IGWPigwp.org.pl/images/kodeks_ochrony_danych_IGWP_proj… · Web view2018/08/09 · Podmiot...

Projekt z dnia 09.08.2018 r.

Izba Gospodarcza „Wodociągi Polskie”ul. Jana Kasprowicza 2, 85-073 BydgoszczKRS: 0000006623NIP: 5540312444, REGON: 090581633

Kodeks postępowaniaochrony danych osobowych

dlabranży wodociągowo-

kanalizacyjnej

Bydgoszcz, sierpień 2018 r.


Spis treści1. Wstęp......................................................................................................................................4

2. Definicje..................................................................................................................................6

3. Zasady przetwarzania danych osobowych..............................................................................7

4. Główna działalność przedsiębiorstwa wodociągowego..........................................................9

4.1. Umowa o zaopatrzenie w wodę lub odprowadzanie ścieków.................................................9

4.2. Odprowadzanie wód opadowych i roztopowych..................................................................10

4.3. Warunki techniczne przyłączenia do sieci.............................................................................10

4.4. Zainstalowanie i demontaż wodomierzy...............................................................................11

4.5. Nabywanie prawa własności do urządzeń sieci wodociągowej lub kanalizacyjnej................11

4.6. Ustanawianie i wykonywanie służebności przesyłu..............................................................11

4.7. Usługi komercyjne np. czyszczenie kanalizacji, dostawa wody beczkowozem, lokalizacja wycieków..............................................................................................................................12

4.8. Reklamacje, skargi, wnioski...................................................................................................12

5. Pozostała działalność przedsiębiorstwa wodociągowego.....................................................13

5.1. Podmiot przetwarzający - podwykonawca............................................................................13

5.2. Udostępnienie innemu administratorowi.............................................................................14

5.3. Windykacja............................................................................................................................15

5.4. Naprawienie szkody..............................................................................................................15

5.5. Monitoring wizyjny...............................................................................................................15

5.6. Monitoring samochodów służbowych i poczty elektronicznej..............................................17

5.7. Formularze kontaktowe na stronach internetowych. Rozsyłanie newslettera......................18

6. Prawa Osoby.........................................................................................................................18

6.1. Zgoda....................................................................................................................................18

6.2. Informowanie o przetwarzaniu Danych osobowych.............................................................19

6.3. Prawa Osoby dotyczące Danych Osobowych........................................................................21

7. Prawo pracy..........................................................................................................................23

7.1. Kandydaci do pracy...............................................................................................................23

7.2. Pracownicy............................................................................................................................24

7.3. Osoby inne niż pracownicy....................................................................................................25

8. Bezpieczeństwo Danych osobowych.....................................................................................26

8.1. Postanowienia ogólne...........................................................................................................26

8.2. Szkolenia...............................................................................................................................28

8.3. Inspektor ochrony danych.....................................................................................................28

8.4. Upoważnienia.......................................................................................................................29

8.5. Rejestr czynności przetwarzania...........................................................................................29

2


8.6. Analiza ryzyka........................................................................................................................30

8.7. Ocena skutków dla ochrony Danych osobowych..................................................................30

8.8. Naruszenia ochrony Danych osobowych...............................................................................31

9. Zabezpieczenia informatyczne Danych osobowych..............................................................32

9.1. Wstęp....................................................................................................................................32

9.2. Krok 1: Określenie i identyfikacja zbiorów danych osobowych.............................................33

9.3. Krok 2: mapowanie procesów przetwarzania danych osobowych........................................33

9.4. Krok 3: Zaplanowanie i utrzymanie zabezpieczeń zbiorów danych oraz procesów przetwarzania........................................................................................................................34

9.5. Krok 4: Zalecenia bezpieczeństwa dla osób mających dostęp do zbiorów danych osobowych oraz procesów ich przetwarzania..........................................................................................37

10. Monitorowanie Kodeksu.......................................................................................................38

Załączniki..............................................................................................................................................41

Załącznik nr 1 – Środki techniczne i organizacyjne dla ochrony danych osobowych........................42

Załącznik nr 2 – Wzór Umowy powierzenia przetwarzania danych osobowych...............................43

Załącznik nr 3 - Wzór postanowienia regulaminu pracy o monitoringu...........................................48

Załącznik nr 4 – Informacja o niepowołaniu Inspektora ochrony danych.........................................50

Załącznik nr 5 – Wzór upoważnienia................................................................................................51

Załącznik nr 6 – Wzór rejestru czynności przetwarzania..................................................................52

Załącznik nr 7 – Wzór analizy ryzyka.................................................................................................56

Załącznik nr 8 – Wzór oświadczenia o braku obowiązku oceny skutków dla ochrony danych osobowych............................................................................................................................59

3


1. WstępZ dniem 25 maja 2018 r. weszła w życie reforma systemu ochrony danych

osobowych. Dotychczasowe polskie przepisy zostały zastąpione rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej także: RODO. Polska jest członkiem Unii Europejskiej i ww. rozporządzenie jest bezpośrednio stosowane w naszym kraju.

Niewątpliwie branża wodociągowo-kanalizacyjna zbiera, posiada i wykorzystuje duże ilości danych osobowych, i powinna dostosować procesy przetwarzania danych osobowych do nowego stanu prawnego. RODO wprowadza wiele istotnych zmian w zakresie ochrony danych osobowych i jego stosowanie budzi wiele obaw i wątpliwości. Jedną z nowych instytucji prawnych, o których mowa w RODO, jest branżowy kodeks ochrony danych osobowych. Zgodnie z art. 40 ust. 1 RODO, państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Kodeks zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych postępowania daje podmiotom, które go stosują, istotne korzyści. Stosowanie zatwierdzonych kodeksów postępowania może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków (por. art. 24 ust. 3 RODO). Podmiot przetwarzający może wykazać wystarczające gwarancje dot. ochrony danych osobowych poprzez m.in. stosowanie zatwierdzonego kodeksu postępowania (por. art. 28 ust. 5 RODO). Administrator może wykazać wywiązywanie się z obowiązków dot. bezpieczeństwa przetwarzania poprzez m.in. stosowanie zatwierdzonego kodeksu postępowania (por. art. 32 ust. 3 RODO). Oceniając – w szczególności do celów oceny skutków dla ochrony danych – skutki operacji przetwarzania wykonywanych przez administratora lub podmiot przetwarzający, uwzględnia się przestrzeganie przez takiego administratora lub taki podmiot przetwarzający zatwierdzonych kodeksów postępowania (por. art. 35 ust. 8 RODO). Stosowanie zatwierdzonego kodeksu postępowania jest jedną z przesłanek nałożenia i wysokości administracyjnej kary pieniężnej (por. art. 83 ust. 2 RODO).

Izba Gospodarcza „Wodociągi Polskie” z siedzibą w Bydgoszczy, jako ogólnopolskie zrzeszenie zakładów wodociągowych i przedsiębiorstw branżowych, postanowiła przygotować kodeks postępowania dla administratorów i podmiotów przetwarzających realizujących czynności z zakresu zbiorowego zaopatrzenia w wodę i odprowadzania ścieków. Izba Gospodarcza „Wodociągi Polskie” z siedzibą w Bydgoszczy wyraża przekonanie, że kodeks ułatwi zakładom wodociągowym organizację systemu ochrony danych osobowych w sposób zapewniający zgodność z przepisami prawa i ograniczy ryzyko biznesowe związane z roszczeniami osób, których dane dotyczą lub odpowiedzialnością prawną administratora.

4


Niniejszy kodeks reguluje zagadnienia ochrony danych osobowych w różnych aspektach działalności zakładów wodociągowych, zawiera praktyczne wskazówki dla administratorów i podmiotów przetwarzających odnośnie stosowania RODO i wzory dokumentów. Kodeks nie podejmuje tematyki ochrony danych osobowych dzieci, ponieważ co do zasady dzieci nie są klientami zakładów wodociągowych. Po wtóre, kodeks nie reguluje zagadnienia przekazywania danych osobowych poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych. Zakłady wodociągowe, niezależnie od formy prawnej swojej działalności gospodarczej, są elementem składowym infrastruktury krytycznej1 i w związku z tym podlegają szczególnym przepisom prawa polskiego. W związku z powyższym Izba Gospodarcza „Wodociągi Polskie” z siedzibą w Bydgoszczy stoi na stanowisku, że ewentualne przekazywanie danych osobowych poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych przez zakłady wodociągowe powinno być uregulowane wprost w przepisach prawa.

1 Por. art. 3 pkt 2 ustawy dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (tekst jedn. Dz. U. z 2018 r. poz. 1401 ze zm.)

5


2. DefinicjeNiżej wskazane pojęcia oznaczają w Kodeksie:2.1. Administrator – oznacza podmiot świadczący usługę zbiorowego zaopatrzenia w wodę

przeznaczoną do spożycia przez ludzi, niezależnie od faktu świadczenia innych usług oraz niezależnie od jego formy organizacyjnej lub prawnej.

2.2. Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

2.3. Inspektor – oznacza inspektora ochrony danych, o którym mowa w art. 37-39 RODO.2.4. Kodeks – oznacza niniejszy dokument – Kodeks postępowania ochrony danych

osobowych dla branży wodociągowo-kanalizacyjnej.2.5. Kodeks pracy – ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jedn. Dz. U. z

2018 r., poz. 917 ze zm.)2.6. Naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa

prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

2.7. Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią, za wyjątkiem organów publicznych uprawnionych do otrzymywania Danych Osobowych na podstawie przepisów prawa.

2.8. Ocena skutków – ocena skutków dla ochrony Danych Osobowych, o której mowa w art. 35 RODO.

2.9. Osoba – oznacza osobę fizyczną, której Dane osobowe dotyczą.2.10.Podmiot akredytowany – oznacza podmiot zajmujący się monitorowaniem

przestrzegania Kodeksu, o którym mowa w art. 41 RODO i art. 28 Ustawy o ochronie danych osobowych.

2.11.Podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora np. podmiot świadczący usługi kadrowo-księgowe, usługi informatyczne, usługi ochroniarskie, udostępniający serwer itp.

2.12.Podmiot publiczny – oznacza podmiot, który należy do sektora finansów publicznym w rozumieniu art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jedn. Dz. U. z 2017 r. poz. 2077 ze zm., dalej: ustawa o finansach publicznych), w szczególności zakład budżetowy jednostki samorządu terytorialnego.

2.13.Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na Danych osobowych lub zestawach Danych osobowych w sposób zautomatyzowany lub

6


niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

2.14.RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

2.15.Strona trzecia - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż Osoba, Administrator, Podmiot przetwarzający czy Użytkownik.

2.16.Umowa powierzenia – oznacza umowę powierzenia przetwarzania Danych osobowych pomiędzy Administratorem i Podmiotem przetwarzającym, zawartą na podstawie art. 28 RODO.

2.17.Ustawa o ochronie danych osobowych – ustawa z dnia 13 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000).

2.18.Ustawa II – projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (projekt na dzień 23.05.2018 r.)

2.19.Ustawa o zbiorowym – ustawa z dnia 7 czerwca 2001 r. o zaopatrzeniu w wodę i zbiorowym odprowadzaniu ścieków (tekst jedn. Dz.U. z 2018 r. poz. 1152 ze zm.).

2.20.Użytkownik – osoba fizyczna posiadająca upoważnienie wydane przez Administratora lub Podmiot przetwarzający do przetwarzania danych osobowych w określonym zakresie (np. pracownik, zleceniobiorca).

2.21.Wyznaczona osoba – pracownik lub inna osoba wskazana przez Administratora do realizacji obowiązków z zakresu ochrony Danych osobowych.

3. Zasady przetwarzania danych osobowych3.1. Administrator przetwarza Dane Osobowe zgodnie z zasadami określonymi w art. 5

RODO.3.2. Administrator musi mieć wyraźną podstawę do zbierania, posiadania, wykorzystywania

Danych osobowych i być w stanie wskazać czy konkretną kategorię Danych osobowych przetwarza na podstawie zgody Osoby, umowy, realizuje obowiązek wynikający z przepisu prawa itp. (por. art. 5 ust. 1 lit. a) RODO).

3.3. Administrator stosuje wyłącznie podstawy przetwarzania Danych osobowych, o których mowa w art. 6 ust. 1 RODO, w postaci:3.3.1. Osoba wyraziła zgodę na przetwarzanie swoich Danych osobowych w jednym

lub większej liczbie określonych celów np. otrzymywanie wiadomość sms o przerwach w dostawie wody, otrzymywanie newslettera;

3.3.2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest Osoba lub do podjęcia działań na żądanie Osoby przed zawarciem umowy;

3.3.3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze np. zainstalowanie i demontaż wodomierza;

7


3.3.4. przetwarzanie jest niezbędne do ochrony żywotnych interesów Osoby lub innej osoby fizycznej np. ochrona zdrowia, życia lub mienia;

3.3.5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi;

3.3.6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, np. zapobieganie oszustwom, zapewnienie bezpieczeństwa osób przebywających na terenie Administratora, ochrona mienia Administratora, kontrola dostępu do mienia Administratora, dochodzenie roszczeń przed sądem itp.

3.4. Administrator nie może uzasadniać przetwarzania Danych osobowych swoim prawnie uzasadnionym interesem jeżeli nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności Osoby, wymagające ochrony danych osobowych, w szczególności gdy Osoba jest dzieckiem.

3.5. Administrator – Podmiot publiczny nie może uzasadniać przetwarzania Danych osobowych swoim prawnie uzasadnionym interesem, o którym mowa w pkt 3.3.6.

3.6. Administrator przetwarza Dane osobowe rzetelnie, czyli uwzględnia interesy i rozsądne oczekiwania Osób, zgodnie z zasadami współżycia społecznego i uczciwie2 (por. art. 5 ust. 1 lit. a) RODO).

3.7. Administrator przetwarza Dane osobowe w sposób przejrzysty jeżeli podaje Osobie niezbędne informacje o przetwarzaniu Danych osobowych zgodnie z art. 12 - 14 RODO (por. art. 5 ust. 1 lit. a) RODO).

3.8. Administrator przetwarza Dane osobowe wyłącznie w celu, dla którego zostały one uprzednio zebrane (por. art. 5 ust. 1 lit. b) RODO). Niezależnie od zdania pierwszego, Administrator może przetwarzać Dane osobowe do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych jeżeli zostaną spełnione warunki określone w RODO.

3.9. Administrator dostosowuje zakres Danych osobowych do celu przetwarzania i unika zbierania Danych osobowych „na zapas” (por. art. 5 ust. 1 lit. c) RODO).

3.10.Administrator zapewnia aby Dane osobowe były zgodne z prawdą, dokonuje ich aktualizacji i usuwane informacje nieprawdziwe (por. art. 5 ust. 1 lit. d) RODO).

3.11.Administrator przechowuje Dane osobowe tylko przez czas potrzebny do osiągnięcia celu przetwarzania (por. art. 5 ust. 1 lit. e) RODO). Niezależnie od zdania pierwszego, Administrator może przetwarzać Dane osobowe do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych jeżeli zostaną spełnione warunki określone w RODO.

3.12.Administrator zabezpiecza Dane osobowe przed dostępem osób innych niż Użytkownicy, utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (por. art. 5 ust. 1 lit. f) RODO).

2 P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Uwagi do art. 5, Legalis

8


3.13.Administrator uwzględnia ogólne zasady przetwarzania z art. 5 ust. 1 RODO w projektowaniu i realizacji procesów przetwarzania Danych osobowych. W przypadku kontroli Administrator potrafi wykazać zgodność przetwarzania z art. 5 ust. 1 RODO.

4. Główna działalność przedsiębiorstwa wodociągowego

4.1. Umowa o zaopatrzenie w wodę lub odprowadzanie ścieków

4.1.1. Osoba, które chce zawrzeć umowę o zaopatrzenie w wodę lub odprowadzanie ścieków, składa Administratorowi pisemny wniosek zgodnie z art. 6 ust. 2 Ustawy o zbiorowym. Administrator może żądać od Osoby podania we wniosku Danych osobowych, np.: imię i nazwisko, PESEL, adres zamieszkania, adres i tytuł prawny do nieruchomości (lokalu) objętej wnioskiem, numer księgi wieczystej nieruchomości, dane kontaktowe np. telefon, adres e-mail.

4.1.2. Administrator może zbierać numer PESEL na podstawie przepisu prawa - art. 505[32] Kodeksu postępowania cywilnego jako obligatoryjny element pozwu o zapłatę.

4.1.3. Przy przyjmowaniu wniosku, o którym mowa w pkt. 4.1.1., Administrator podaje Osobie niezbędne informacje o przetwarzaniu Danych osobowych stosownie do Rozdziału 6.2.

4.1.4. Administrator nie uzależnia zawarcia pisemnej umowy o zaopatrzenie w wodę lub odprowadzanie ścieków od podania przez Osobę innych Danych osobowych, które w szczególności są sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO) np. imiona rodziców, nazwisko rodowe, numer i seria dowodu osobistego, stan cywilny, małżeński ustrój majątkowy.

