Załącznik do uchwały nr 01/05/2018 Zarządu EKLEKTIKA sp. z o.o.  z dnia 16.05.2018

POLITYKA OCHRONY INFORMACJI W EKLEKTIKA SP. Z O.O.

Rozdział I

Przepisy ogólne

• 1. 1. Polityka ochrony informacji w EKLEKTIKA sp. z o.o., zwana dalej „Polityką” reguluje zasady ochrony informacji poufnych, w tym ochrony danych osobowych przetwarzanych w EKLEKTIKA sp. z. o.o., zwaną dalej „EKLEKTIKA”.

2. Polityka określa zasady dotyczące zapewnienia ochrony danych osobowych przetwarzanych w zbiorach danych:

• tradycyjnych, w szczególności takich jak: kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne;
• w systemie informatycznym.

3. W EKLEKTIKA nie podejmuje się czynności przetwarzania danych osobowych, które mogłyby się wiązać z dużym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator danych osobowych wykona czynności określone w art. 35 rozporządzenia 2016/679.
4. W przypadku planowania w EKLEKTIKA nowych czynności przetwarzania danych osobowych dokonuje się analizy ich skutków dla ochrony danych osobowych.
5. EKLEKTIKA nie będzie przekazywała danych osobowych do państwa trzeciego, poza sytuacjami, w których następuje to na wniosek osoby, której dane dotyczą.
6. EKLEKTIKA, realizując Politykę, dokłada szczególnej staranności w celu ochrony danych osobowych osób fizycznych, w szczególności zapewnia, aby dane te były:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą;
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach;
• adekwatne w stosunku do celów, w jakich są przetwarzane;
• merytorycznie poprawne i w razie potrzeby uaktualniane;
• przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania;
• przetwarzane w sposób zapewniający bezpieczeństwo informacji.

7. EKLEKTIKA, realizując Politykę, dąży do systematycznego uaktualniania i unowocześniania wdrożonych technicznych i organizacyjnych środków ochrony danych osobowych.

• 2. Ilekroć w Polityce jest mowa o:
• Administratorze danych osobowych (ADO) – rozumie się przez to EKLEKTIKA sp. z o.o. z siedzibą w Warszawie przy ul. Opaczewskiej 15/31, kod 02-368, wpisana do rejestru przedsiębiorców przez Sąd Rejonowy dla m. st. Warszawy, XII Wydział Gospodarczy – Krajowego Rejestru Sądowego pod numerem KRS 0000493181;
• rozporządzeniu 2016/679 – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str.1);
• systemie informatycznym – rozumie się przez to wdrożony w EKLEKTIKA zespół współpracujących ze sobą systemów informatycznych, w skład których wchodzą w szczególności: urządzenia, programy, narzędzia programowe stosowane do przetwarzania danych, wraz ze zgromadzonymi danymi oraz użytkownicy tych systemów;
• współpracowniku EKLEKTIKA – rozumie się przez to osobę albo podmiot współpracujący z EKLEKTIKA na podstawie umowy cywilnoprawnej;
• użytkowniku – rozumie się przez to osobę posiadającą upoważnienie udzielone przez Administratora danych do przetwarzania danych osobowych w EKLEKTIKA, na polecenie Administratora i w zakresie wskazanym w tym upoważnieniu albo współpracownika EKLEKTIKA, który na podstawie umowy posiada uprawnienie do przetwarzania danych osobowych w EKLEKTIKA;
• użytkownik systemu – rozumie się przez to użytkownika posiadającego uprawnienie do przetwarzania danych osobowych w systemie informatycznym EKLEKTIKA;
• bezpieczeństwie informacji – rozumie się przez to wdrożone przez ADO środki organizacyjne i techniczne w celu zabezpieczenia oraz ochrony danych osobowych przed ich nieuprawnionym przetwarzaniem;
• elektronicznych nośnikach – rozumie się przez to elektroniczne nośniki danych osobowych, jakimi są płyty CD lub DVD, pamięć flash, dyski twarde, lub inne urządzenia/materiały służące do przechowywania plików z danymi osobowymi;
• papierowych nośnikach – rozumie się przez to nośniki danych osobowych w formie pisemnej zawierające dane osobowe;
• zabezpieczeniu danych osobowych – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przed ich nieuprawnionym przetwarzaniem.

• 3. Przetwarzanie danych osobowych pracowników i innych osób fizycznych, wiąże się z wykonywaniem działalności EKLEKTIKA.

• 4. 1. Wprowadza się Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w EKLEKTIKA, zwaną dalej „Instrukcją”, stanowiącą załącznik nr 1 do Polityki.

2. W EKLEKTIKA prowadzi się rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 rozporządzenia 2016/679. Rejestr prowadzony jest w formie elektronicznej. Wzór rejestru przetwarzania danych osobowych stanowi załącznik nr 2 do Polityki.
3. Wykaz zbiorów danych osobowych wraz z opisem struktury tych zbiorów wskazującym zawartość poszczególnych pól informacyjnych, programów zastosowanych do przetwarzania tych danych, powiązania między zbiorami oraz sposób przepływu danych pomiędzy poszczególnymi systemami, określa załącznik nr 3 do Polityki.

