WPROWADZENIE
• Niniejsza Polityka Ochrony Danych wraz z załącznikami stanowi obowiązującą w BRAD Consulting Sp. z o.o., Operatorze Systemu WinWinBalance.com i Aplikacji WinWinBalance (Podmiot) dokumentację w zakresie wdrażania, przestrzegania i weryfikacji zasad ochrony danych osobowych.
• Każda osoba odpowiedzialna za wdrażanie, utrzymanie lub monitorowanie zasad przetwarzania danych osobowych w Podmiocie, w szczególności przedstawiciele najwyższego kierownictwa oraz ewentualny Inspektor Ochrony Danych, mają obowiązek zapoznania się z niniejszą Polityką Ochrony Danych, obowiązek jej przestrzegania oraz egzekwowania stosowania w Podmiocie.
• Polityka Ochrony Danych wraz z załącznikami wchodzi w życie z dniem jej podpisania przez osoby uprawnione do reprezentacji Podmiotu.
• W przedmiocie spraw nieuregulowanych Polityką Ochrony Danych, zastosowanie znajdują przepisy prawa powszechnie obowiązującego
REJESTRY
Podmiot prowadzi niżej wymienione rejestry:
- Rejestr czynności przetwarzania danych osobowych – stanowiący ewidencję wykonywanych przez Podmiot czynności na danych osobowych, rozumianych jako zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
- Rejestr kategorii czynności przetwarzania danych osobowych – stanowiący ewidencję powierzonych Podmiotowi usług, realizowanych na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania.
- Rejestr naruszeń ochrony danych osobowych – stanowiący ewidencję stwierdzonych w Podmiocie naruszeń ochrony przetwarzanych danych osobowych,
- Rejestr środków ochrony danych osobowych,
- Rejestr odbiorców danych osobowych,
- Rejestr osób upoważnionych do przetwarzania danych osobowych,
- Rejestr urządzeń służących do przetwarzania danych osobowych,
- Rejestr aplikacji służących do przetwarzania danych osobowych,
Podmiot przechowuje wymienione dokumenty: w załączeniu do niniejszej Polityki Ochrony Danych.
NARUSZENIA OCHRONY DANYCH OSOBOWYCH
• Podmiot wdraża procedurę naruszeniową, znajdującą się w załączniku.
• Procedura obowiązuje wszystkie osoby pracujące lub świadczące usługi w Podmiocie.
• Procedura obowiązuje w przypadku stwierdzenia naruszenia ochrony danych osobowych lub naruszenia praw lub wolności osób, których dane osobowe są przetwarzane.
Podmiot przechowuje wymienione dokumenty: w załączeniu do niniejszej Polityki Ochrony Danych.
OBOWIĄZKI INFORMACYJNE
• Podmiot wdraża stosowanie obowiązków informacyjnych, wymienionych w załączniku.
• Zabrania się przetwarzania danych osobowych bez udzielenia obowiązku informacyjnego, chyba że indywidualnie stwierdzono podstawy wyłączenia tego obowiązku w danym przypadku.
• Przechowywanie wzorów: w załączeniu do niniejszej Polityki Ochrony Danych.
• Przechowywanie udzielonych obowiązków informacyjnych: wraz z dokumentacją właściwą (np. w załączeniu do umowy).
Podmiot przechowuje:
• szablony obowiązków informacyjnych w załączeniu do niniejszej Polityki Ochrony Danych,
• udzielone obowiązki informacyjne wraz z dokumentacją właściwą (np. w załączeniu do umowy).
UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH
• Podmiot wdraża stosowanie upoważnień do przetwarzania danych osobowych,
• Zabrania się przetwarzania danych osobowych przez osoby do tego nieupoważnione.
• Upoważnienia stosuje się względem pracowników.
• Upoważnienia można stosować względem osób fizycznych trzecich, świadczących na rzez Podmiotu usługi z użyciem narzędzi Podmiotu (np. informatyk na umowie zlecenie), jednakże decyzję w tym zakresie należy podejmować indywidualnie.