4.1.5. Jeżeli Osoba chce zawrzeć umowę o zaopatrzenie w wodę lub odprowadzanie ścieków w formie korespondencyjnej, Administrator może żądać podania adresu do korespondencji jeżeli jest inny niż adres zamieszkania.

4.1.6. Jeżeli umowa o zaopatrzenie w wodę lub odprowadzanie ścieków przewiduje wysyłanie przez Administratora rachunków drogą elektroniczną na adres e-mail, taka usługa służy wykonywaniu umowy, i nie wymaga uzyskania odrębnej zgody Osoby.

4.1.7. Administrator wprowadza Dane osobowe z wniosku lub umowy o zaopatrzenie w wodę lub odprowadzanie ścieków do systemu komputerowego. Poszczególni Użytkownicy mają dostęp do Danych osobowych tylko w zakresie niezbędnym do wykonywania powierzonych zadań.

4.1.8. Administrator nie potrzebuje zgody Osoby, która złożyła wniosek albo podpisała umowę o zaopatrzenie w wodę lub odprowadzanie ścieków, na powierzenie przetwarzania Danych osobowych Podmiotowi przetwarzającemu.

4.1.9. Administrator nie może udostępniać Danych osobowych objętych wnioskiem lub umową o zaopatrzeniu w wodę lub odprowadzenie ścieków Podmiotowi trzeciemu, chyba że w celu wykonania umowy za Osobą np. do zakładu ubezpieczeń w celu wypłaty odszkodowania za niewykonanie lub nienależyte wykonanie zobowiązania.

9


4.1.10. Administrator może udostępniać Dane osobowe z umów o zaopatrzenie w wodę lub odprowadzanie ścieków jeżeli:4.1.10.1.uzyskał zgodę Osoby na udostępnienie podmiotowi trzeciemu

np. instytutowi naukowemu, który prowadzi badania naukowe; gminie dla celów rozsyłania ostrzeżeń pogodowych; zakładowi ubezpieczeń w celu wypłaty odszkodowania z czynu niedozwolonego;

4.1.10.2.obowiązek udostępnienia danych wynika z przepisów prawa np. Policja, Prokuratura, Państwowa Inspekcja Sanitarna.

4.1.11. Postanowienia pkt 4.1.1. – 4.1.10 stosuje się odpowiednio do Osoby, która składa wniosek o przeniesienie (cesję) umowy o zaopatrzenie w wodę i odprowadzanie ścieków.

4.2. Odprowadzanie wód opadowych i roztopowych

4.2.1. Jeżeli Osoba złożyła wniosek lub zawarła umowę o odprowadzanie wód opadowych i roztopowych, postanowienia Rozdziału 4.1. stosuje się odpowiednio.

4.2.2. Administrator, który odprowadza wody opadowe i roztopowe bez zawartej umowy o odprowadzanie wód opadowych i roztopowych, może przetwarzać Dane osobowe pozyskane zgodnie z pkt 4.1. dla celu dochodzenia przez Administratora roszczeń majątkowych przeciwko Osobie. Podstawą do przetwarzania Danych osobowych w innym ww. celu może być:4.2.2.1. obowiązek Administratora – Podmiotu publicznego wynikający z przepisów

prawa (art. 6 ust. 1 lit c) RODO), np. ustawy o gospodarce komunalnej3 lub ustawy o finansach publicznych („zasada dyscypliny finansów publicznych”);

4.2.2.2. niezbędność do celu wynikającego z prawnie uzasadnionych interesów Administratora innego niż Podmiot publiczny - w postaci realizacji roszczeń majątkowych (art. 6 ust. 1 lit. f) RODO). Zaopatrzenie w wodę i odprowadzanie wód opadowych i roztopowych są usługami publicznymi na rzecz ludności świadczonymi przez tego samego Administratora.

4.2.3 Administrator może wykorzystać Dane osobowe dla innego celu jeżeli będzie to zgodne z celem pierwotnym i zostaną spełnione przesłanki z art. 6 ust. 4 RODO.

4.2.3. Administrator, który odprowadza wody opadowe i roztopowe bez zawartej umowy o odprowadzanie wód opadowych i roztopowych, w pierwszej korespondencji do Osoby przekazuje jej informację o nowym celu przetwarzania Danych osobowych i podaje pozostałe niezbędne informacje stosownie do Rozdziału 6.2.

4.3. Warunki techniczne przyłączenia do sieci

4.3.1. Osoba, które zamawia warunki techniczne przyłączenia do sieci, składa Administratorowi wniosek. Administrator może żądać od Osoby podania we wniosku następujących Danych osobowych: imię i nazwisko, PESEL, adres zamieszkania, adres

3 Ustawa z dnia 20 grudnia 1996 r. o gospodarce komunalnej (tekst jedn. Dz. U. z 2017 r. poz. 827 ze zm.)

10


i tytuł prawny do nieruchomości (lokalu) objętej wnioskiem, numer księgi wieczystej nieruchomości, dane kontaktowe np. telefon, adres e-mail.

4.3.2. Administrator nie uzależnia wydania warunków technicznych przyłączenia do sieci od podania przez Osobę innych Danych osobowych, które w szczególności są sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO) np. imiona rodziców, nazwisko rodowe, numer i seria dowodu osobistego, stan cywilny, małżeński ustrój majątkowy.

4.3.3. Jeżeli Osoba dokonała płatności przed złożeniem wniosku lub wraz ze złożeniem wniosku, Administrator nie żąda podania numeru PESEL.

4.3.4. W zakresie nieuregulowanym postanowienia Rozdziału 4.1. stosuje się odpowiednio.

4.4. Zainstalowanie i demontaż wodomierzy

4.4.1. Administrator, który pozyskał Dane osobowe zgodnie z pkt 4.1, może przetwarzać te Dane osobowe w celu zainstalowania lub demontażu wodomierza głównego. Podstawą przetwarzania jest:4.4.1.1. wykonanie umowy z Osobą o zaopatrzenie w wodę lub odprowadzanie

ścieków (por. art. 6 ust. 1 lit. b) RODO) oraz4.4.1.2. obowiązek wynikający z przepisu prawa – art. 7 pkt 1) Ustawy o zbiorowym.

4.4.2. Administrator, który pozyskał Dane osobowe zgodnie z pkt 4.1, może powierzyć przetwarzanie tych Danych osobowych Podmiotowi przetwarzającemu w celu zainstalowania lub demontażu wodomierza głównego. Nie jest wymagana zgoda Osoby.

4.4.3. Administrator podaje Osobie niezbędne informacje o przetwarzaniu Danych osobowych stosownie do Rozdziału 6.2.

4.4.4. Postanowienia pkt 4.1.8, 4.1.9, 4.1.10 stosuje się odpowiednio.

4.5. Nabywanie prawa własności do urządzeń sieci wodociągowej lub kanalizacyjnej

4.5.1. Przy zawieraniu umów o przeniesienie prawa własności urządzeń sieci wodociągowej lub kanalizacyjnej, Administrator może żądać od Osoby podania Danych osobowych, np.: imię i nazwisko, PESEL, adres zamieszkania, tytuł prawny do nieruchomości, numer księgi wieczystej nieruchomości, dane kontaktowe np. telefon, adres e-mail.


4.5.3. Postanowienia pkt 4.1.2, 4.1.4, 4.1.5, 4.1.7-4.1.10 stosuje się odpowiednio.

4.6. Ustanawianie i wykonywanie służebności przesyłu

4.6.1. Administrator zbiera od Osoby, która ma być stroną umowy ustanowienia służebności przesyłu, Dane Osobowe np.: imię i nazwisko, PESEL, adres zamieszkania, tytuł

11


prawny do nieruchomości, numer księgi wieczystej nieruchomości, stan cywilny, rodzaj ustroju majątkowego małżeńskiego, numer konta bankowego, dane kontaktowe np. telefon, adres e-mail.

4.6.2. Administrator nie uzależnia zawarcia umowy o ustanowienie służebności przesyłu od podania przez Osobę innych Danych osobowych, które w szczególności są sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO) np. imiona rodziców, nazwisko rodowe, numer i seria dowodu osobistego.


4.6.4. Postanowienia pkt 4.1.2, 4.1.7-4.1.10 stosuje się odpowiednio.

4.7. Usługi komercyjne np. czyszczenie kanalizacji, dostawa wody beczkowozem, lokalizacja wycieków

4.7.1. Administrator zbiera od Osoby, która zamawia usługi komercyjne np. czyszczenie kanalizacji, dostawę wody beczkowozem lub lokalizowanie wycieków, Dane osobowe np.: imię i nazwisko, PESEL, adres zamieszkania, dane kontaktowe (telefon, adres e-mail).

4.7.2. Administrator nie uzależnia zawarcia umowy o wykonanie usługi komercyjnej od podania przez Osobę innych Danych osobowych, które w szczególności są sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO) np. imiona rodziców, nazwisko rodowe, numer i seria dowodu osobistego.


4.7.4. Postanowienia pkt 4.1.2, 4.1.7-4.1.10 stosuje się odpowiednio.

4.8. Reklamacje, skargi, wnioski

4.8.1. Osoba, która składa do Administratora reklamację na wykonaną usługę np. odnośnie jakości lub terminowości usługi, rozliczenia za wodę, ścieki, podaje Administratorowi Dane osobowe np. imię i nazwisko, numer umowy, dane kontaktowe (telefon, e-mail).

4.8.2. Administrator nie uzależnia przyjęcia lub rozpatrzenia reklamacji, o której mowa w pkt 4.8.1, od podania przez Osobę innych Danych osobowych, które w szczególności są sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO) np. PESEL, numer i seria dowodu osobistego lub znajdują się w zasobach Administratora (m.in. były podane w zamówieniu, umowie itp.).

4.8.3. Osoba, która składa do Administratora reklamację, skargę lub wniosek, a Administratora i Osobę nie łączyła żadna umowa, podaje Administratorowi Dane osobowe np. imię i nazwisko, adres zamieszkania (adres do korespondencji), dane kontaktowe (telefon, e-mail).

4.8.4. Administrator nie uzależnia przyjęcia lub rozpatrzenia reklamacji, skargi lub wniosku, o których mowa w pkt 4.8.3, od podania przez Osobę innych Danych osobowych,

12


które w szczególności są sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO) np. PESEL, numer i seria dowodu osobistego.

4.8.5. W sytuacjach opisanych w pkt 4.8.1. i 4.8.3., Administrator podaje Osobie niezbędne informacje o przetwarzaniu Danych osobowych stosownie do Rozdziału 6.2.

4.8.6. Do przetwarzania Danych osobowych, o których mowa w pkt 4.8.1 i 4.8.3., postanowienia pkt 4.1.7. – 4.1.10 stosuje się odpowiednio.

5. Pozostała działalność przedsiębiorstwa wodociągowego

5.1. Podmiot przetwarzający - podwykonawca

5.1.1. Administrator może angażować Podmioty przetwarzające (podwykonawców) do przetwarzania Danych osobowych, którzy będą realizować określone zadania w imieniu Administratora np. wymiana i odczyty wodomierzy, bezpieczeństwo i higiena pracy, usługi kadrowo-księgowe, usługi informatyczne, usługi marketingowe, usługi ochrony, prowadzenie działań z zakresu e-marketingu, udostępnianie oprogramowania dedykowanego do działań z zakresu e–mail marketingu.

5.1.2. Administrator wybiera Podmiot przetwarzający, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa Osób.

5.1.3. Administrator bada stan ochrony Danych osobowych u potencjalnego Podmiotu przetwarzającego przed zawarciem Umowy powierzenia. W zależności od rodzaju i zakresu powierzanych Danych osobowych, Administrator może żądać od Podmiotu przetwarzającego:5.1.3.1. złożenia określonych oświadczeń, 5.1.3.2. wglądu do dokumentacji ochrony Danych osobowych w niezbędnym

zakresie, np. rejestru czynności przetwarzania, analizy ryzyka ochrony Danych osobowych,

5.1.3.3. wypełnienia listy sprawdzającej, której przykładowy wzór stanowi Załącznik nr 1 do Kodeksu,

5.1.3.4. przedłożenia dowodów na spełnienie innych obowiązków dot. ochrony Danych osobowych i wynikających z przepisów prawa np. zgłoszenie Inspektora do Prezesa Urzędu Ochrony Danych Osobowych.

5.1.4. Administrator zawiera z Podmiotem przetwarzającym Umowę powierzenia zgodnie z art. 28 RODO, której wzór stanowi Załącznik nr 2 Kodeksu.

5.1.5. Administrator może zawrzeć Umowę powierzenia z Podmiotem przetwarzającym jako odrębną umowę albo uczynić ją częścią podstawowego kontraktu z Podmiotem przetwarzającym.

5.1.6. Administrator zawiera Umowę powierzenia w formie pisemnej.5.1.7. Administrator prowadzi ewidencję Umów powierzenia w formie elektronicznej (plik

komputerowy), która zawiera co najmniej (i) pełną nazwę Podmiotu

13


przetwarzającego, (ii) datę zawarcia Umowy powierzenia, (iii) datę zakończenia Umowy powierzenia i (iv) adnotację o zwrocie lub zniszczeniu Danych osobowych przez Podmiot przetwarzający po zakończeniu Umowy powierzenia.

5.1.8. Administrator może w celu przetwarzania Danych osobowych przenosić kopię dokumentacji na odrębne serwery (własne lub należące do podmiotów trzecich) służące udostępnianiu danych (dla zapewnienia bezpieczeństwa i integralności danych oryginalnych) pod warunkiem zapewnienia odpowiednich środków bezpieczeństwa, w tym również zawarcia, jeśli charakter świadczonych usług tego wymaga, umowy powierzenia przetwarzania danych osobowych z podmiotami pośredniczącymi w wymianie danych. Serwery te mogą w szczególności stanowić element platform wymiany danych obsługiwanych przez podmioty świadczące usługę prowadzenia repozytorium. Działania takie nie wymaga uzyskania od Osoby zgody na przetwarzanie danych osobowych.

5.2. Udostępnienie innemu administratorowi

5.2.1. Administrator może udostępniać Dane osobowe innemu administratorowi, który będzie przetwarzał Dane osobowe samodzielnie i we własnych celach np.:5.2.1.1. lekarz medycyny pracy – badania lekarskie pracowników i ocena zdolności

do pracy na podstawie przepisów Kodeksu pracy;5.2.1.2. lekarz, ratownik medyczny – wypadek przy pracy, choroba pracownika lub

współpracownika na podstawie art. 6 ust. 1 lit. d) RODO;5.2.1.3. leasingodawca – lista osób uprawnionych do korzystania z pojazdów;5.2.1.4. bank – wypłata wynagrodzeń za pracę, z umowy zlecenia itp.;5.2.1.5. zakład ubezpieczeń – zgłoszenie pracownika/zleceniobiorcy do

ubezpieczenia;5.2.1.6. gmina – wykaz właścicieli nieruchomości, z którymi w okresie objętym

sprawozdaniem zawarł umowy na opróżnianie zbiorników bezodpływowych i transport nieczystości ciekłych, oraz wykaz właścicieli nieruchomości, z którymi umowy te uległy rozwiązaniu lub wygasły. W wykazach zamieszcza się imię i nazwisko albo nazwę oraz adres właściciela nieruchomości, a także adres nieruchomości4;

5.2.1.7. Zakład Ubezpieczeń Społecznych, urzędy skarbowe, policja, prokuratura – na podstawie przepisów prawa.

5.2.2. Każdy administrator ponosi odpowiedzialność za przetwarzanie Danych osobowych we własnym zakresie.

5.2.3. Administrator może uregulować w umowie z innym administratorem proces udostępniania Danych osobowych jeżeli z uwagi na okoliczności, zakres i charakter Danych osobowych będzie to uzasadnione.

5.2.4. Administrator może udostępniać Dane osobowe innemu administratorowi z użyciem dedykowanego programu komputerowego (aplikacji) dostarczonego przez innego

4 Na podstawie art. 9o ust. 4 ustawy13 września 1996 r. o utrzymaniu czystości i porządku w gminach (tekst jedn. Dz.U. z 2018 r. poz. 1454)

14


administratora. W takim przypadku Administrator odbiera oświadczenie dostawcy oprogramowania, że spełnia ono niezbędne wymagania bezpieczeństwa Danych osobowych.

5.3. Windykacja

5.3.1. Administrator może wysłać wezwanie do zapłaty, złożyć pozew do sądu, wniosek o egzekucję do komornika itp. zgodnie z przepisami prawa regulującymi dane postępowanie.

5.3.2. Administrator przetwarza Dane osobowe dla celu windykacji na podstawie art. 6 ust. 1 lit. b) RODO (dla celów wykonania umowy), art. 6 ust. 1 lit. c) RODO (obowiązek wynikający z przepisów prawa, w tym zasada dyscypliny finansów publicznych), art. 6 ust. 1 lit. e) RODO (prawnie uzasadniony interes administratora – prawo do uzyskania wynagrodzenia).

5.3.3. Administrator nie potrzebuje odrębnej zgody Osoby na przetwarzanie Danych osobowych dla celu windykacji jeżeli strony łączyła umowa (wniosek, zamówienie itp.).