• 5. ADO wykonuje zadania określone w rozporządzeniu 2016/679 przy pomocy Administrator Systemu Informatycznego, zwany dalej „ASI”.

2. ASI zapewnia zarządzaniem uprawnieniami użytkowników, zapewnianiem sprawności, konserwacji oraz wdrażaniem technicznych zabezpieczeń systemu informatycznego.
3. ASI prowadzi wykaz programów dopuszczonych do używania w EKLEKTIKA oraz ewidencję i dzienniki wskazane w Instrukcji.

• 6. 1. Użytkownikiem może być pracownik albo współpracownik EKLEKTIKA.

2. ADO udziela pisemnego upoważnienia do przetwarzania danych osobowych, które przetwarzane są w EKLEKTIKA, przy zachowaniu zasady celowości i minimalizmu w rozumieniu rozporządzenia 2016/679:
3. Wzór upoważnienia do przetwarzania danych osobowych określa załącznik nr 4 do Polityki.
4. Powierzenie przetwarzania danych osobowych, które przetwarzane są w EKLEKTIKA, współpracownikom EKLEKTIKA następuje na postawie umowy, o której mowa art. 28 ust. 3 rozporządzenia 2016/679.
5. Wzór umowy powierzenia przetwarzania danych osobowych w EKLEKTIKA określa załącznik nr 5 do Polityki.

• 7. 1. ADO prowadzi ewidencję użytkowników w formie pisemnej, w tym w formie elektronicznej z podziałem na użytkowników działających na podstawie upoważnienia oraz współpracowników.

2. Wzór ewidencji określa załącznik nr 6 do Polityki.
3. Upoważnienia udzielone pracownikom EKLEKTIKA przechowywane są w aktach osobowych pracownika.

• 8. 1. Użytkownik, przed dopuszczeniem do przetwarzania danych osobowych, podlega szkoleniu w zakresie przepisów o ochronie danych osobowych i wynikających z nich zadań i obowiązków.

2. Użytkownik podlega okresowemu szkoleniu, stosownie do potrzeb wynikających ze zmian w systemie informatycznym oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmianą wewnętrznych regulacji.
3. Szkolenia organizuje ADO.

• 9. 1. Przetwarzanie danych osobowych w zakresie niezbędnym do wykonywania zadań, o których mowa w § 3, powierza się wyłącznie użytkownikom, którzy złożyli oświadczenia, z których wynika, że odbyli szkolenie w zakresie ochrony danych osobowych, zapoznali się z przepisami obowiązującymi w tym zakresie oraz zobowiązują się do zachowania w tajemnicy danych osobowych przetwarzanych w EKLEKTIKA oraz sposobu ich zabezpieczenia.

2. Wzór oświadczenia użytkownika będącego pracownikiem EKLEKTIKA określa załącznik nr 7 do zarządzenia.
3. Wzór oświadczenia użytkownika będącego współpracownikiem EKLEKTIKA określa załącznik nr 8 do zarządzenia.

• 10. Do postępowania w sprawie ochrony innych informacji poufnych w EKLEKTIKA zasady dotyczące ochrony danych osobowych stosuje się odpowiednio.

Rozdział II

Zasady przetwarzania danych osobowych

• 11. Dane osobowe przechowywane są przez okres ich przydatności do celów, do których zostały zebrane. Po tym okresie są one anonimizowane albo usuwane.

• 12. Informacje, o których mowa w art. 13 i 14 rozporządzenia 2016/679, podawane są osobie, której dane dotyczą w formie pisemnej, w tym w formie elektronicznej, a na żądanie osoby, której dane dotyczą, także ustnie, po potwierdzeniu tożsamości tej osoby.

• 13. 1. Zgoda osoby fizycznej na przetwarzanie danych osobowych jest wyrażana w formie pisemnej, w tym w formie elektronicznej. Wzór zgody osoby fizycznej na przetwarzanie danych osobowych stanowi załącznik nr 9 do Polityki.

2. Zgoda, o której mowa w ust. 1, dotyczy także osoby fizycznej ubiegającej się o zatrudnienie w EKLEKTIKA, w odniesieniu do danych osobowych innych niż wymienione w art. 22¹ § 1 i 3 Kodeksu pracy.

• 14. 1. Osoba fizyczna, której dane są przetwarzane przez ADO ma prawo do kontroli przetwarzanych danych, które jej dotyczą, zawartych w zbiorach danych.

2. Stosownie do żądania osoby fizycznej, której dotyczą dane osobowe, dane te podlegają sprostowaniu, usunięciu, ograniczeniu ich przetwarzania. W odniesieniu do danych osobowych przetwarzanych w systemie informatycznym, czynności te wykonywane są zgodnie z Instrukcją.
3. Wobec osoby fizycznej, której dotyczą dane osobowe, obowiązek informacyjny określony w art. 19 rozporządzenia 2016/679, realizowany w formie pisemnej, w tym w formie elektronicznej.