Podmiot przechowuje:
• szablony upoważnień w załączeniu do niniejszej Polityki Ochrony Danych,
• udzielone upoważnienia w części B akt osobowych, a w przypadku osób niebędących pracownikami, w załączeniu do właściwych umów o współpracy,
• ewidencję upoważnień w rejestrze osób upoważnionych do przetwarzania danych osobowych.
UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Podmiot wdraża stosowanie wzorców umów powierzenia przetwarzania danych osobowych.
Wzorzec dla administratora stosuje się w przypadku powierzenia przetwarzania danych osobowych zewnętrznym podmiotom przetwarzającym.
Wzorzec dla podmiotu przetwarzającego stosuje się w przypadku, gdy Podmiot wykonuje czynności przetwarzania danych osobowych, powierzone przez ich zewnętrznych administratorów.
Dopuszcza się stosowanie wzorców umów dostarczonych przez kontrahentów, pod warunkiem ich udokumentowanej akceptacji przez najwyższe kierownictwo lub osobę przez nie wyznaczoną.
Zabrania się powierzania przetwarzania danych osobowych bez odpowiedniej umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, zgodnego z art. 28 RODO.
Podmiot przechowuje szablony umów powierzenia i zawarte umowy powierzenia w załączeniu do niniejszej Polityki Ochrony Danych.
ANALIZA RYZYKA
- Podmiot wdraża zasadę analizowania ryzyka naruszenia praw lub wolności osób, których dane osobowe podlegają przetwarzaniu.
- Szacowanie ryzyka odbywać się będzie na warunkach ustanowionych w załączniku.
- Zabrania się wdrażania nowych czynności przetwarzania danych osobowych, wdrażania nowych zasobów służących do ich przetwarzania, a także zmian środków ochrony danych osobowych, bez uprzedniego wykonania analizy ryzyka lub jej aktualizacji.
- Podmiot zobowiązuje się do aktualizacji analizy ryzyka, znajdującej się w załączniku.
Podmiot przechowuje dokumentację szacowania ryzyka w załączeniu do niniejszej Polityki Ochrony Danych.
OCENY SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH
- Podmiot wdraża zasadę, aby monitorować czynności przetwarzania danych osobowych, w celu stwierdzenia, czy wymagają one wykonania OSOD-u (oceny skutków dla ochrony danych osobowych).
- W przypadku gdy dana czynność wymaga przeprowadzenia OSOD-u, stosuje się szablon znajdujący się w załączniku.
- Zabrania się wdrażania nowych czynności przetwarzania danych osobowych bez uprzedniego wykonania analizy ryzyka lub jej aktualizacji, a w przypadku gdy potwierdzi ona takową zasadność, bez przeprowadzenia OSOD-u.
Podmiot przechowuje szablon oceny skutków dla ochrony danych osobowych oraz dokumentację wykonanych ocen w załączeniu do niniejszej Polityki Ochrony Danych.
ŚRODKI OCHRONY DANYCH OSOBOWYCH
Uwzględniając zalecenia z przeprowadzonej analizy ryzyka oraz wymogi ustanowione w art. 32 RODO:
- Podmiot wdraża środki ochrony danych osobowych wymienione w załączniku – Rejestrze środków ochrony danych. Zabrania się wdrażania zmian środków ochrony danych osobowych, bez ich zewidencjonowania. Ponadto zobowiązuje się do ich aktualizacji.
- Podmiot wdraża procedury (organizacyjne środki ochrony danych osobowych), wymienione w załączniku – Procedury. Zabrania się wdrażania zmian wdrożonych procedur, bez ich uchwalenia zgodnie z zasadami reprezentacji. Ponadto zobowiązuje się do ich aktualizacji.
- Podmiot wdraża rejestr urządzeń oraz rejestr aplikacji, służących do przetwarzania danych osobowych. Zabrania się wdrażania urządzeń lub aplikacji niezewidencjonowanych w wymienionych rejestrach. Ponadto zobowiązuje się do ich aktualizacji.
Podmiot przechowuje wymienioną dokumentację w załączeniu do niniejszej Polityki Ochrony Danych.