5.4. Naprawienie szkody

5.4.1. Jeżeli Osoba wyrządziła szkodę z czynu niedozwolonego (np. zniszczenie mienia) i ustalono jej Dane osobowe, Administrator może wysłać wezwanie do zapłaty, złożyć pozew do sądu, wniosek o egzekucję do komornika itp. zgodnie z przepisami prawa regulującymi dane postępowanie.

5.4.2. Administrator przetwarza Danych osobowe dla celu naprawienia szkody na podstawie art. 6 ust. 1 lit. c) RODO (obowiązek wynikający z przepisów prawa, w tym zasada dyscypliny finansów publicznych), art. 6 ust. 1 lit. e) RODO (prawnie uzasadniony interes administratora – prawo do naprawienia szkody).

5.4.3. Administrator nie potrzebuje odrębnej zgody Osoby na przetwarzanie Danych osobowych dla celu naprawienia szkody z czynu niedozwolonego.

5.5. Monitoring wizyjny

5.5.1. Administrator może stosować monitoring wizyjny (rejestracja obrazu) w celu:5.5.1.1. zapewnienia bezpieczeństwa pracowników, ochrony mienia, zachowania

w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę lub kontroli produkcji – dot. pracodawców na podstawie art. 22[2] Kodeksu pracy;

5.5.1.2. realizacji prawnie uzasadnionego interesu w postaci np. zapewnienia bezpieczeństwa ludzi, ochrony mienia, kontroli dostępu – na podstawie art. 6 ust. 1 lit. f) RODO – dot. Administratorów innych niż Podmiot publiczny;

5.5.1.3. zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej poprzez monitoring

15


w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej – dot. Administratorów w formie zakładu budżetowego gminy na podstawie art. 9a ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (tekst jedn. Dz. U. z 2018 r. poz. 994 ze zm.).

5.5.2. Administrator udostępnia informacje dot. monitoringu stosownie do art. 13 RODO, a w przypadku monitoringu z pkt 2.1.1. – dopełnia także wszystkich czynności określonych w art. 22[2] Kodeksu pracy.

5.5.3. Informacja może być zamieszczona – według wyboru Administratora – na tablicach przy wejściu na teren monitorowany, w portierni albo biurze obsługi klienta, na tablicach ogłoszeń w zakładzie pracy, na stronie internetowej Administratora itp.

5.5.4. Przykładowa informacja o monitoringu wizyjnym z art. 13 RODO:Administratorem danych osobowych (wizerunek osoby fizycznej) jest Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, e-mail: [email protected] (dalej: Zakład). Kontakt do inspektora ochrony danych: [email protected] Dane osobowe są przetwarzane w celu:a) realizacji prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit f) Rodo)

w postaci zapewnienia bezpieczeństwa osób w obiekcie;b) realizacji prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit f) Rodo)

w postaci ochrony mienia; c) marketingowym – publikacja zdjęć i filmów w Internecie, w szczególności na

kontach na portalach społecznościowych, a także drukowanie ulotek, folderów i innych materiałów marketingowych – wyłącznie jeżeli Osoba wyraziła zgodę na przetwarzanie danych osobowych dla ww. celu.

Dane osobowe mogą zostać przekazane do podwykonawców Zakładu lub podmiotów współpracujących z Zakładem, ale nie będą przekazywane poza obszar EOG. Okres przechowywania:a) danych osobowych dla celu zapewnienia bezpieczeństwa osób fizycznych i

ochrony mienia – przez okres 3 miesięcy od chwili utrwalenia obrazu (wykonania zapisu monitoringu), chyba że nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub administrator powziął wiadomość, iż mogą one stanowić dowód w postępowaniu - termin ulega przedłużeniu do czasu prawomocnego zakończenia postępowania;

b) danych osobowych dla celu marketingowego - od chwili udzielenia zgody do momentu jej wycofania albo ich usunięcia przez Zakład w związku z zakończeniem świadczenia usługi, dla której zgoda była udzielona. W każdym momencie może Pani/Pan cofnąć zgodę na przetwarzanie danych np. poprzez wysłanie wiadomości na adres e-mail: [email protected] Cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

16


Informujemy, że ma Pani/Pan prawo do żądania od Zakładu dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz przeniesienia danych, a także prawo sprzeciwu wobec przetwarzania na podstawie art. 6 ust. 1 lit. f) Rodo. Ma Pani/Pan prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

5.5.5. Przykładowa informacja o monitoringu w zakładzie pracy:Administratorem danych osobowych (wizerunek osoby fizycznej) jest Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, e-mail: [email protected] (dalej: Zakład). Kontakt do inspektora ochrony danych: [email protected] Dane osobowe są przetwarzane w celu zapewnienia bezpieczeństwa pracowników, ochrony mienia, zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę lub kontroli produkcji. Dane osobowe są przetwarzane na podstawie art. 22[2] Kodeksu pracy. Dane osobowe mogą zostać przekazane do podwykonawców Zakładu lub podmiotów współpracujących z Zakładem, ale nie będą przekazywane poza obszar EOG. Dane osobowe będą przechowywane przez okres 3 miesięcy od dnia nagrania, chyba że przepis prawa przewiduje dłuższy termin.Informujemy, że ma Pani/Pan prawo do żądania od Zakładu dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz przeniesienia danych. Ma Pani/Pan prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

5.5.6. Administrator-pracodawca ustala cele, zakres oraz sposób zastosowania monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Wzór przykładowego postanowienia regulaminu pracy stanowi Załącznik nr 3 do Kodeksu.

5.5.7. Pomieszczenia i teren monitorowany należy oznaczyć w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

5.5.8. Administrator może zlecić wykonywanie nagrań i ich przechowywanie Podmiotowi przetwarzającemu.

5.6. Monitoring samochodów służbowych i poczty elektronicznej

5.6.1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, Administrator-pracodawca może wprowadzić kontrolę:5.6.1.1. służbowej poczty elektronicznej pracownika (monitoring poczty

elektronicznej);5.6.1.2. służbowych pojazdów pracownika.

5.6.2. Monitoring pojazdu służbowego pracownika powinien być stosowany tylko w czasie pracy pracownika.

5.6.3. Postanowienia pkt 5.5.2. – 5.5.8. stosuje się odpowiednio.

17


5.7. Formularze kontaktowe na stronach internetowych. Rozsyłanie newslettera

5.7.1. Administrator może świadczyć usługi elektroniczne np. umieścić formularz kontaktowy na stronie internetowej, umożliwić Osobie zapisanie do newslettera.

5.7.2. Przy zapisywaniu do usług elektronicznych Administrator:5.7.2.1. pobiera od Osoby Dane Osobowe konieczne do realizacji usługi np. imię i

nazwisko, adres e-mail;5.7.2.2. podaje Osobie niezbędne informacje o przetwarzaniu Danych osobowych

stosownie do Rozdziału 6.2.;5.7.2.3. zapytuje o zgodę na przetwarzanie Danych Osobowych.

5.7.3. Administrator nie uzależnia uruchomienia usług elektronicznych od podania przez Osobę innych Danych osobowych, które w szczególności są sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO) np. adres zamieszkania, PESEL, itp.

5.7.4. Osoba wyraża zgodę na przetwarzanie Danych osobowych odrębnie dla każdego celu przetwarzania (każdej usługi elektronicznej).

5.7.5. Przepisy RODO i zapisy Kodeksu nie uchybiają przepisom ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tekst jedn. Dz. U. z 2017 r. poz. 1219 ze zm.). Administrator może zamieścić informacje z art. 13 RODO w regulaminie świadczenia usług drogą elektroniczną.

6. Prawa Osoby

6.1. Zgoda

6.1.1. Wyrażenie zgody na przetwarzanie Danych osobowych w konkretnym celu jest prawem każdej Osoby, nie jej obowiązkiem.

6.1.2. Administrator formułuje zapytanie o zgodę w taki sposób, aby Osoba miała rozeznanie co do treści zgody oraz posiadała swobodę wyboru.

6.1.3. Administrator formułuje odrębne zapytanie o zgodę w stosunku do każdego celu przetwarzania Danych osobowych (1 zgoda = 1 cel).

6.1.4. Osoba może udzielić zgody w formie oświadczenia lub wyraźnego działania potwierdzającego jej wolę. Fakt podania Danych osobowych nie oznacza zgody Osoby na przetwarzanie jej Danych osobowych w konkretnym celu.

6.1.5. Jednocześnie z zapytaniem o zgodę Administrator podaje Osobie niezbędne informacje o przetwarzaniu Danych osobowych stosownie do Rozdziału 6.2.

6.1.6. Administrator nie potrzebuje kolejnej zgody Osoby, która wcześniej udzieliła zgody na przetwarzanie, aby móc przekazać Dane osobowe Podmiotowi przetwarzającemu np. zewnętrznemu biuru księgowemu, agencji marketingowej realizującej wysyłkę newslettera dla Administratora itp.

18


6.1.7. Administrator może udostępniać Dane osobowe otrzymane na podstawie zgody jeżeli:6.1.7.1. uzyskał zgodę Osoby na udostępnienie podmiotowi trzeciemu np.

instytutowi naukowemu, który prowadzi badania naukowe; gminie dla celów rozsyłania ostrzeżeń pogodowych; zakładowi ubezpieczeń w celu wypłaty odszkodowania z czynu niedozwolonego;

6.1.7.2. obowiązek udostępnienia danych wynika z przepisów prawa np. Policja, Prokuratura, Państwowa Inspekcja Sanitarna.

6.1.8. Przykładowe zapytania o zgodę:Wyrażam zgodę / Nie wyrażam zgody na przetwarzanie moich danych osobowych przez Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, w celu otrzymywania informacji o przerwach w dostawie wody sms lub e-mailem.

***Wyrażam zgodę/Nie wyrażam zgody na przetwarzanie przez Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, moich danych osobowych zawartych w podaniu o pracę (w tym CV) w celu rekrutacji.

***Wyrażam zgodę/Nie wyrażam zgody na udostępnienie przez Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, moich danych osobowych zawartych w umowie o zaopatrzenie w wodę lub odprowadzanie ścieków do zakładu ubezpieczeń ABC S.A.

6.2. Informowanie o przetwarzaniu Danych osobowych

6.2.1. Podczas pozyskiwania Danych osobowych od Osoby Administrator podaje jej informacje zgodnie z art. 13 RODO.

6.2.2. Administrator udziela informacji w sposób określony w art. 12 ust. 1 RODO. W zależności od okoliczności informacja z art. 13 RODO może być zawarta w stosowanych przez Administratora wzorcach (formularzach) wniosków i umów, wywieszona na tablicach w biurze obsługi interesanta w siedzibie Administratora, umieszczona na stronie internetowej Administratora, mieć postać graficzną lub zostać podana w każdy inny sposób zapewniający Osobie realną możliwość zapoznania się z jej treścią.

6.2.3. Administrator nie musi podawać informacji, o których mowa w art. 13 RODO jeżeli Osoba ma już taką wiedzę np. pracownicy zazwyczaj mają świadomość kto jest Administratorem, znają cel i podstawę przetwarzania Danych osobowych, okres przetwarzania itp.

6.2.4. Przykładowa klauzula informacyjna, o której mowa w pkt 6.2.1., dla umowy:Administratorem Pani/Pana danych osobowych jest Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, e-mail: [email protected] (dalej: Zakład). Kontakt do inspektora ochrony danych: [email protected] Dane osobowe są przetwarzane w celu realizacji niniejszej umowy. Dane osobowe mogą zostać przekazane do podwykonawców Zakładu lub

19


podmiotów współpracujących z Zakładem, ale nie będą przekazywane poza obszar EOG. Dane osobowe będą przechowywane w czasie realizacji umowy i przez okres 5 lat po przedawnieniu zobowiązań podatkowych związanych z umową. Podanie danych osobowych jest obowiązkowe dla zawarcia i wykonania umowy. Informujemy, że ma Pani/Pan prawo do żądania od Zakładu dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz przeniesienia danych. Ma Pani/Pan prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

6.2.5. Przykładowa klauzula informacyjna, o której mowa w pkt 6.2.1., przy zbieraniu zgody:Administratorem Pani/Pana danych osobowych jest Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, e-mail: [email protected] (dalej: Zakład). Kontakt do inspektora ochrony danych: [email protected] Dane osobowe mogą zostać przekazane do podwykonawców Zakładu lub podmiotów współpracujących z Zakładem, ale nie będą przekazywane poza obszar EOG. Dane osobowe będą przechowywane w czasie od chwili udzielenia zgody do momentu jej wycofania albo ich usunięcia przez Zakład w związku z zakończeniem świadczenia usługi, dla której zgoda była udzielona. W każdym momencie może Pani/Pan cofnąć zgodę na przetwarzanie danych np. poprzez wysłanie wiadomości na adres e-mail: [email protected] Cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Informujemy, że ma Pani/Pan prawo do żądania od Zakładu dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz przeniesienia danych. Ma Pani/Pan prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Wyrażenie zgody jest dobrowolne, ale konieczne do otrzymywania informacji objętych klauzulą o zgodzie.

6.2.6. Przykładowa klauzula informacyjna, o której mowa w pkt 6.2.1., łącznie dla zgody i umowy:Administratorem Pani/Pana danych osobowych jest Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, e-mail: [email protected] (dalej: Zakład). Kontakt do inspektora ochrony danych: [email protected] Dane osobowe są przetwarzane w celu:a) realizacji umowy o zaopatrzenie w wodę lub odprowadzanie ścieków;b) wysyłania kontrahentom Zakładu informacji o przerwach w dostawie wody drogą

sms – wyłącznie jeżeli osoba fizyczna wyraziła zgodę na przetwarzanie danych osobowych dla ww. celu.

Dane osobowe mogą zostać przekazane do podwykonawców Zakładu lub podmiotów współpracujących z Zakładem, ale nie będą przekazywane poza obszar EOG. Okres przechowywania:a) danych osobowych dla celu realizacji umowy - w czasie realizacji umowy i przez

okres 5 lat po przedawnieniu zobowiązań podatkowych związanych z umową;b) danych osobowych dla celu wysyłania informacji sms - od chwili udzielenia zgody

do momentu jej wycofania albo ich usunięcia przez Zakład w związku z zakończeniem świadczenia usługi, dla której zgoda była udzielona.

20


Podanie danych osobowych dla celu wykonania umowy jest obowiązkowe dla zawarcia i wykonania umowy. Z kolei, wyrażenie zgody jest dobrowolne, ale konieczne do otrzymywania informacji objętych klauzulą o zgodzie. W każdym momencie może Pani/Pan cofnąć zgodę na przetwarzanie danych osobowych dla celu wysyłania informacji sms np. poprzez wysłanie wiadomości na adres e-mail: [email protected] Cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Informujemy, że ma Pani/Pan prawo do żądania od Zakładu dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz przeniesienia danych. Ma Pani/Pan prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

6.2.7. Administrator, który otrzymuje Dane osobowe od innego podmiotu, przekazuje Osobie informacje o przetwarzaniu danych zgodnie z art. 14 RODO.

6.2.8. Administrator, który chce przetwarzać Dane osobowe w celu innym niż zostały pozyskane, przed rozpoczęciem tego przetwarzania, powiadamia Osobę i przekazuje jej wymagane informacje (por. art. 13 ust. 3 RODO, art. 14 ust. 4 RODO).

6.3. Prawa Osoby dotyczące Danych Osobowych

6.3.1. Osoba może żądać od Administratora:6.3.1.1. potwierdzenia, czy przetwarzane są jej Dane osobowe, uzyskania dostępu do

Danych osobowych oraz informacji zgodnie z art. 15 RODO;6.3.1.2. kopii jej danych osobowych. Za drugą i kolejne kopie Administrator pobiera

opłatę w wysokości wynikającej z kosztów administracyjnych. Jeżeli Osoba zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną;

6.3.1.3. sprostowania jej Danych osobowych lub uzupełnienia niekompletnych Danych osobowych na podstawie art. 16 RODO;

6.3.1.4. usunięcia dotyczących jej Danych osobowych na zasadach określonych w art. 17 RODO;

6.3.1.5. ograniczenia przetwarzania jeżeli spełnione są warunki z art. 18 RODO;6.3.1.6. przenoszenia Danych osobowych na podstawie art. 20 RODO.

6.3.2. Osoba może wnieść sprzeciw przeciwko przetwarzaniu Danych osobowych jeżeli aktualizują się przesłanki z art. 21 RODO.

6.3.3. Czynności z pkt 6.3.1. i 6.3.2. wykonuje się na wniosek Osoby. Administrator dokonuje czynności po uprzedniej identyfikacji osoby żądającej i potwierdzeniu czy zachodzi okoliczność wskazana we wniosku uzasadniająca żądanie.

6.3.4. Administrator prowadzi wszelką komunikację z Osobą w zakresie realizacji jej praw:6.3.4.1. w języku polskim6.3.4.2. w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i

prostym językiem;6.3.4.3. w formie pisemnej lub elektronicznej (Informacja ustna powinna być

potwierdzona pismem lub e-mailem);

21


6.3.4.4. w terminach określonych w art. 12 ust. 3 i 12 ust. 4 RODO;6.3.5. Jeżeli Osoba nie posługuje się językiem polskim, Administrator – w miarę możliwości

finansowych i organizacyjnych oraz przy uwzględnieniu dostępności tłumaczy danego języka - może podjąć działania w celu zapewnienia Osobie możliwości otrzymania informacji również w języku znanym Osobie.

