyklucza się na tym polu możliwość fizycznego uszkodzenia lub zniszczenia dysku. Zniszczenie nośnika potwierdzane jest protokołem przechowywanym przez Osobę Nominowaną do prowadzenia spraw związanych z  RODO

Możliwe jest powierzenie niszczenia nośników danych wyspecjalizowanym podmiotom zewnętrznym, pod warunkiem:

1. zawarcia umowy powierzenia na warunkach określonych w art. 28 RODO;
2. zagwarantowania poufności danych przez usługodawcę (poprzez odpowiednią klauzulę);
3. umożliwienia prowadzenia nadzoru nad procesem niszczenia nośników przez Administratora lub Osobę Nominowaną do prowadzenia spraw związanych z  RODO
4. udokumentowania faktu zniszczenia nośników stosownym protokołem.
5. Szkolenia z ochrony danych osobowych

Osoba Nominowana do prowadzenia spraw związanych z  RODO , przeprowadza okresowe szkolenia dla personelu(na podstawie art. 39 ust. 1 lit. b RODO) zgodnie z poniższymi zasadami:

1. niezależnie od zmian prawnych wykonuje się szkolenia nie rzadziej niż jeden raz w roku;
2. w przypadku każdej istotnej zmiany zasad lub procedur ochrony informacji, w tym –przepisów prawa regulujących materię ochrony danych osobowych.
3. Procedura zgłaszania naruszeń ochrony danych osobowych w CRU sp. z o.o.

Obowiązkiem Administratora  lub na jego polecenie Osoby Nominowanej do prowadzenia spraw związanych z  RODO  jest dokonanie klasyfikacji naruszeń, na:

• naruszenia mniejszej wagi;
• naruszenie poważne, podlegające zgłoszeniu do Prezesa UODO.

 Administrator, ma obowiązek dokonać bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłoszenia tego faktu organowi nadzorczemu (Prezesowi UODO, ul. Stawki 2, 00-193 Warszawa), wedle wzoru stanowiącego załącznik do „Polityki”.

Każdy stwierdzony przypadek naruszenia ochrony danych osobowych podlega wpisaniu do odrębnej ewidencji, których wzory stanowią załączniki do „Polityki”. W przypadku stwierdzenia, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, wedle wzoru stanowiącego załącznik do „Polityki”.

Ustanawia się właściwą procedurę zgłaszania naruszeń ochrony danych, stanowiącej załącznik do „Polityki”.

• Audyt wewnętrzny w zakresie bezpieczeństwa informacji oraz aktualizacja „Polityki”

Rekomenduje się regularne, co najmniej raz na rok, wykonywanie audytów wewnętrznych polityki, procedur i instrukcji dotyczących zabezpieczenia i ochrony danych osobowych gromadzonych i przetwarzanych . Księga „Polityki” podlega regularnym (nie rzadziej niż raz na rok) przeglądom dokonywanym na wniosek Administratora przez Osobę Nominowaną do prowadzenia spraw związanych z  RODO, ,. Regularnedokonywanie przeglądu księgi „Polityki” ma na celu aktualizację i nowelizację zawartych w niej procedur i instrukcji dotyczących danych przetwarzanych zgodnych z obowiązującymi regulacjami prawnymi oraz zasadami dobrych praktyk w związku z realizowaniem zadań i założonych przez Administratora celów , oraz możliwości bezpiecznego pozyskiwania, gromadzenia i przetwarzania danych osobowych i informacji wrażliwych pozyskiwanych w procesie  obsługi  interesantów.

W uzasadnionych przypadkach oraz w zależności od potrzeb mogą zostać przeprowadzone przez Osobę Nominowaną do prowadzenia spraw związanych z  RODO , na polecenie Administratora także dodatkowe, bardziej szczegółowe audyty wewnętrzne,( np. po zaobserwowaniu procedur i praktyk  mogących mieć wpływ na pogorszenie się poziomu zabezpieczenia danych osobowych, po stwierdzeniu istotnego naruszenia bezpieczeństwa, pojawieniu się zasadniczych zmian w strukturze firmy , otoczeniu faktycznym lub prawnym etc.