Obowiązki podmiotowe w obszarze ochrony danych osobowych

Obowiązki Administratora Danych Osobowych

1.     podział zadań i obowiązków związanych z organizacją ochrony danych osobowych,

2.     podejmowanie odpowiednich i niezbędnych działań mających na celu zapewnienie prawidłowej ochrony danych osobowych, w szczególności poprzez sporządzanie i wdrażanie właściwych warunków organizacyjnych i technicznych,

3.     wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych,

4.     w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je PUODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych,

5.     w przypadku gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (zgodnie z załącznikiem nr 7 niniejszej Polityki).

6.     egzekwowanie rozwoju środków bezpieczeństwa przetwarzania danych osobowych,

7.     poddawanie przeglądom skuteczność Polityki bezpieczeństwa przetwarzania danych osobowych,

8.     zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: organizację i nadzorowanie przestrzegania zasad ochrony danych osobowych zarówno w systemach informatycznych, jak również w zbiorach danych osobowych prowadzonych w formie papierowej i elektronicznej,

9.     prowadzenie dokumentacji opisującej zastosowaną politykę bezpieczeństwa przetwarzania danych osobowych (niniejsza Polityka oraz wynikające z niej instrukcje i procedury),

10.  wdrożenie zapoznania z przepisami dotyczącymi ochrony danych osobowych oraz zagrożeniami związanymi z przetwarzaniem danych przez pracowników Podmiotu,

11.  zapewnienie kontroli nad tym, jakie dane osobowe, przez kogo i kiedy zostały wprowadzone do zbioru,

12.  nadawanie i uchylanie uprawnień do przetwarzania danych osobowych w Podmiocie,

13.  prowadzenie rejestru osób Upoważnionych do przetwarzania danych, zawierającego imię i nazwisko Upoważnionego, datę nadania i ustania, zakres Upoważnienia do przetwarzania danych osobowych, identyfikator w przypadku gdy Upoważniony został zarejestrowany w systemie informatycznym, służącym do przetwarzania danych osobowych,

14.  zapewnienie zapoznania osób Upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

15.  analiza sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych i przygotowanie zaleceń i rekomendacji dotyczących eliminacji ryzyka ich ponownego wystąpienia,

16.  prowadzenie zgodnych z Instrukcją działań w przypadku stwierdzenia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych,

17.  zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia,

18.  dbałość o prawidłowe przetwarzanie danych osobowych, w szczególności poprzez zapewnienie aktualności, adekwatności oraz merytorycznej poprawności danych osobowych przetwarzanych w określonym przez nich celu,

Obowiązki Administratora Systemu Informatycznego

Zakres obowiązków Administratora Systemu Informatycznego stanowi:

1. zapewnienie optymalnej ciągłości działania systemu informatycznego,
2. nadzór nad pracami firm zewnętrznych przeprowadzających prace przy naprawach, konserwacjach systemów informatycznych zawierających dane osobowe,
3. nadawanie, zmiana i blokowanie uprawnień danemu Użytkownikowi do systemów informatycznych,
4. właściwa konfiguracja systemu informatycznego zapewniająca jego bezpieczeństwo i ograniczenie dostępu do danych osobowych przez osoby nieupoważnione,
5. monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych osobowych,
6. nadzór na sprawnym działaniem systemu sporządzania kopii bezpieczeństwa.
7. podejmowanie działań w przypadku wykrycia naruszeń bezpieczeństwa w systemie zabezpieczeń lub podejrzenia naruszenia np. pojawienie się wirusa w systemie,
8. instalacja i konfiguracja oprogramowania na poszczególnych stacjach roboczych,
9. świadczenie pomocy technicznej (oprogramowanie i urządzenia) dla pracowników Spółki,
10. okresowa weryfikacja zainstalowanego oprogramowania na stacjach roboczych poszczególnych użytkowników,
11. zabezpieczenie komputerów przenośnych,
12. pozostałe działania przewidziane Polityką Bezpieczeństwa, w szczególności załącznikiem numer 1 (Instrukcja Zarządzania Systemem Informatycznym).

Obowiązki Upoważnionych

1.     znajomość Polityki oraz przepisów powszechnie obowiązującego prawa w obszarze ochrony danych osobowych, przetwarzanych przez Podmiot,

2.     znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej,

3.     przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami, w granicach przyznanego upoważnienia,

4.     postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych,

5.     zachowanie w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia, również po ustaniu zatrudnienia,

6.     ochrona danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem,

7.     informowanie o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe do przełożonego, który ma obowiązek poinformować Administratora Bezpieczeństwa Informacji.