6.3.6. Administrator spośród pracowników wyznacza Użytkownika, który będzie zajmował się przyjmowaniem i załatwianiem wniosków z pkt 6.3.1. i 6.3.2. W terminie 7 dni roboczych wyznaczony Użytkownik ocenia zasadność wniosku Osoby, uzyskuje opinię Inspektora (jeżeli został wyznaczony), Wyznaczonej osoby i przestawia wniosek do decyzji członkowi najwyższego kierownictwa Administratora.

6.3.7. Administrator wprowadza formularz wniosku dla Osoby, która chce zrealizować swoje prawa dot. Danych osobowych. Formularz powinien być udostępniony do pobrania na stronie internetowej Administratora.

6.3.8. Administrator nie może utrudniać ani odmówić realizacji prawa Osoby tylko z tego powodu, że wniosek nie został złożony na formularzu wprowadzonym przez Administratora.

6.3.9. W przypadku żądań Klienta podejmowanych na podstawie art. 15-22 RODO ewidentnie nieuzasadnionych lub nadmiernych, w szczególności ze względu na swój ustawiczny charakter, Administrator może pobrać dodatkową opłatę lub odmówić podjęcia działań.

6.3.10. Za ewidentnie nieuzasadnione lub nadmierne żądania Osoby, które uzasadniają pobranie opłaty dodatkowej bądź odmowę podjęcia działań, uznaje się w szczególności:6.3.10.1. żądania informacji częściej niż raz na 3 miesiące, jeżeli zakres danych

przetwarzanych bądź inne okoliczności związane z przetwarzaniem nie ulegały zmianie od czasu złożenia poprzedniego żądania;

6.3.10.2. żądania informacji dzielone sztucznie na kilka lub kilkanaście żądań; 6.3.10.3. żądanie szczególnego, niestandardowego formatu odpowiedzi;6.3.10.4. żądanie udzielenia odpowiedzi w języku innym niż polski.

6.3.11. Za ewidentnie nieuzasadnione lub nadmierne żądania osoby, które uzasadniają odmowę ich zrealizowania, uznaje się w szczególności:6.3.11.1. żądanie informacji, których przekazanie spowodowałyby nieuprawnione

ujawnienie tajemnicy przedsiębiorstwa, tajemnicy zawodowej, Danych osobowych innej Osoby lub innej tajemnicy prawnie chronionej;

6.3.11.2. żądanie informacji, których udzielenie wymagałoby zaangażowania osób w sposób utrudniający bieżące funkcjonowanie Administratora, przez co rozumie się w szczególności żądania, którego spełnienie skutkowałoby koniecznością ograniczenia liczby dostępnych osób do obsługi innych Klientów lub do obsługi technicznej albo żądania, których spełnienie skutkowałoby koniecznością wydłużenia czasu obsługi innych Klientów.

6.3.12. Administrator archiwizuje wnioski Osoby z pkt 6.3.1. i 6.3.2., korespondencję w sprawie oraz dowody powiadomienia Osoby o załatwieniu sprawy, przez okres 5 lat po upływie najdłuższego z okresów przedawnienia roszczeń Osoby.

22


7. Prawo pracy

7.1. Kandydaci do pracy

7.1.1. Administrator - na podstawie art. 22[1] § 1 Kodeksu pracy - może przetwarzać Dane osobowe kandydatów do pracy dla celu rekrutacji w postaci: imię (imiona) i nazwisko; imiona rodziców; data urodzenia; miejsce zamieszkania (adres do korespondencji); wykształcenie; przebieg dotychczasowego zatrudnienia.5

7.1.2. Administrator może żądać podania innych danych osobowych niż określone w pkt 7.1.1., jeżeli obowiązek ich podania wynika z odrębnych przepisów (art. 22[1] § 4 Kodeksu pracy), np. zaświadczenia z Krajowego Rejestru Karnego jeżeli z przepisów prawa wynika, że dane stanowisko pracy może zajmować jedynie osoba nieskazana za przestępstwo.

7.1.3. Jeżeli dokumenty rekrutacyjne (list motywacyjny, życiorys) zawierają inne Dane osobowe niż wymieniona w pkt 7.1.1., Administrator przetwarza te Dane osobowe tylko wówczas gdy kandydat wyraził zgodę na przetwarzanie Danych osobowych dla ww. celu. Dokumenty nie zawierające zgody kandydata na przetwarzanie podlegają zniszczeniu.

7.1.4. W ogłoszeniu o pracę Administrator zamieszcza zapytanie o zgodę na przetwarzanie Danych osobowych stosownie do Rozdziału 6.1. oraz informację o przetwarzaniu stosownie do pkt 6.2.

7.1.5. Przykładowa klauzula o zgodzie dla celów rekrutacji wraz z informacją z art. 13 RODO:Kandydatów prosimy o przesłanie życiorysu wraz z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobowych przez Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz w celu rekrutacji.Administratorem Pani/Pana danych osobowych jest Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, e-mail: [email protected] (dalej: Zakład). Dane osobowe mogą zostać przekazane do podwykonawców Zakładu lub podmiotów współpracujących z Zakładem, ale nie będą przekazywane poza obszar EOG. Dane osobowe będą przechowywane w czasie od chwili udzielenia zgody do momentu jej wycofania albo usunięcia danych przez Zakład po upływie 10 miesięcy od zakończenia procesu rekrutacji. W każdym momencie może Pani/Pan cofnąć zgodę na przetwarzanie danych np. poprzez wysłanie wiadomości na adres e-mail: [email protected] Cofnięcie zgody nie

5 Zgodnie z projektem Ustawy II, art. 22[1] § 1 i § 2 Kodeksu pracy ulegnie zmianie i otrzyma treść:§ 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:1) imię (imiona) i nazwisko;2) datę urodzenia;3) dane kontaktowe wskazane przez taką osobę;4) wykształcenie;5) kwalifikacje zawodowe;6) przebieg dotychczasowego zatrudnienia.§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4 - 6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

23


ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Informujemy, że ma Pani/Pan prawo do żądania od Zakładu dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz przeniesienia danych. Ma Pani/Pan prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Wyrażenie zgody jest dobrowolne, ale konieczne do uczestniczenia w procesie rekrutacji.

7.2. Pracownicy

7.2.1. Administrator przetwarza Dane osobowe pracownika na podstawie:7.2.1.1. przepisów Kodeksu pracy i innych ustaw – dla celów zawarcia, wykonywania

i rozliczenia stosunku pracy;7.2.1.2. zgody pracownika – dla celów wynikający ze specyfiki działalności

Administratora (pracodawcy).7.2.2. Administrator przetwarza Dane osobowe pracownika zebrane w czasie rekrutacji oraz

– na podstawie art. 22[1] § 2 Kodeksu pracy – zbiera od pracownika:7.2.2.1. inne Dane osobowe, a także imiona i nazwiska oraz daty urodzenia dzieci

pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

7.2.2.2. numer PESEL pracownika;7.2.2.3. począwszy od 01.01.2019 r. - numer rachunku płatniczego, jeżeli pracownik

nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.6

7.2.3. Administrator może przetwarzać serię i numeru dowodu osobistego lub paszportu jeżeli pracownik nie ma numeru PESEL.7

7.2.4. Administrator opracowuje własny wzór kwestionariusza osobowego dla pracowników, który będzie zawierał pytania wyłącznie o Dane osobowe dozwolone do przetwarzania na podstawie umowy o pracę i przepisów prawa powszechnie obowiązującego.8

7.2.5. Administrator nie może przetwarzać Danych osobowych pracownika w postaci zdjęcia (wizerunek) dla celów marketingowych (np. publikacja na stronie internetowej) z powołaniem na podstawę z art. 6 ust. 1 lit. e) RODO tj. realizacja

6 Zgodnie z projektem Ustawy II, art. 22[1] § 3 Kodeksu pracy ulegnie zmianie i otrzyma treść:§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:1) adres zamieszkania;2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość.7 art. 35 ust. 1 ustawy 13 października 1998 r. o systemie ubezpieczeń społecznych (tekst jedn. Dz.U. z 2017 r. poz. 1778 ze zm.) 8 Wzór kwestionariusza osobowego stanowi Załącznik nr 5 do rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (tekst jedn. Dz.U. z 2017 r. poz. 894 ze zm.). Załącznik nr 5 zawiera pytania o Dane osobowe, których Administrator (pracodawca) nie może przetwarzać począwszy od dnia 25.05.2018 r. Brak wyraźnej podstawy prawnej w Kodeksie pracy albo innej ustawie w połączeniu z wynikającą z RODO zasadą minimalizacji danych powoduje, że Administrator nie może żądać od pracownika (a) NIP, (b) informacji o stanie rodzinnym, (c) serii i numeru dowodu osobistego lub paszportu jednocześnie z PESEL.

24


prawnie uzasadnionych interesów realizowanych przez Administratora (promocja działalności Administratora w Internecie, mediach społecznościowych).

7.2.6. Administrator może zapytać pracownika o zgodę na przetwarzanie Danych osobowych innych niż wymienione w pkt 7.1.1 i 7.2.2 np. zdjęcie do identyfikatora, zdjęcie do celów marketingowych, numer telefonu, adres poczty elektronicznej, wzrost i waga celem dobrania odzieży roboczej zgodnej z bhp. Administrator zapewnia pracownikowi swobodę decyzji odnośnie zgody. Brak udzielenia zgody nie może skutkować dyskryminacją ani innymi negatywnymi skutkami dla pracownika.

7.2.7. Zasady prowadzenia dokumentacji pracowników określają odrębne przepisy.7.2.8. Administrator wprowadza Dane osobowe pracownika do systemu komputerowego.

Poszczególni Użytkownicy mają dostęp do Danych osobowych tylko w zakresie niezbędnym do wykonywania powierzonych zadań.

7.2.9. Administrator nie potrzebuje zgody pracownika na powierzenie przetwarzania Danych osobowych Podmiotowi przetwarzającemu.

7.2.10. Administrator nie może udostępniać Danych osobowych pracownika Podmiotowi trzeciemu, chyba że w celu wykonania umowy o pracę np. do lekarza medycyny pracy, zakładu ubezpieczeń w celu wypłaty odszkodowania.

7.2.11. Administrator może udostępniać Dane osobowe pracowników jeżeli:7.2.11.1.uzyskał zgodę pracownika na udostępnienie podmiotowi trzeciemu np.

przychodni lekarskiej celem realizacji abonamentu medycznego, zakładowi ubezpieczeń dla celu ubezpieczenia grupowego itp.;

7.2.11.2.obowiązek udostępnienia danych wynika z przepisów prawa np. Policja, Prokuratura.

7.3. Osoby inne niż pracownicy

7.3.1. Przy zawieraniu umów innych niż umowa o pracę (umowa zlecenia, umowa o dzieło, umowa typu B2B) Osoba podaje Dane osobowe w zakresie niezbędnym do wykonania ww. umowy, np. imię i nazwisko, adres zamieszkania, dane kontaktowe i dane niezbędne do rozliczenia umowy (PESEL, ewentualnie NIP, nazwę urzędu skarbowego, numer rachunku bankowego itp.).

7.3.2. Przy zbieraniu Danych osobowych, Administrator podaje Osobie niezbędne informacje o przetwarzaniu Danych osobowych stosownie do Rozdziału 6.2.

7.3.3. Administrator nie uzależnia zawarcia umowy, o której mowa w pkt 7.3.1, od podania przez Osobę innych Danych osobowych, które w szczególności są sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO) np. numer i seria dowodu osobistego, stan cywilny i rodzinny, obywatelstwo itp.

7.3.4. Przetwarzanie przez Administratora innych Danych osobowych niż niezbędne do wykonania umowy opisanej w pkt 7.3.1., wymaga uzyskania zgody Osoby na przetwarzanie tych Danych osobowych np. zdjęcie (wizerunek), numer legitymacji studenckiej.

7.3.5. Postanowienia pkt 7.2.8. – 7.2.11 stosuje się odpowiednio.

25


8. Bezpieczeństwo Danych osobowych

8.1. Postanowienia ogólne

8.1.1. Administrator podejmuje działania celem zapewnienia bezpieczeństwa Danych osobowych proporcjonalne do swojej wielkości, struktury organizacyjnej, kategorii, zakresu i ilości przetwarzanych Danych osobowych, stwierdzonych ryzyk, liczby Użytkowników i innych osób, w szczególności:8.1.1.1. wskazuje Wyznaczoną osobę i powiadamia pracowników,

współpracowników i podwykonawców;8.1.1.2. wydziela pomieszczenia, gdzie są bądź mogą być przetwarzane Dane

osobowe;8.1.1.3. zabezpiecza wejścia do pomieszczeń, o których mowa w pkt 8.1.1.2.,

drzwiami wejściowymi zaopatrzonymi w zamki;8.1.1.4. wyposaża pomieszczenia, o których mowa w pkt 8.1.1.2., w szafy i –

ewentualnie – sejf;8.1.1.5. przechowuje dokumentację zawierającą Dane osobowe w pomieszczeniach,

w sposób uniemożliwiający dostęp do nich osób trzecich lub w sejfie ognioodpornym. Szafy i sejf służące do przechowywania dokumentacji są umiejscowione w pomieszczeniach, w których ruch osób trzecich jest ograniczony;

8.1.1.6. wydaje Użytkownikom klucze do pomieszczeń, gdzie przetwarzane są Dane osobowe, zgodnie z wcześniej nadanymi uprawnieniami dostępu. Klucze nie są wydawane (i) studentom na praktykach, (ii) stażystom, (iii) osobom na okresie próbnym;

8.1.1.7. prowadzi ewidencję kluczy do pomieszczeń, gdzie przetwarzane są Dane osobowe. Ewidencja zawiera co najmniej (i) numer klucza, (ii) przeznaczenie klucza oraz (iii) imię i nazwisko posiadacza klucza;

8.1.1.8. prowadzi ewidencję pendrive’ów wydanych Użytkownikom;8.1.1.9. zapewnia niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów

zawierających Dane osobowe w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek;

8.1.1.10.zapewnia, że przetwarzanie danych w formie elektronicznej odbywa się przy użyciu bezpiecznego połączenia wewnętrznego lub zdalnego połączenia szyfrowanego z procesem uwierzytelniania z wykorzystaniem identyfikatora i hasła. Rejestr połączeń i czynności elektronicznego przetwarzania danych jest prowadzony przez Administratora w sposób zautomatyzowany;

8.1.1.11.zbiera i przechowuje informacje o stanie zdrowia pracowników tylko w zamkniętych zbiorach fizycznych – Teczki osobowe pracowników. Zbieranie i przetwarzanie tych danych może się odbywać jeżeli jest to niezbędne do wypełnienia obowiązków w dziedzinie prawa pracy, zabezpieczenia socjalnego i ochrony socjalnej pracownika lub do celów medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego;

8.1.1.12.nie przetwarza Danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa, chyba że przepis prawa stanowi inaczej;

26


8.1.1.13.nie przetwarza Danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celach identyfikacji Osoby lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej Osoby;

8.1.1.14.wydaje zaświadczenia i inne dokumenty w celu przedłożenia w instytucji, banku itp., na których znajdują się Dane osobowe, tylko Osobie. Jeżeli Osoba zwraca się o zaświadczenie drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

8.1.2. Administrator nakazuje Użytkownikom dla potrzeb ochrony Danych osobowych:8.1.2.1. przetwarzać Dane osobowe w formie papierowej tylko w pomieszczeniach

do przetwarzania Danych osobowych, chyba że czynności służbowe wymagają przetwarzania poza siedzibą Administratora;

8.1.2.2. stosować zasadę tzw. „czystego biurka” w miejscu przetwarzania Danych osobowych utrwalonych w formie papierowej, czyli usuwać wszystkie materiały zawierające Dane osobowe z miejsca umożliwiającego fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy Użytkownik.