MIERZENIE I TESTOWANIE
Podmiot zobowiązuje się do regularnego testowania, mierzenia i oceniania skuteczności środków ochrony danych osobowych, w szczególności poprzez:
- bieżącą aktualizację rejestru naruszeń ochrony danych osobowych, analizy ryzyka, rejestru środków ochrony danych osobowych i wdrożonych procedur, rejestrów urządzeń i aplikacji, rejestru przeglądów i konserwacji systemu IT, a także rejestru istotnych czynności w systemie IT.
- wykonywanie audytów systemu przetwarzania danych osobowych,
- ewidencjonowanie audytów systemu przetwarzania danych osobowych w rejestrze audytów systemu przetwarzania danych osobowych.
Podmiot przechowuje rejestr audytów systemu przetwarzania danych osobowych w załączeniu do niniejszej Polityki Ochrony Danych.
INSPEKTOR OCHRONY DANYCH
- Podmiot powołał Inspektora Ochrony Danych, zgodnie z dokumentem znajdującym się w załączniku do niniejszej Polityki Ochrony Danych.
XII MONITORING
Podmiot nie stosuje żadnych form monitoringu.
XIII ZAŁĄCZNIKI
Załączniki do niniejszej Polityki Ochrony Danych stanowią jej integralną część:
A – LISTA ZAŁĄCZNIKÓW A (dokumenty podstawowe):
- Rejestr czynności przetwarzania danych osobowych,
- Rejestr kategorii czynności przetwarzania danych osobowych,
- Rejestr naruszeń ochrony danych osobowych,
- Rejestr środków ochrony danych osobowych,
- Rejestr odbiorców danych osobowych,
- Obowiązki informacyjne,
- Upoważnienie dla pracowników – szablon,
- Upoważnienie dla osób zatrudnionych na podstawie umów cywilnoprawnych – szablon,
- Umowa powierzenia przetwarzania danych osobowych dla administratora – szablon,
- Umowa powierzenia przetwarzania danych osobowych dla podmiotu przetwarzającego – szablon,
- Analiza ryzyka – dokument przewodni,
- Matryce ryzyk,
- Ocena skutków dla ochrony danych – szablon,
- Oświadczenie o powołaniu Inspektora Ochrony Danych,
B – LISTA ZAŁĄCZNIKÓW B (procedury – organizacyjne środki ochrony danych):
- Procedura postępowania w przypadku naruszenia ochrony danych osobowych,
- Procedura privacy by default,
- Procedura ewidencjonowania urządzeń i nośników informacji,
- Procedura korzystania z internetu,
- Procedura korzystania z komputera służbowego,
- Procedura korzystania z telefonu służbowego,
- Procedura korzystania z poczty elektronicznej,
- Procedura korzystania z urządzeń przenośnych,
- Procedura postępowania z hasłami i plikami dostępowymi,
- Procedura powierzenia przetwarzania danych osobowych,
- Procedura privacy by design,
- Procedura przeglądów i konserwacji systemu informatycznego,
- Procedura przetwarzania danych osobowych w formie papierowej,
- Procedura przyjmowania danych osobowych w powierzenie,
- Procedura realizacji obowiązku informacyjnego,
- Procedura usuwania danych osobowych,
- Procedura realizacji żądań podmiotu danych,
- Procedura tworzenia kopii zapasowych,
- Procedura udostępniania danych osobowych,
- Procedura dostępu do kluczy i obiektów,
- Procedura usuwania urządzeń i nośników informacji,
- Procedura kontroli dostępu do systemu informatycznego,
- Procedura zabezpieczenia antywirusowego,
C – LISTA ZAŁĄCZNIKÓW C (dokumenty dodatkowe):
- Rejestr osób upoważnionych do przetwarzania danych osobowych,
- Rejestr audytów systemu przetwarzania danych osobowych,
- Rejestr urządzeń służących do przetwarzania danych osobowych,
- Rejestr aplikacji służących do przetwarzania danych osobowych,
- Rejestr przeglądów i konserwacji systemu informatycznego,
- Rejestr istotnych czynności w systemie informatycznym.