8.1.2.3. zamykać na klucz wszelkie pomieszczenia lub budynki, w których przetwarzane są Dane osobowe, w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Użytkownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem;

8.1.2.4. korzystać tylko i wyłącznie z informatycznego połączenia szyfrowanego w przypadku przesyłania danych pomiędzy Użytkownikami;

8.1.2.5. usuwać otrzymywane za pomocą otwartej korespondencji elektronicznej Dane osobowe nie posiadające jednoznacznej zgody na przetwarzanie danych osobowych lub innej podstawy przetwarzania. Zgoda nadawcy wiadomości e-mail na przetwarzanie Danych osobowych może być udzielona w formie elektronicznej drogą wiadomości e-mail;

8.1.2.6. zapisywać, powielać, utrwalać, przenosić Dane osobowe wyłącznie z wykorzystaniem pendrive’ów będących własnością Administratora;

8.1.2.7. wykorzystywać nośniki danych (dokumenty, komputery, telefony) wyłącznie dla celów służbowych, w szczególności nie korzystać z prywatnej poczty e-mail na sprzęcie Administratora, nie wysyłać materiałów Administratora na prywatne konta e-mail itp.;

8.1.2.8. zapisywać pliki na wyznaczonym dysku sieciowym i ograniczać do minimum liczbę plików – posiadanych na nośnikach danych (komputery, pendrive’y);

8.1.2.9. zabezpieczać nośniki danych przed dostępem osób nieuprawnionych np. dzieci i inne osoby bliskie, w szczególności wyłączać nośnik danych w przerwach korzystania z niego, zamykać drzwi zewnętrzne do lokalu – miejsca przechowywania nośnika danych;

8.1.2.10.stosować zasadę, że przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są Dane osobowe, jest dopuszczalne tylko w obecności Użytkownika, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem;

27


8.1.2.11.powiadomić Wyznaczoną osobę natychmiast po stwierdzeniu utraty nośnika danych, także w dzień wolny od pracy.

8.1.3. Administrator zakazuje Użytkownikom dla potrzeb ochrony Danych osobowych:8.1.3.1. gromadzenia Danych osobowych nie mających konkretnych, wyraźnych

i prawnie uzasadnionych celów nie mających związku z prowadzoną działalnością gospodarczą;

8.1.3.2. ujawniania Danych osobowych zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania Danych osobowych;

8.1.3.3. wynoszenia materiałów zawierających Dane osobowe poza miejsce ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających Dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia oraz jej bezpośredni przełożony;

8.1.3.4. korzystać z publicznych sieci WiFi tj. w środkach komunikacji publicznej, hotelach, dworcach, centrach konferencyjnych itp.;

8.1.3.5. pozostawiać nośniki danych na widoku tj. w czasie przerwy w miejscu prowadzania szkolenia, w części pasażerskiej samochodu;

8.1.3.6. udostępniać nośniki danych (komputery, telefony) innym osobom (np. członkom rodziny, klientom) np. w celu sprawdzenia poczty elektronicznej czy wykonania przelewu

8.1.3.7. nosić nośniki danych w miejsca publiczne gdzie istnieje wyższe ryzyko przypadkowej utraty lub uszkodzenia nośnika np. festiwale muzyczne, festyny, pikniki, protesty publiczne, pikiety, inne zgromadzenia publiczne itp.

8.1.4. Administrator zapewnia, że każdy Użytkownik ponosi indywidualną odpowiedzialność za bezpieczeństwo przetwarzania Danych osobowych.

8.2. Szkolenia

8.2.1. Administrator systematycznie organizuje szkolenia dla Użytkowników z zakresu ochrony Danych osobowych, w tym prawidłowego obiegu dokumentów, właściwej obsługi systemów informatycznych.

8.2.2. Administrator dostosowuje zakres i rodzaj szkoleń do potrzeb poszczególnych grup Użytkowników, uwzględnia złożoność procesów przetwarzania Danych osobowych i ryzyka związane z przetwarzaniem Danych osobowych na poszczególnych stanowiskach pracy.

8.2.3. Wyznaczona Osoba prowadzi ewidencję szkoleń w formie elektronicznej (plik komputerowy).

8.2.4. Administrator stosuje inne środki celem podniesienia wiedzy i kompetencji Użytkowników i pozostałych osób z zakresu ochrony Danych osobowych np. plakaty, wiadomości e-mail przypominające o regułach bezpieczeństwa Danych osobowych itp.

8.3. Inspektor ochrony danych

28


8.3.1. Administrator – Podmiot publiczny (np. gminny zakład budżetowy) – jako jednostka sektora finansów publicznych - ma obowiązek powołania Inspektora stosownie do art. 9 pkt 1 Ustawy o ochronie danych osobowych.

8.3.2. Administrator inny niż Podmiot publiczny (np. spółka z o.o., w której 100% udziałów ma gmina) nie ma obowiązku powołania Inspektora.

8.3.3. Administrator wybiera Inspektora w taki sposób, że:8.3.3.1. Inspektor nie będzie kontrolował sam siebie;8.3.3.2. Inspektor będzie posiadał praktyczną wiedzę z zakresu zarówno przepisów

prawa jak i rozwiązań IT w zakresie bezpieczeństwa Danych Osobowych.8.3.4. Administrator może zlecić zadania Inspektora podmiotowi zewnętrznemu i powierzyć

mu przetwarzanie Danych osobowych w tym zakresie. Administrator wybiera Inspektora, który posiada ubezpieczenie odpowiedzialności cywilnej z tytułu prowadzonej działalności gospodarczej. Do Umowy powierzenia stosuje się odpowiednio Rozdział 5.1.

8.3.5. Administrator, który nie powołuje Inspektora, sporządza notatkę odnośnie tej kwestii. Wzór notatki stanowi Załącznik nr 4 do Kodeksu.

8.3.6. Status i zadania Inspektora określają art. 37-39 RODO.

8.4. Upoważnienia

8.4.1. Administrator wydaje upoważnienie do przetwarzania Danych osobowych, w których różnicuje dostęp poszczególnych Użytkowników do Danych osobowych i dostosowuje ten dostęp do stanowiska pracy i rodzaju obowiązków zawodowych.

8.4.2. Administrator może postanowić na piśmie, że Wyznaczona osoba jest uprawniona do nadawania, cofania lub zmiany upoważnień.

8.4.3. Odpowiedzialność za nadanie upoważnienia ponoszą członkowie najwyższego kierownictwa Administratora.

8.4.4. Upoważnienie jest nadawane jest na wniosek (i) kierownika działu, w którym pracuje osoba mająca otrzymać upoważnienie, (ii) prokurenta. Zakres upoważnienia określa osoba wnioskujące o nadanie tego upoważnienia.

8.4.5. Administrator udziela upoważnienia na piśmie. Wzór upoważnienia stanowi Załącznik nr 5 do Kodeksu.

8.4.6. Upoważnienia są numerowane według kolejności.8.4.7. Użytkownik zobowiązuje się do zachowania poufności Danych osobowych bez

ograniczeń czasowych.8.4.8. Wyznaczona osoba prowadzi ewidencję upoważnień w formie elektronicznej (plik

komputerowy), która zawiera co najmniej (i) imię i nazwisko Użytkownika, (ii) datę udzielenia upoważnienia, (iii) datę zakończenia upoważnienia i (iv) adnotację o zwrocie lub zniszczeniu Danych osobowych przez Użytkownika po zakończeniu współpracy.

8.5. Rejestr czynności przetwarzania

29


8.5.1. Administrator sporządza rejestr czynności przetwarzania, a Podmiot przetwarzający prowadzi rejestr kategorii przetwarzania stosownie do art. 30 RODO. Wzór rejestru czynności przetwarzania z przykładowymi czynnościami przetwarzania i przykładową treścią stanowi Załącznik nr 6 do Kodeksu.

8.5.2. Wyznaczona osoba dba o aktualność informacji w rejestrze czynności przetwarzania i dokonuje jego przeglądu co najmniej 1 raz w roku.

8.5.3. Administrator prowadzi rejestr czynności przetwarzania w formie elektronicznej (plik komputerowy).

8.5.4. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa w rejestrze czynności przetwarzania (por. art. 30 ust. 1 lit. g) RODO) można ująć w załącznikach do rejestru. Administrator może wykorzystać istniejące do 24.05.2018 r. dokumenty: (i) Polityka bezpieczeństwa danych osobowych i (ii) Instrukcja zarządzania systemem informatycznym jako załączniki do rejestru czynności przetwarzania w zakresie opisu środków bezpieczeństwa.

8.5.5. Administrator w każdym przypadku samodzielnie ocenia czy rejestr czynności przetwarzania wraz z ogólnym opisem technicznych i organizacyjnych środków bezpieczeństwa, podlega ujawnieniu na podstawie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn. Dz. U. z 2018 r., poz. 1330 ze zm.).

8.6. Analiza ryzyka

8.6.1. Administrator wykonuje analizę ryzyka naruszenia praw lub wolności Osób w jego organizacji. Wzór analizy ryzyka z przykładową listą ryzyk stanowi Załącznik nr 7 do Kodeksu.

8.6.2. Wyznaczona osoba dokonuje przeglądu analizy ryzyka regularnie, co najmniej 1 raz w roku i powiadamia Administratora o wynikach tej oceny. W przypadku istotnej zmiany u Administratora organizacyjnej, strukturalnej, technicznej, technologicznej i odnoszącej się do Danych osobowych, Administrator poleca Wyznaczonej osobie przeprowadzenie aktualnej analizy ryzyka naruszenia praw lub wolności Osób.

8.6.3. Administrator przechowuje dokumentację z analizy ryzyka wykonywanej przez ostatnie 5 pełnych lat kalendarzowych.

8.6.4. Administrator uwzględnia wyniki analizy ryzyka w projektowaniu lub zmianach w obrębie poszczególnych procesów przetwarzania Danych osobowych.

8.7. Ocena skutków dla ochrony Danych osobowych

8.7.1. Administrator samodzielnie sprawdza czy ma obowiązek wykonania oceny skutków dla ochrony danych osobowych zgodnie z art. 35 ust. 1 lub art. 35 ust. 3 RODO.

8.7.2. Administrator ma obowiązek wykonania Oceny skutków także wówczas, gdy dany rodzaj działalności został ujęty w opublikowanym przez Prezesa Urzędu Ochrony

30


Danych Osobowych wykazie rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych.9

8.7.3. Administrator, który nie wykonuje Oceny skutków, sporządza notatkę odnośnie tej kwestii. Wzór notatki stanowi Załącznik nr 8 do Kodeksu.

8.7.4. W przypadku istnienia wątpliwości odnośnie obowiązku wykonania Oceny skutków, Administrator przygotowuje Ocenę skutków zgodnie z art. 35 RODO.

8.7.5. Administrator może zlecić wykonanie Oceny skutków podmiotowi zewnętrznemu, ale takie zlecenie nie zwalnia Administratora z odpowiedzialności za realizację omawianego obowiązku.

8.8. Naruszenia ochrony Danych osobowych

8.8.1. Administrator wprowadza i upowszechnia instrukcję postępowania w przypadku naruszenia ochrony Danych osobowych.

8.8.2. Procedura na wypadek naruszenia ochrony Danych osobowych przewiduje co najmniej:8.8.2.1. Każda osoba, która poweźmie wiadomość o naruszeniu bezpieczeństwa

danych bądź posiada informacje mogące mieć wpływ na bezpieczeństwo Danych osobowych, niezwłocznie zgłasza ten fakt Wyznaczonej osobie.

8.8.2.2. Do czasu przybycia na miejsce naruszenia Wyznaczonej osoby, powiadamiający jest obowiązany: i. niezwłocznie podjąć czynności niezbędne dla powstrzymania

niepożądanych skutków, ustalić przyczyny lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,

ii. zaniechać dalszych działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę,

iii. udokumentować wstępnie zaistniałe naruszenie np. zdjęcie, print screen, wydruk, nagranie,

iv. nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Wyznaczonej osoby.

8.8.2.3. Po przybyciu na miejsce naruszenia Wyznaczona osoba:9 Zgodnie z projektem wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych przygotowanym przez Prezesa Urzędu Ochrony Danych Osobowych w maju 2018 r., ocena skutków dla ochrony danych będzie wymagana m.in. dla: systemów monitorowania czasu pracy oraz przepływu informacji w wykorzystywanych przez pracowników

narzędziach (np. poczty elektronicznej, Internetu) - zakłady pracy (monitoring systemów informatycznych). Nieświadomość pracowników w zakresie monitorowania ich poczty elektronicznej, używania aplikacji, kart dostępowych, itp. jest monitorowane.

przetwarzania danych z dużą częstotliwością umożliwiającą obserwację stylu życia, prywatnych aspektów życia codziennego, przemieszczania się w terenie, intensywności korzystania z mediów dot. dostawców mediów (prąd, gaz, woda) w zakresie inteligentnego opomiarowania – zalecenie 2012/148/UE Komisji Europejskiej z marca 2012 r. w sprawie przygotowań do rozpowszechniania inteligentnych systemów pomiarowych;

systemów zdalnego opomiarowania, które biorąc pod uwagę zakres i częstość zbierania danych umożliwiają profilowanie osób lub grupy osób - Sprzedawcy i dystrybutorzy mediów (prąd, gaz, woda, usługi telekomunikacyjne) wdrażający liczniki inteligentne.

31


i. zapoznaje się z zaistniałą sytuacją i decyduje o dalszym postępowaniu;ii. wysłuchuje relacji osoby powiadającej z zaistniałego naruszenia, jak

również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,

8.8.2.4. Wyznaczona osoba dokumentuje zaistniały przypadek naruszenia oraz sporządza raport i przekazuje go Administratorowi (osobie z najwyższego kierownictwa Administratora).

8.8.2.5. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, Administrator zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych.

8.8.3. Administrator, po wysłuchaniu opinii Wyznaczonej osoby i innych osób odpowiedzialnych za bezpieczeństwo Danych osobowych, podejmuje decyzję o:8.8.3.1. zgłoszeniu naruszenia do Prezesa Urzędu Ochrony Danych Osobowych albo8.8.3.2. wpisaniu naruszenia do ewidencji jeżeli jest mało prawdopodobne aby

naruszenie ochrony Danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

8.8.4. Do zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych stosuje się art. 33 ust. 2 i 3 RODO. Zgłoszenie przygotowuje Wyznaczona osoba.

8.8.5. Administrator dokonuje zgłoszenia naruszenia elektronicznie za pomocą formularza opublikowanego przez Prezesa Urzędu Ochrony Danych Osobowych. Wzór formularza jest dostępny na stronie internetowej https://uodo.gov.pl/pl/134/233

8.8.6. Administrator wypełnia formularz, o którym mowa w pkt 8.8.5. oraz:8.8.6.1. załącza go do pisma ogólnego dostępnego na platformie biznes.gov.pl, lub8.8.6.2. wysyła go przez ePUAP na adres elektronicznej skrzynki podawczej:

/GIODO/SkrytkaESP, lub8.8.6.3. wysyła go w postaci załącznika na adres elektronicznej skrzynki

podawczej:/GIODO/SkrytkaESP.8.8.7. W sytuacjach, o których mowa w art. 34 RODO, Administrator powiadamia Osoby o

naruszeniu. W zależności od rodzaju, charakteru i zakresu naruszenia Administrator może powiadomić Osoby indywidualnie lub ogłosić o naruszeniu na swojej stronie internetowej, na kontach w portalach społecznościowych, mediach lokalnych itp. Administrator zapewni, że przyjęta metoda powiadamiania będzie właściwa do rodzaju naruszenia i umożliwi Osobom pozyskanie informacji o naruszeniu.

9. Zabezpieczenia informatyczne Danych osobowych

9.1. Wstęp

9.1.1. Oprócz zagadnień formalnych związanych z ochroną Danych osobowych Administrator ma obowiązek zadbać o prawidłową techniczną ochronę z perspektywy zarówno właściwych procedur jak i stosowanych środków i rozwiązań IT. Kwestia fizycznych oraz logicznych zabezpieczeń przed utratą, wyciekiem lub kradzieżą

32

https://uodo.gov.pl/pl/134/233


Danych osobowych jest jedną z podstawowych wytycznych RODO. Poprawna konstrukcja zabezpieczeń informatycznych umożliwia poprawną realizację założeń z Rozdziału nr 8. Poniżej opisane są zalecenia zarówno dla architektów systemów, osób wdrażających, administratorów oraz dla użytkowników usług IT.

9.2. Krok 1: Określenie i identyfikacja zbiorów danych osobowych

9.2.1. Inwentaryzacja zbiorów danych osobowych jest kluczowa dla określenia co należy zabezpieczyć i jakie dane sensytywne te zbiory posiadają. W tym celu należy zebrać informację o miejscach w których występuje lub ma występować przechowywanie i przetwarzanie Danych osobowych. Na podstawie poprawnej lokalizacji zbiorów Danych osobowych oraz procesów ich przetwarzania jest możliwe wykonanie szacunku ryzyka oraz, jeśli niezbędne, zastosowanie odpowiednich środków IT do jego redukcji.

9.2.2. Inwentaryzacja powinna być procesem cyklicznym realizowanym wraz z każdą zmianą w środowisku IT.

9.2.3. W tym celu należy do tabeli z Załącznika nr 6 dołączyć rejestr systemów w którym poszczególne czynności są realizowane wraz z niezbędnym opisem sposobu ich rejestrowania i przechowywania, np.: System kadrowo-płacowy (nazwa) przechowujący dane osobowe w bazie danych

firmy XYZ w wersji 1.2.3.4, System zarządzania tożsamością oparty o serwer LDAP firmy XYY (np. Microsoft

Active Directory, IBM Security Identity Manager, OpenLDAP itp.) System dostępowy do VPN bazujący na oprogramowaniu YXZ przechowujący

dane osobowe w bazie użytkowników ZYY (np. Microsoft Active Directory, IBM Security Identity Manager itp.).

9.3. Krok 2: mapowanie procesów przetwarzania danych osobowych

9.3.1. Administrator określa mapy procesów przetwarzania Danych osobowych aby zidentyfikować potencjalne słabe punkty lub miejsca gdzie mogą wystąpić naruszenia poufności Danych osobowych lub gdzie osoby niepowołane się do nich będą mogły dostać. Mapa, czyli określenie metod oraz zakresu przekazywania danych pomiędzy elementami środowiska IT jest zalecanym podejściem do realizacji analizy ryzyka wystąpienia naruszenia. W tym celu należy opracować wewnętrzną dokumentację określającą sposoby zasilenia danymi osobowymi (zasilenie ręczne, import z systemu zewnętrznego, skan z rozpoznawaniem pisma i inne), miejsca przetwarzania i dostępu do danych osobowych (systemy obsługi klienta, urządzenia rejestrujące pomiary z wodomierzy, systemy fakturowania, monitoringu oraz systemy wymiany z firmami zewnętrznymi).

9.3.2. Administrator zwraca uwagę w szczególności na:9.3.2.1. Systemy podmiotów zewnętrznych które świadczą pomocnicze usługi

serwisowe lub pomiarowe korzystając z danych osobowych pobieranych w sposób zautomatyzowany,

33


9.3.2.2. Systemy poczty elektronicznej utrzymywane na zasobach zewnętrznych (np. w chmurze lub innych dostawców tej usługi),

9.3.2.3. Systemy związane z medycyną pracy, ubezpieczeniami grupowymi, wydawania odzieży roboczej, narzędzi lub programami premiowymi,

9.3.2.4. Zewnętrzne systemy fakturowania i windykacyjne ,9.3.2.5. Usługi pocztowe i kurierskie.

9.3.3. Systemy, o których mowa w pkt 9.3.2., powinny zostać objęte równym lub wyższym standardem zabezpieczeń IT co systemy wewnętrzne Administratora oraz połączenia z tymi systemami należy zabezpieczyć najlepszymi dostępnymi metodami, patrz pkt 9.4.1.

9.4. Krok 3: Zaplanowanie i utrzymanie zabezpieczeń zbiorów danych oraz procesów przetwarzania

Zabezpieczenie zbiorów danych osobowych oraz sposobów dostępu do nich:

9.4.1. Dostęp do zbiorów Danych osobowych powinien zostać zabezpieczony najlepszymi dostępnymi technologicznie i finansowo metodami. Zalecenia:9.4.1.1. Zaleca się stosowanie centralnych systemów zarządzania tożsamością oraz

dostępem w celu zautomatyzowanego i sprawnego nadawania, odbierania i rozliczania dostępów i uprawnień do systemów z danymi osobowymi (np. Microsoft Active Directory, IBM Security Identity Manager, OpenLDAP itp. oraz systemy zarządzania uprawnieniami dostępowymi). Systemy te oprócz zarządzania dostępem pracowników również rozwiązują problem zarządzania dostępem firm zewnętrznych serwisujących lub wspierających wewnętrzne procesy.

9.4.1.2. Zdalne logowanie do systemów powinno używać połączenia szyfrowanego HTTPS w technologii TLS w wersji uznawanej za bezpieczną.

9.4.1.3. Do krytycznych systemów z danymi wrażliwymi powinno się wprowadzić ograniczenie dostępu bazujące na weryfikacji urządzenia (np. adres MAC oraz certyfikat dostępowy).

9.4.1.4. Dostępy do systemów powinny być realizowane przy wykorzystaniu bezpiecznych połączeń RDP czy SSH z uwierzytelnieniem wieloetapowym przy wykorzystaniu kluczy symetrycznych.

9.4.1.5. Metody uwierzytelnienia w systemie powinny, tam gdzie jest to technicznie możliwe, być realizowane przy pomocy uwierzytelnienia co najmniej dwuskładnikowego (tzw. Multi Factor Authentication), np. hasło i karta inteligentna, haslo i kod SMS, hasło i token .

9.4.1.6. Hasła powinny zostać zmieniane (np. maksymalnie co 60 dni) i systemy powinny uniemożliwiać stosowanie 4 poprzednich haseł.

9.4.1.7. Długość haseł i poziom ich skomplikowania powinien skutecznie utrudniające ataki tzw. „brute force”, czyli kombinacja małych i dużych liter, brak możliwości korzystania ze znanych fraz lub słów, zalecane 10-12 znaków.

34


9.4.1.8. Dostęp przez VPN powinien być realizowany przy użyciu bezpiecznych certyfikatów połączonych z wyżej wymienionymi restrykcjami na hasło.

9.4.1.9. W przypadku dostępu do systemów przechowujących i przetwarzających z poza wewnętrznej sieci (tzw. DMZ) należy zabezpieczyć warstwy brzegowe przy pomocy rozwiązań firewall, rozwiązań WAF (firewall aplikacyjny) oraz reverse proxy renomowanych producentów gwarantujących najwyższy poziom bezpieczeństwa (np. Juniper, F5 Networks, Citrix, Checkpoint, Fortinet, Cisco, Palo Alto, itp.).

9.4.1.10.W przypadku korzystania z systemów wydruku sieciowych do wydruku Danych osobowych należy wdrożyć rozwiązanie zapewniające poufność wydruku, np. zbliżeniowe karty magnetyczne dzięki którym osoby wysyłające wydruk będą jedynymi które mogą ten wydruk odebrać z drukarki.

9.4.2. Zbiory Danych osobowych i nośniki powinny zostać zabezpieczone najlepszymi dostępnymi technologicznie i finansowo metodami. Zalecenia:9.4.2.1. Szyfrowanie zbiorów danych metodami trudnymi do złamania (np. AES256).9.4.2.2. Pamięć masowa urządzeń klienckich (np. dyski laptopów, pamięci

wewnętrzna i zewnętrzna komórek czy tabletów) powinna również być zaszyfrowane aby zmniejszyć ryzyko wycieku danych przy utracie urządzania.

9.4.2.3. Systemy kopii zapasowych powinny mieć w ramach możliwości technicznych wydzieloną politykę przetrzymywania i zabezpieczania kopii zapasowych Danych osobowych.

9.4.2.4. Administrator ma obowiązek ograniczyć fizyczny dostęp do urządzeń i pomieszczeń z urządzeniami przechowującymi Dane osobowe (serwery, biblioteki taśmowe, macierze, dyski, płyty optyczne czy inne nośniki).

9.4.2.5. W przypadku przenoszenia kopii zapasowych lub transferu Danych osobowych do ośrodków zapasowych lub do sejfu (tzw. vault) Administrator powinien zapewnić niezbędne, skuteczne zabezpieczenia, najlepiej korzystając z możliwości szyfrowania nośników danych. Poprawnie wykonywane kopie zapasowe pomagają również odzyskać dane zaszyfrowane przez złośliwe oprogramowanie typu ransomware.

9.4.3. Dostęp do Danych osobowych oraz operacje na danych powinny być śledzone przez system do rejestracji zdarzeń. Zalecenia względem śledzenia i rejestracji zdarzeń:9.4.3.1. Logowanie do serwerów z danymi osobowymi,9.4.3.2. Logowanie do baz danych i innych zasobów z danymi osobowymi,9.4.3.3. Operacje na danych osobowych (wprowadzenie, modyfikacja, dostęp,

kopiowanie),9.4.3.4. Operacje na systemach kopii zapasowych (utworzenie kopii zapasowej,

przeniesienie danych bezpośrednio lub przy pomocy ruchomych nośników danych (np. taśmy, płyty, kartridże, itp.),

9.4.3.5. Synchronizacja s innymi systemami wewnętrznymi i zewnętrznymi,9.4.3.6. Przykłady dedykowanych rozwiązań to IBM Guardium for GDPR, Fortinet

FortiDB.9.4.4. Systemy zawierające Dane osobowe oraz urządzenia klienckie, które uzyskują dostęp

do danych, muszą zostać zabezpieczone przed ryzykiem wycieku lub utracenia

35


integralności danych. Zalecenia względem listy niezbędnych systemów wykrywających złośliwe lub niebezpieczne oprogramowanie lub zachowania w sieci:9.4.4.1. Systemy antywirusowe renomowanych firm (Carbon Black, Symantec,

McAffee, Sophos, Trend Micro, F-Secure),9.4.4.2. Systemy Anti-malware, anti-phishing, anti-spyware (jak wyżej) Zaleca się,

jeśli to możliwe, korzystanie z dwóch niezależnych producentów na różnym poziomie zabezpieczeń (np. inny do wykrywania malware i inny jako antywirus),

9.4.4.3. Systemy wykrywające ataki kierunkowe na dane osobowe (np. FireEye, CrowdStrike Falcon EPP),

9.4.4.4. Systemy wykrywające nieprawidłowe działania w sieci lub wynikające z informacji wykrytych w logach aplikacji czy systemów (np. IBM QRadar, AlienVault USM, HP ArcSight, RSA NetWitness, Splunk).

9.4.5. Systemy zawierające Dane osobowe oraz urządzenia klienckie, które uzyskują dostęp do danych, muszą posiadać aktualne wersje oprogramowania, wolne od znanych podatności na włamania. Zaleca się używanie systemów:9.4.5.1. Wykrywających braki jeśli chodzi o zainstalowane poprawki systemów

operacyjnych serwerów, aplikacji, systemów klienckich (stacje robocze, urządzenia mobilne) oraz urządzeń,

9.4.5.2. W przypadku wykrycia niezałatanych podatności przez producenta oprogramowania realizują funkcjonalność tzw. wirtualnych poprawek łatających doraźnie systemy (np. SentinelOne, Trend Micro, IBM Guardium),

9.4.5.3. Systemów zabezpieczających przed atakami typu „Zero-day”.9.4.6. Środowiska IT zawierające Dane osobowe powinny posiadać mechanizmy

wykrywające i zabezpieczające przed zarówno celowym jak i przypadkowym wyciekiem danych. Zaleca się używanie systemów:9.4.6.1. Wykrywających niestandardowe schematy działań użytkowników (np. wyżej

wymienione systemy wykrywające nieprawidłowe działania w sieci),9.4.6.2. Systemy zapobiegające wyciekowi danych na stacjach roboczych (np.

MacAffee, Symantec, IBM BigFix),9.4.6.3. Systemy skanujące podatność środowiska na ataki,9.4.6.4. Skanery wykrywające oprogramowanie szpiegujące oraz tak zwane konie

trojańskie umożliwiające przejęcie serwerów lub stacji i pozyskanie z nich danych,

9.4.6.5. Blokujących niekontrolowany dostęp do nośników USB,9.4.6.6. Blokujących niekontrolowane przesyłanie danych do przestrzeni w chmurze.

9.4.7. W przypadku wykorzystywania środowiska typu chmura, do którego zostaną przesłane Dane osobowe, środowisko to powinno również posiadać mechanizmy wykrywające i zabezpieczające przed zarówno celowym jak i przypadkowym wyciekiem danych oraz mechanizmu umożliwiającego śledzenie i rozliczanie operacji na danych osobowych. Zaleca się używanie funkcji identycznych do środowisk we własnej serwerowni oraz:9.4.7.1. Koniecznie wieloskładnikowe logowanie,9.4.7.2. Długie i złożone hasła (10-12 znaków, duże, małe litery, znaki specjalne),

36


9.4.7.3. Śledzenie i rozliczanie zdarzeń użycia funkcji w chmurze,9.4.7.4. Jeśli to możliwe to szyfrowanie lub maskowanie Danych osobowych

przekazywanych do chmury,9.4.7.5. Jeśli to możliwe użycie mechanizmów pseudonimizacji zachowując jedynie

po swojej stronie pełną możliwość połączenia informacji w dane osobowe (np. identyfikacja po numerach klientów bez przekazywania do chmury translacji numer klienta – Dane osobowe),

9.4.7.6. W przypadku korzystania z poczty elektronicznej do wymiany Danych osobowych należy korzystać z mechanizmów szyfrowania wiadomości, np. mechanizmem PGP lub szyfrowania samych plików z danymi (pliki Office, szyfrowane pliki .zip). Co najmniej 8 znakowe jednorazowe hasło losowo wygenerowane powinno zostać przekazane przez inny kanał informacji (np. SMS).

9.4.8. Zaleca się stosowanie systemów monitorowania i alertowania wystąpienia potencjalnych zagrożeń oraz naruszeń. Zaleca się używanie tego typu systemów do wykrywania poruszonych wyżej zjawisk:9.4.8.1. Niestandardowe schematy działań użytkowników (np. dostęp do danych

osobowych poza godzinami pracy),9.4.8.2. Podejrzenie wycieku danych na podstawie sygnatury danych lub ogólnego

schematu (np. numer podobny do Pesel),9.4.8.3. Nagłe obniżenie poziomu zabezpieczeń aplikacji (np. przejście z

szyfrowanego HTTPS na protokół nieszyfrowany HTTP),9.4.8.4. Próby kopiowania danych na nośniki USB,9.4.8.5. Potencjalne nieuprawnione próby dostępu do systemów z wewnątrz lub

zdalnie,9.4.8.6. Pojawienie się nowych nieznanych urządzeń w sieci.

9.5. Krok 4: Zalecenia bezpieczeństwa dla osób mających dostęp do zbiorów danych osobowych oraz procesów ich przetwarzania

Bezpieczna praca na zbiorach danych osobowych, zalecenia (uzupełnienie ogólnych zaleceń wymienionych w rozdziale 8):9.5.1. Dostęp do urządzania przetwarzającego Dane osobowe musi być prywatny. Należy

regularnie zmieniać hasło do systemu operacyjnego wykorzystując wymienione wyżej założenia jeśli chodzi o właściwości hasła oraz jego cykl życia (np. 60 dni). Hasło musi być poufne i zapamiętane, nie wolno go nigdzie zapisywać.

9.5.2. Urządzenia powinny mieć zaszyfrowane dyski lub pamięć. Urządzenie powinno prosić o hasło dostępowe do zaszyfrowanego wewnętrznego dysku lub pamięci. Hasło powinno być prywatne i poufne.

9.5.3. Przy korzystaniu z urządzeń należy umożliwić aktualizacje oprogramowania zaplanowane i wynikające a polityki aktualizacji IT Administratora.

9.5.4. Przy korzystaniu z przeglądarki jako interfejsu do aplikacji należy sprawdzać czy jest połączenie szyfrowane (tzw. zielona kłódka).

37


9.5.5. Przy przekazywaniu zbioru Danych osobowych innej osobie uprawnionej należy taki zbiór zaszyfrować aby zwiększyć poufność danych (np. zaszyfrować dokument Office lub spakować pliki archiwizatorem .zip i ustalić co najmniej 8 znakowe losowe hasło wybierając szyfrowanie AES256, hasło następnie przesłać do odbiorcy innym kanałem komunikacji, przykładowo SMS).

9.5.6. Na urządzaniach z Danymi osobowymi nie należy instalować niezatwierdzonego przez IT Administratora oprogramowania, w szczególności zabrania się korzystanie z portali społecznościowych zbierających Dane osobowe na tej samej przeglądarce internetowej używanej do dostępu do systemów wewnętrznych z Danymi osobowymi.

9.5.7. Przy przechowywaniu pliku z Danymi osobowymi na komputerze należy, jeśli jest to możliwe zaszyfrować plik (np. Windows 10: Właściwości pliku -> Zaawansowane -> Szyfruj…). W razie niezablokowanego portu USB zaszyfrowanie pliku utrudni niechciane skopiowanie danych na inny komputer.

9.5.8. Przy pracy z pocztą elektroniczną należy zawsze sprawdzać poprawność adresu nadawcy i nigdy nie otwierać bezpośrednio załączników. Załączniki przed otwarciem powinny zostać przeskanowane oprogramowaniem antywirusowym i anti-malware.Jeśli to możliwe to nie należy otwierać załączników od nieznanych nadawców.

9.5.9. Niedopuszczalne Jest przesyłanie i udostępnianie plików z Danymi osobowymi przy użyciu publicznych usług chmurowych (DropBox, Google Drive).

9.5.10. Przy użyciu niepublicznych usług chmurowych do przekazywania danych osobowych w ramach jednej organizacji należy postępować tak jak w pkt 9.5.5.

9.5.11. Aby zalogować się zdalnie do zasobów Administratora należy jeśli to możliwe korzystać z połączeni VPN najlepiej korzystając z usługi przesyłu danych sieci komórkowych (np. LTE) w momencie pisania tego dokumentu domowe sieci WiFi posiadają bardzo słabe, niewystarczające, zabezpieczenia.

10. Monitorowanie Kodeksu10.1. Administrator lub Podmiot przetwarzający, którzy podjęli się stosowania Kodeksu,

mogą wystąpić do Podmiotu akredytowanego o ocenę zgodności przetwarzania Danych osobowych z Kodeksem.

10.2. Podmiot akredytowany jest uprawniony do:10.2.1. potwierdzania stosowania Kodeksu przez Administratora lub Podmiot

przetwarzający,10.2.2. zawieszania Administratora lub Podmiotu przetwarzającego spośród

stosujących Kodeks,10.2.3. wykluczania Administratora lub Podmiotu przetwarzającego spośród

stosujących Kodeks.10.3. Potwierdzenie Podmiotu akredytowanego w zakresie stosowania Kodeksu przez

Administratora lub Podmiot przetwarzający, o którym mowa w pkt 10.2.1, jest ważne 1 (jeden) rok od dnia zakończenia kontroli i podpisania protokołu przez Podmiot akredytujący, chyba że Administrator lub Podmiot przetwarzający dokona zmiany w procesie przetwarzania Danych osobowych.

38


10.4. Po otrzymaniu zgłoszenia, o którym mowa w pkt 10.1, Podmiot akredytowany prowadzi kontrolę w następujący sposób:10.4.1. nie zawiadamia o przeprowadzeniu kontroli z wyprzedzeniem;10.4.2. przed przystąpieniem do kontroli przedstawiciel Podmiotu akredytowanego

przekazuje Administratorowi lub Podmiotowi przetwarzającemu (a) upoważnienie do przeprowadzenia kontroli zawierające co najmniej imię, nazwisko i PESEL w oryginale (b) certyfikat akredytacyjny, o którym mowa w art. 31 Ustawy o ochronie danych osobowych w kopii poświadczonej za zgodność przez notariusza;

10.4.3. Administrator lub Podmiot przetwarzający zapewniają Podmiotowi akredytowanemu dostęp do wszelkich pomieszczeń, gdzie ma miejsce przetwarzanie Danych osobowych, systemów komputerowych i dokumentacji w zakresie niezbędnym do przeprowadzenia kontroli, udzielają niezbędnych informacji i wyjaśnień o istniejących procesach przetwarzania Danych osobowych;

10.4.4. Administrator lub Podmiot przetwarzający odmawiają Podmiotowi akredytowanemu dostępu do informacji niejawnych w rozumieniu art. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (tekst jedn. Dz. U. z 2018 r. poz. 412 ze zm.), pomieszczeń, programów komputerowych i dokumentacji służących do przetwarzania Danych osobowych stanowiących informacje niejawne;

10.4.5. Podmiot akredytowany prowadzi kontrolę w taki, aby zminimalizować ryzyko zakłócenia pracy Administratora lub Podmiotu przetwarzającego oraz zachować w tajemnicy wszelkie informacje poufne, w tym stanowiące tajemnicę przedsiębiorstwa;

10.4.6. Kontrola jest przeprowadzana od poniedziałku do piątku;10.4.7. Kontrola trwa maksymalnie 10 dni;10.4.8. Podmiot akredytowany sporządza protokół z przeprowadzonej kontroli.

Protokół zawiera co najmniej (i) opis przedmiotu kontroli, (ii) zasadnicze ustalenia w toku kontroli wraz z dowodami, (iii) treść wyjaśnień Administratora lub Podmiotu przetwarzającego, (iv) wnioski odnośnie stosowania Kodeksu przez Administratora lub Podmiot przetwarzający.

10.4.9. Podmiot akredytowany przesyła protokół na piśmie do Administratora lub Podmiotu przetwarzającego.

10.4.10. Podmiot akredytowany i Administrator lub Podmiot przetwarzający ma prawo wnieść zastrzeżenia i uwagi do protokołu kontroli w terminie 7 dni od doręczenia mu protokołu.

10.5. Podmiot akredytowany potwierdza na piśmie stosowanie Kodeksu przez Administratora lub Podmiot przetwarzający jeżeli:10.5.1. w toku kontroli stwierdzono zgodność przetwarzania Danych osobowych z

postanowieniami Kodeksu, lub10.5.2. w toku kontroli stwierdzono pewne uchybienia w zgodności przetwarzania

Danych osobowych z postanowieniami Kodeksu, ale jest mało prawdopodobne, by te uchybienia skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych.

10.6. Podmiot akredytowany zawiesza Administratora lub Podmiot przetwarzający spośród stosujących Kodeks jeżeli:

39


10.6.1. w toku kontroli stwierdzono uchybienia w zgodności przetwarzania Danych osobowych z postanowieniami Kodeksu inne niż opisane w pkt 10.5.2, a Administrator lub Podmiot przetwarzający zadeklaruje usunięcie ww. uchybień i zapewnienie zgodności przetwarzania Danych osobowych z Kodeksem w konkretnym terminie, nie dłuższym niż 30 dni od dnia zakończenia kontroli i podpisania protokołu przez Podmiot akredytowany.

10.7. Podmiot akredytowany zawiesza Administratora lub Podmiot przetwarzających spośród stosujących Kodeks na okres nie dłuższy niż 45 dni od dnia zakończenia kontroli i podpisania protokołu przez Podmiot akredytowany.

10.8. Administrator lub Podmiot przetwarzający, który dopełnili czynności na podstawie pkt 10.6.1., zgłaszają tę okoliczność Podmiotowi akredytowanemu. Procedura kontroli zostanie powtórzona, przy czym zakres kontroli będzie ograniczony do stwierdzenia usunięcia uchybień opisanych w pkt 10.6.1. Podmiot akredytowany potwierdza na piśmie stosowanie Kodeksu przez Administratora jeżeli wcześniej stwierdzone uchybienia zostały usunięte. Postanowienie pkt 10.2.-10.7. stosuje się odpowiednio.

10.9. Podmiot akredytowany wyklucza Administratora lub Podmiot przetwarzający spośród stosujących Kodeks jeżeli:10.9.1. Administrator lub Podmiot przetwarzający nie usunął uchybień, o których

mowa w pkt 10.6.1., przed upływem okresu zawieszenia.10.10. Administrator lub Podmiot przetwarzający, który został wykluczony na mocy pkt 10.9.,

może wystąpić do Podmiotu akredytowanego o ocenę zgodności przetwarzania Danych osobowych z Kodeksem, nie wcześniej niż po upływie 3 miesięcy od dnia zakończenia kontroli i podpisania protokołu przez Podmiot akredytowany.

10.11. Administrator lub Podmiot przetwarzający, o którym mowa w pkt 10.6. i 10.9., podaje do publicznej wiadomości informację o zawieszeniu statusu stosującego Kodeks albo wykluczeniu ze statusu stosującego Kodeks, np. na tablicy ogłoszeń, na stronie internetowej itp.

10.12. Administrator lub Podmiot przetwarzający korzystają z usług tego samego Podmiotu akredytowanego nie dłużej niż 2 kolejne okresy obowiązywania potwierdzenia stosowania Kodeksu przez Administratora lub Podmiot przetwarzający, o których mowa w pkt 10.2.1.

10.13. Podmiot akredytowany realizuje czynności opisane w niniejszym rozdziale odpłatnie.

40


Załączniki

41


Załącznik nr 1 – Środki techniczne i organizacyjne dla ochrony danych osobowych

l.p. Środek techniczny lub organizacyjny Zastosowano (TAK/NIE)

1 Dane osobowe przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).

2 Dane osobowe przechowywane są w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.

3 Pomieszczenia, w którym przetwarzane są dane osobowe, wyposażone są w system alarmowy przeciwwłamaniowy.

4 Dostęp do pomieszczeń, w których przetwarzane są dane osobowe, objęte są systemem kontroli dostępu.

5 Dostęp do pomieszczeń, w których przetwarzane są dane osobowe, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.

6 Dostęp do pomieszczeń, w których przetwarzane są dane osobowe, jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony.

7 Dane osobowe w formie papierowej przechowywane są w niemetalowych szafach zarówno zamykanych jak i niezamykanych.

8 Dane osobowe w formie papierowej przechowywane są w metalowych szafach zarówno zamykanych jak i niezamykanych.

9 Dane osobowe w formie papierowej przechowywane są w zamkniętym sejfie lub kasie pancernej.

11 Pomieszczenie, w którym przetwarzane są dane osobowe, zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.

12 Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

18 Do przetwarzania danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienie nadane przez Administratora.

19 Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.

20 Wyznaczono Inspektora Ochrony Danych Osobowych.21 Opracowano i wdrożono Instrukcję Bezpieczeństwa.23 Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione

z przepisami dotyczącymi ochrony danych osobowych.24 Przeszkolono osoby zatrudnione przy przetwarzaniu danych

osobowych w zakresie zabezpieczeń systemu informatycznego.25 Osoby zatrudnione przy przetwarzaniu danych osobowych

obowiązane zostały do zachowania ich w tajemnicy.26 Monitory komputerów, na których przetwarzane są dane osobowe,

ustawione są w sposób uniemożliwiający wgląd osobom postronnym.

42


Załącznik nr 2 – Wzór Umowy powierzenia przetwarzania danych osobowych

UMOWAo powierzenie przetwarzania danych osobowych

(dalej: Umowa)

Zawarta w dniu .................... roku w .................... pomiędzy:

Zakład Wodociągowy w Bydgoszczy, ul. Jana Kasprowicza 2, 85-073 Bydgoszcz, NIP ……….., REGON ………………..,reprezentowany przez ………….,zwaną dalej: Zleceniodawcą,a…………………… z siedzibą w …….. (……..), przy …………., wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy …………, ……….. Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS: …………, kapitał zakładowy: ………, NIP ………,reprezentowaną przez …………………..,zwaną dalej: Zleceniobiorcą,zwanymi łącznie dalej Stronami

Zważywszy, że:1) Strony łączy umowa z dnia ............... o ……………….. usługi informatyczne, o usługi

marketingowe, o usługi ochrony, o świadczenie usług elektronicznych w postaci prowadzenia działań z zakresu e-marketingu, udostępniania przez Zleceniobiorcę oprogramowania dedykowanego do działań z zakresu e–mail marketingu, o usługi kadrowo-księgowe [Uzupełnić zgodnie ze stanem rzeczywistym] (dalej: Umowa Główna);

2) Zleceniodawca przekazuje Zleceniobiorcy dane osobowe w celu wykonywania Umowy Głównej,

Strony postanawiają zawrzeć Umowę o następującej treści:

§ 1

1. Zleceniodawca powierza Zleceniobiorcy przetwarzanie danych osobowych w celu wykonywania Umowy Głównej, co stanowi udokumentowane polecenie przetwarzania w rozumieniu art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej: RODO.

2. Zleceniobiorca jest uprawniony do przetwarzania przekazanych danych osobowych wyłącznie w zakresie oraz w celu zgodnym z niniejszą Umową.

43


3. Zleceniobiorca może przetwarzać następujące dane osobowe: a. klientów: imiona i nazwiska, adresy e-mail, PESEL …………;b. kontrahentów (dostawców): imiona i nazwiska, adresy, e-mail, NIP, siedziba,

……….,c. pracowników: dane osobowe zgodnie z art. 22[1] kodeksu pracy i inne

niezbędne do wykonania/rozliczenia umów o pracę;d. zleceniobiorców: dane identyfikacyjne, numer konta i inne niezbędne do

wykonania/rozliczenia umów o pracę;e. pracowników, zleceniobiorców i gości: wizerunek zapisany na monitoringuf. …….

[Uzupełnić zgodnie ze stanem rzeczywistym]4. Przetwarzanie danych przez Zleceniobiorcę trwa od ……………. chwili ich

wprowadzenia do Programu …….. na stronie internetowej przez Zleceniodawcę/wydania polecenia przez Zleceniodawcę[Uzupełnić zgodnie ze stanem rzeczywistym] do chwili rozwiązania, wygaśnięcia lub zakończenia Umowy, chyba że Zleceniobiorca wcześniej usunie ww. dane osobowe.

§ 21. Zleceniodawca oświadcza, iż jest administratorem danych osobowych powierzonych

Zleceniobiorcy.2. Zleceniobiorca oświadcza, że jest podmiotem przetwarzającym dane osobowe na

zlecenie Zleceniodawcy zgodnie z niniejszą Umową.3. Zleceniobiorca oświadcza, że:

a. posiada środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych w zakresie wymaganym przez obowiązujące Zleceniobiorcę przepisy prawa, a w szczególności zabezpiecza dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem tych danych, a także spełnia inne wymagania określone w przepisach prawa dotyczące ochrony danych osobowych;

b. prowadzi wymaganą przepisami prawa dokumentację opisującą sposób przetwarzania danych osobowych.

4. Wykonywanie Umowy nie wiąże się z żadnymi świadczeniami pieniężnymi ze strony Zleceniodawcy, a wszelkie rozliczenia finansowe dokonane zostaną w ramach Umowy Głównej.

5. Zleceniobiorca zobowiązuje się, że:a. będzie prowadził ewidencję osób upoważnionych (ze strony Zleceniobiorcy),

zgodnie z przepisami prawa;b. zachowa w tajemnicy dane osobowe oraz inne dane, a w szczególności

informacje stanowiące tajemnicę przedsiębiorstwa, do których Zleceniobiorca mógł uzyskać dostęp w związku z wykonywaniem Umowy lub Umowy Głównej, także po wygaśnięciu lub rozwiązaniu Umowy Głównej;

c. zobowiąże na piśmie pracowników oraz inne osoby współpracujące na podstawie umów cywilno-prawnych z Zleceniobiorcą, posiadające lub mogące posiadać dostęp do danych udostępnionych przez Zleceniodawcę w związku z wykonywaniem Umowy Głównej do ich zachowania w tajemnicy również po

44


ustaniu stosunku pracy lub innego stosunku cywilnoprawnego łączącego dany podmiot z Zleceniobiorcą;

d. przy wykonywaniu Umowy dołoży staranności, wynikającej z profesjonalnego charakteru wykonywanej działalności;

e. niezwłocznie poinformuje Zleceniodawcę o każdym przypadku naruszenia bezpieczeństwa jakichkolwiek informacji udostępnionych Zleceniobiorcy przez Zleceniodawcę w związku lub w trakcie wykonywania Umowy Głównej, w tym w szczególności w przypadku naruszenia zasad ochrony danych osobowych;

f. poinformuje Zleceniodawcę o każdym przypadku naruszenia zobowiązań wynikających z Umowy niezwłocznie, nie później niż w terminie 2 dni od chwili stwierdzenia naruszenia;

g. podejmuje wszelkie środki wymagane na mocy art. 32 RODO;h. przetwarza dane osobowe zgodnie z Umową Główną (udokumentowane

polecenie Zleceniodawcy) – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Zleceniobiorca; w takim przypadku przed rozpoczęciem przetwarzania Zleceniobiorca informuje Zleceniodawcę o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny,

i. w miarę możliwości będzie pomagać Zleceniodawcy - poprzez odpowiednie środki techniczne i organizacyjne - wywiązać się z obowiązku odpowiadania na żądania osoby, której dane osobowe dotyczą, w zakresie wykonywania praw tej osoby określonych w art. 32-36 RODO – realizowane jest to bez dodatkowych opłat;

j. uwzględniając charakter przetwarzania danych osobowych oraz dostępne informacje Zleceniobiorca - wyłącznie w zakresie związanym z wykonywaniem Umowy Głównej - w miarę możliwości pomaga Zleceniodawcy poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w Rozdziale III RODO- realizowane jest to bez dodatkowych opłat;

k. wyłącznie w zakresie związanym z wykonywaniem Umowy Głównej udostępni Zleceniodawcy wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO przez Zleceniobiorcę.

6. Po rozwiązaniu Umowy Głównej Zleceniobiorca – według wyboru Zleceniodawcy w formie pisemnej pod rygorem nieważności - wyda Zleceniodawcy lub usunie w sposób trwały wszystkie dane osobowe pochodzące od Zleceniodawcy lub wytworzone na polecenie Zleceniodawcy. W braku decyzji Zleceniodawcy przyjmuje się, że Zleceniodawca wydaje polecenie zwrotnego wydania wszystkich materiałów zawierających dane osobowe do rąk własnych.

§ 3

1. Zleceniobiorca oświadcza, że:a. przy przetwarzaniu danych będzie korzystać z usług podmiotów trzecich,

które zostały szczegółowo określone w Załączniku nr 1 do Umowy (dalej:

45


Podmioty trzecie) i dane osobowe nie będą przekazywane poza terytorium Unii Europejskiej;

b. Podmioty trzecie zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów prawa i chroniło prawa osób, których dane dotyczą stosownie do art. 28 ust. 1 RODO.

2. Zleceniodawca wyraża zgodę na powierzenie przez Zleceniobiorcę przekazanych danych osobowych Podmiotom trzecim.

3. Zleceniobiorca może powierzyć przetwarzanie przekazanych danych osobowych podmiotom innym niż Podmioty trzecie wyłącznie za uprzednią, pisemną zgodą Zleceniodawcy.

[ALTERNATYWNIE – JEŻELI NIE BĘDZIE PODWYKONAWCÓW]1. Zleceniobiorca oświadcza, że przy przetwarzaniu danych nie będzie korzystać z usług

podmiotów trzecich i dane osobowe nie będą przekazywane poza terytorium Unii Europejskiej.

2. Zleceniobiorca może powierzyć przetwarzanie przekazanych danych osobowych podmiotom trzecim wyłącznie za uprzednią, pisemną zgodą Zleceniodawcy.

§ 4

1. Zleceniodawca ma prawo do kontroli zgodności przetwarzania danych osobowych przez Zleceniobiorcę z przepisami prawa lub Umową, w tym jest uprawniony do żądania od Zleceniobiorcy udzielenia informacji dotyczących wywiązania się z zobowiązań, o których mowa w Umowie oraz do żądania usunięcia uchybień w tym zakresie w odpowiednim terminie wskazanym przez Zleceniodawcę, nie dłuższym jednak niż 7 dni roboczych od dnia wystąpienia przez Zleceniodawcę z żądaniem w tym zakresie.

2. Zleceniodawca ma prawo przeprowadzić audyt lub inspekcję w siedzibie lub innym miejscu gdzie przetwarzane są dane osobowe przez Zleceniobiorcę za 7-dniowym uprzedzeniem. Audyt, o którym mowa w zdaniu pierwszym, jest przeprowadzany na koszt Zleceniodawcy. Zleceniodawca zobowiązuje się przeprowadzić audyt w taki sposób, aby zminimalizować ryzyko zakłócenia pracy Zleceniobiorcy oraz zachować w tajemnicy wszelkie informacje poufne, w tym stanowiące tajemnicę przedsiębiorstwa.

§ 5

1. Umowa zostaje wchodzi w życie z dniem …………. r. i zostaje zawarta na czas nieokreślony z zastrzeżeniem ust. 2.

2. Umowa wygasa z chwilą wygaśnięcia, rozwiązania lub zakończenia w inny sposób Umowy Głównej.

3. Zleceniodawca ma prawo wypowiedzenia Umowy Głównej oraz Umowy ze skutkiem natychmiastowym w przypadku gdy Zleceniobiorca naruszy którykolwiek z obowiązków określonych w § 2 lub § 3 Umowy lub Zleceniobiorca nie zastosuje się do żądania Zleceniodawcy lub nie usunie uchybień zgodnie z § 4 ust. 1 i 2 Umowy.

46


4. Zmiany niniejszej Umowy mogą zostać dokonane w formie pisemnej pod rygorem nieważności.

5. Jeżeli jakiekolwiek postanowienia Umowy okażą się nieważne nie uchybia to mocy pozostałym, a Strony będą dążyć do zastąpienia nieważnego postanowienia ważnym zapisem odzwierciedlającym pierwotną wolę Stron.

6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Załącznik: Lista podmiotów – dalszych procesorów.

.............................................. ...........................................Zleceniodawca Zleceniobiorca

47


Załącznik nr 3 - Wzór postanowienia regulaminu pracy o monitoringu

Monitoring

§ ….

1. Pracodawca stosuje:a. monitoring wizyjny w celu zapewnienia bezpieczeństwa osób w zakładzie

pracy, ochrony mienia należącego do Pracodawcy lub powierzonego Pracodawcy na podstawie odrębnych umów, kontroli produkcji oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę [DO USUNIĘCIA JEŻELI NIE DOTYCZY] (dalej: Monitoring wizyjny),

b. monitoring pojazdów służbowych poprzez urządzenia typu GPS w celu ochrony mienia należącego do Pracodawcy lub użytkowanego przez Pracodawcę na podstawie odrębnych umów, zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy [DO USUNIĘCIA JEŻELI NIE DOTYCZY] (dalej: Monitoring GPS).

2. Monitoring wizyjny obejmuje następujące przestrzenie:a. w siedzibie Pracodawcy w Bydgoszczy przy ul. Jana Kasprowicza 2 – brama

wejściowa na nieruchomość, teren wokół budynku, a w budynku: ……….b. w magazynie w …….. przy ul. ……. - brama wejściowa na nieruchomość, teren

wokół budynku, a w budynku: ……….c. w magazynie w …….. przy ul. ……. - brama wejściowa na nieruchomość, teren

wokół budynku, a w budynku: ……….d. …………e. …………

3. Sposób zastosowania Monitoringu wizyjnego:a. Monitoring wizyjny jest prowadzony całodobowo,b. Informacje o umiejscowieniu kamer stanowi tajemnicę przedsiębiorstwa,c. Do przeglądania zarejestrowanego obrazu oraz do kontroli urządzeń

rejestrujących obraz są upoważnieni wyłącznie Prokurent oraz pracownicy podwykonawców Pracodawcy w zakresie montażu, konserwacji i obsługi Monitoringu wizyjnego. Pracodawca może upoważnić inne osoby do przeglądania nagrań Monitoringu wizyjnego jeżeli będzie to uzasadnione okolicznościami danej sprawy;

d. Wejścia na teren nieruchomości oraz pomieszczenia objęte monitoringiem są oznakowane tablicami z rysunkiem kamery i napisem „Teren monitorowany Zakład Wodociągowy w Bydgoszczy” lub „Pomieszczenie monitorowane Zakład Wodociągowy w Bydgoszczy”. W pomieszczeniach monitorowanych musi znajdować się w widocznym miejscu co najmniej jedna tablica.

4. Monitoring GPS jest zamontowany w pojazdach służbowych dla pracowników.5. Sposób zastosowania Monitoringu GPS:

48


a. Monitoring GPS jest prowadzony całodobowo, przy czym w dniach roboczych w godzinach …….. Pracodawca może odczytać miejsce położenia pojazdu, w tym miejsce pobytu pracownika. Odczyt Monitoringu GPS w innych terminach jest możliwy wyłącznie w przypadku zgłoszenia przez Pracownika lub inną osobę utraty pojazdu, kradzieży czy innej sytuacji losowej, porzucenia pracy przez Pracownika, zaniechanie zwrotu pojazdu na żądanie Pracodawcy itp.

b. Do przeglądania Monitoringu GPS oraz do kontroli urządzeń rejestrujących obraz są upoważnieni wyłącznie Prokurent oraz pracownicy dostawcy Monitoringu GPS. Pracodawca może upoważnić inne osoby do przeglądania nagrań Monitoringu GPS jeżeli będzie to uzasadnione okolicznościami danej sprawy.

49


Załącznik nr 4 – Informacja o niepowołaniu Inspektora ochrony danych

Bydgoszcz, dnia ……………………………. r.

Zakład Wodociągowy w Bydgoszczyul. Jana Kasprowicza 2, 85-073 BydgoszczNIP ……, REGON …….

OŚWIADCZENIE

Zakład Wodociągowy w Bydgoszczy oświadcza, że:1) nie ma obowiązku powoływania inspektora ochrony danych, o którym mowa w art.

37 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

2) nie powołuje (dobrowolnie) inspektora ochrony danych.

……………..…………………

50


Załącznik nr 5 – Wzór upoważnienia

Bydgoszcz, dnia ……………..…………. r.

Pracodawca/Zleceniodawca:Zakład Wodociągowy w Bydgoszczyul. Jana Kasprowicza 2, 85-073 BydgoszczNIP ……, REGON …….

Pani/Panimię i nazwisko

UPOWAŻNIENIE Nr ……

Niniejszym upoważniam Panią, jako zatrudnioną na stanowisku Asystentka w spółce Zakładzie Wodociągowym w Bydgoszczy do przetwarzania danych osobowych w zakresie Pani obowiązków zawodowych, w szczególności:

obsługi administracyjnej (biurowej) bieżącej działalności Pracodawcy, w tym przyjmowania i otwierania korespondencji adresowanej do Pracodawcy, wypisywania przepustek dla osób wchodzących na teren zakładu pracy, zamawiania odzieży służbowej……. [Uzupełnić zgodnie ze stanem rzeczywistym]

wprowadzania do Programu komputerowego …………….. danych osobowych związanych z działalnością Pracodawcy i podmiotów powiązanych, w tym wniosków, umów, danych pracowników [Uzupełnić zgodnie ze stanem rzeczywistym]

…………. ………….

W imieniu Pracodawcy/Zleceniodawcy:

_______________________

Potwierdzam, że zapoznałam/em się z treścią upoważniania i znam zakres danych osobowych, które mogę przetwarzać. Jednocześnie zobowiązuję się do zachowania w tajemnicy wszystkich danych osobowych, które będę przetwarzać, zarówno w czasie zatrudnienia jak i po zakończeniu pracy u Pracodawcy/ współpracy z Zleceniodawcą jak i po zakończeniu współpracy [Uzupełnić zgodnie ze stanem rzeczywistym] bez ograniczenia czasowego.

_______________________________data, podpis

51


Załącznik nr 6 – Wzór rejestru czynności przetwarzania

Cel przetwarzania (Art. 30 ust. 1

pkt b)

Kategorie osób (Art. 30 ust. 1

pkt c)

Kategorie danych (Art. 30 ust. 1 pkt

c)

Planowany termin

usunięcia kategorii danych

(jeżeli jest to możliwe)(Art. 30 ust. 1 pkt f)

Nazwa współadministrato

ra i dane kontaktowe(jeśli dotyczy)(Art.

30 ust. 1 pkt a)

Nazwa podmiotu przetwarzajaceg

oi dane

kontakowe(jeśli dotyczy)

(Art. 30 ust. 1 pkt d)

Kategorie odbiorców

(innych niż podmiot przetwarzajacy)

(Art. 30 ust. 1 pkt d)

Ogólny opis technicznych i organizacyjnyc

h srodków bezpieczeństwa

zgodnie z art. 32 ust. 1

(jeżeli jest to możliwe) (Art. 30 ust. 1 pkt g)

Transfer do kraju trzeciego lub organizacji

międzynarodowej (nazwa kraju i podmiotu) (Art. 30 ust. 1 pkt e)

Jeśli transfer i art. 49 ust. 1 akapit drugi - dokumentacj

a odpowiednic

h zabezpieczeń (Art. 30 ust. 1

pkt e)

Zawieranie i wykonywanie umów o zaopatrzenie w wodę lub odprowadzanie ścieków

Klienci Administratora

dane identyfikacyjne, adres zamieszkania, dane kontaktowe, numer konta bankowego

Po upływie 5 lat po przedawnieniu zobowiązań podatkowych związanych z umową

nie dotyczy Nazwa podwykonawcy / nazwa programu komputerowego jeżeli jest obsługa online

Podwykonawcy lub podmioty współpracujące z Administratorem, bank, zakład ubezpieczeń

Zgodnie z Instrukcją bezpieczeństwa danych osobowych (Załącznik nr 1) i Polityką bezpieczeństwa danych osobowych (Załącznik nr 2)

nie dotyczy nie dotyczy

Usługi komercyjne dla klientów

Klienci, kontrahenci Administratora

dane identyfikacyjne, adres zamieszkania, dane kontaktowe, numer konta bankowego, NIP

Po upływie 5 lat po przedawnieniu zobowiązań podatkowych związanych z umową





Wysyłka informacji o przerwach w dostawie wody

dostawcy, klienci, kontrahenci Administratora

imię, nazwisko, e-mail, adres zamieszkania, numer telefonu

Po cofnięciu zgody przez osobę fizyczną albo po

nie dotyczy Nazwa podwykonawcy / nazwa programu komputerowego

Podwykonawcy lub podmioty współpracujące z Administratorem

Zgodnie z Instrukcją bezpieczeństwa danych



drogą elektroniczną, sms na podstawie zgody

zakończeniu świadczenia usługi przez administratora

jeżeli jest obsługa online

osobowych (Załącznik nr 1) i Polityką bezpieczeństwa danych osobowych (Załącznik nr 2)

Zatrudnienie pracowników i zawierania umów zlecenia - ewidencja ubezpieczonych

Pracownicy i zleceniobiorcy, byli pracownicy i zleceniobiorcy

dane identyfikacyjne zgodnie z art. 22[1] kodeksu pracy; dane dla potrzeb ZUS i urzędu skarbowego

Przez okres zatrudnienia lub umowy zlecenia, a później przez okres wynikający z przepisów prawa powszechnie obowiązującego albo 5 lat po okresie przedawnienia





Zatrudnienie pracowników i rozliczanie zleceniobiorców - ewidencja płacowo-kadrowa

Pracownicy i zleceniobiorcy, byli pracownicy i zleceniobiorcy

dane identyfikacyjne zgodnie z art. 22[1] kodeksu pracy; dane dla potrzeb naliczania wynagrodzenia zasadniczego i innych świadczeń związanych z pracą lub umowami zlecenia

Przez okres zatrudnienia lub umowy zlecenia, a później przez okres wynikający z przepisów prawa powszechnie obowiązującego albo 5 lat po okresie przedawnienia





Zatrudnianie pracowników - prowadzenie akt osobowych

Pracownicy, byli pracownicy

dane identyfikacyjne zgodnie z art. 22[1] kodeksu pracy; dane niezbędne do

Przez okres zatrudnienia, a później przez okres wynikający z przepisów



Zgodnie z Instrukcją bezpieczeństwa danych osobowych (Załącznik nr 1) i


53


dokumentacji pracowniczej (kopie dyplomów, świadectw pracy itp.)

prawa powszechnie obowiązującego

Polityką bezpieczeństwa danych osobowych (Załącznik nr 2)

Ewidencja czasu pracy

Pracownicy, byli pracownicy, zleceniobiorcy

dane identyfikacyjne, obecność na liście obecności

Przez okres zatrudnienia lub umowy zlecenia, a później do chwili przedawnienia roszczeń wynikających ze stosunku pracy lub umowy zlecenia





Ewidencja księgowa

Klienci, kontrahenci i podwykonawcy Administratora

dane identyfikacyjne, adres, NIP, numer konta, inne dane niezbędne do rozliczeń

Przez okres współpracy, a później do chwili przedawnienia roszczeń wynikających z wykonanych umów





Rekrutacja pracowników, zleceniobiorców i podwykonawców

Osoby, które biorą udział w rekrutacji i wysłały cv lub list motywacyjny

dane identyfikacyjne, adres zamieszkania, dane kontaktowe, informacje o wykształceniu i doświadczeniu zawodowym

Do chwili zakończenia rekrutacji i przez okres 8 miesięcy po jej zakończeniu



Zgodnie z Instrukcją bezpieczeństwa danych osobowych (Załącznik nr 1) i Polityką bezpieczeństwa danych osobowych


54


(Załącznik nr 2)

55


Załącznik nr 7 – Wzór analizy ryzyka

Zagrożenie Prawdopodobieństwo wystąpienia zagrożenia (A)

Szacowane skutki dla organizacji

(B)

Ryzyko naruszenia ochrony danych

osobowych(A x B)

Zalanie 0

Pożar (wewnątrz budynku) 0

Pożar (na zewnątrz budynku) 0

Wybuch gazu 0

Katastrofa budowlana 0

Sabotaż wewnętrzny 0

Kradzież dokumentów przez osoby upoważnione

0

Kradzież dokumentów przez osoby nieupoważnione

0

Odejście pracownika do konkurencji 0

Kradzież dokumentów przez osoby z zewnątrz

0

Kradzież z włamaniem 0

Atak hakerski 0

Błąd administratora 0

Błąd dostawcy usług zewnętrznych 0

Awaria nośników danych 0

Brak backupu danych 0

Niepowodzenie w odzyskaniu danych z backupu

0

Przerwa w dostarczaniu usługi kluczowej z punktu widzenia biznesu

0

Awaria u dostawcy usług zewnętrznych (poczta, hosting itd.)

0

Bankructwo zewnętrznego dostawcy usług lub towarów

0

Błąd księgowy 0

Kradzież telefonu komórkowego 0

Awaria sprzętu sieciowego 0

Awaria serwerów 0

Awaria oprogramowania 0

Kradzież laptopa 0Infekcja złośliwym oprogramowaniem 0

Atak socjotechniczny (phishing, telefon) 0


Poziom Opis PrawdopodobieństwoCzęstotliwość wystąpienia

1 Prawie niemożliwe 0,01 1 x 100 lat

2 Mało prawdopodobne 0,01 - 0,1 1 x 10 lat

3 Umiarkowanie możliwe 0,1 - 0,2 1 x 5 lat

4 Prawdopodobne 0,2 - 0,5 1 x rok

5 Prawie pewne > 0,5 1 x miesiąc

Poziom Skutek Opis

1 Minimalny, pomijalny Nikły wpływ na funkcjonowanie organizacji

2 Mało znaczący, niski Brak poważnego wpływu na funkcjonowanie organizacji

3 Znaczący, umiarkowany

Krótkotrwały, poważny wpływ na działanie organizacji

4 Poważny, wysoki Poważny wpływ na działanie organizacji

5 Katastrofalny, krytyczny

Zagrożenie dla kontynuacji działania organizacji

57


58


Załącznik nr 8 – Wzór oświadczenia o braku obowiązku oceny skutków dla ochrony danych osobowych

Bydgoszcz, dnia …………………….. r.

Zakład Wodociągowy w Bydgoszczyul. Jana Kasprowicza 2, 85-073 BydgoszczNIP ……, REGON …….

OŚWIADCZENIE

Zakład Wodociągowy w Bydgoszczy oświadcza, że nie ma obowiązku wykonania oceny skutków operacji przetwarzania dla ochrony danych osobowych, o której mowa w art. 35 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

……………..…………………

59

IGWPigwp.org.pl/images/kodeks_ochrony_danych_IGWP_proj… · Web view2018/08/09 · Podmiot...

Documents

Transcript of IGWPigwp.org.pl/images/kodeks_ochrony_danych_IGWP_proj… · Web view2018/08/09 · Podmiot...