• 15. Stosownie do żądania osoby fizycznej, której dotyczą dane osobowe, w celu przeniesienia tych danych, są one wydawane tej osobie albo przekazywane innemu administratorowi.

2. Przed przeniesieniem danych na żądanie osoby fizycznej, której dane dotyczą, potwierdza się tożsamość tej osoby.

                Rozdział 3

Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności i integralności przetwarzanych danych osobowych

• 16. 1. Pomieszczenie, w którym przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieupoważnionych na czas nieobecności w nich użytkownika.

2. Jeżeli pomieszczenie, w którym przyjmowane są osoby nieupoważnione, jest wyposażone w urządzenia z dostępem do systemów bazodanowych albo tradycyjne kartoteki, należy w nim stosować szczególne środki ostrożności, w tym:

• osoby nieupoważnione mogą pozostawać w pomieszczeniu tylko w obecności użytkownika;
• kartoteki tradycyjne należy zabezpieczyć przed dostępem osób nieupoważnionych;
• papierowych i elektronicznych nośników nie należy pozostawiać w miejscach umożliwiających ich wykorzystanie przez osoby nieupoważnione;
• monitor komputera należy ustawić tak, aby ekran był niewidoczny dla osób nieupoważnionych;
• drukarki i urządzenia peryferyjne powinny być usytuowane tak, aby znajdowały się z dala od przestrzeni, po której poruszają się osoby nieupoważnione.

3. Pomieszczenie, w którym przetwarzane są dane osobowe, jest zamykane na klucz. W godzinach pracy EKLEKTIKA pomieszczenie może być otwarte wyłącznie w czasie obecności w nim użytkownika.
4. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe określa załącznik nr 10 do Polityki.

• 17. 1. Klucze do pomieszczeń, w których przetwarzane są dane osobowe, może pobierać wyłącznie pracownik EKLEKTIKA upoważniony do przetwarzania danych osobowych.

3. Dane osobowe przechowywane na papierowych lub elektronicznych nośnikach po zakończeniu pracy są przechowywane w pomieszczeniach w szafach zamykanych na klucz lub w serwerowni.
4. Dostęp do pomieszczeń, w których są przetwarzane dane osobowe, mają tylko osoby upoważnione.
5. Serwisanci mogą przebywać w pomieszczeniach EKLEKTIKA wyłącznie w obecności osoby upoważnionej.

• 18. 1. Dostęp do danych osobowych przetwarzanych w systemie informatycznym (w tym w elektronicznym dzienniku) posiadają użytkownicy tego systemu.

2. Dostęp możliwy jest tylko przy użyciu indywidualnego konta, po dokonaniu identyfikacji w systemie poprzez zastosowanie uwierzytelnienia.
3. Użytkownicy zobowiązani są do zabezpieczenia danych służących do identyfikacji w systemie informatycznym przed ich utratą lub przejęciem przez osobę nieuprawnioną.
4. Kopiowanie, drukowanie z systemu informatycznego informacji zawierających dane osobowe dopuszczalne jest tylko za zgodą lub na wyraźne polecenie ADO.
5. Elektroniczne nośniki, w tym kopie elektroniczne, nie mogą być dostępne dla osób nieupoważnionych.
6. Dane osobowe z elektronicznych nośników usuwa się niezwłocznie po ich wykorzystaniu, w sposób trwały.

• 19. 1. W przypadku zgodny lub wyraźnego polecenia ADO dane osobowe wyeksportowane z systemu informatycznego do przenośnego sprzętu komputerowego mogą znajdować się w nim tylko przez czas niezbędny do ich wykorzystania.

2. Dane osobowe, o których mowa w ust. 1, usuwa się niezwłocznie po ich wykorzystaniu.
3. Użytkownik systemu dokonujący wydruku jest właścicielem wytworzonego dokumentu.
4. Kopie błędne, nadmiarowe czy z innych powodów niepotrzebne niezwłocznie niszczy się.
5. Wydruki, które nie podlegają archiwizacji, po ich wykorzystaniu niezwłocznie niszczy się.
6. Każdy, kto zauważy wydruk, nośnik elektroniczny, czy inny dokument zawierający dane osobowe, pozostawiony bez dozoru, zabezpiecza go i przekazuje ADO.

• 20. Wydruki zawierające dane osobowe sporządzane w oparciu o system informatyczny podlegają szczególnej ochronie, a w szczególności niedopuszczalne jest:
• pozostawianie wydruków zawierających dane osobowe, z możliwością dostępu do nich osób nieupoważnionych;
• wyrzucanie nieudanych lub próbnych wydruków do kosza.

• 21. Nieaktualne lub wadliwe papierowe oraz elektroniczne nośniki niszczone są komisyjnie w sposób uniemożliwiający ich przetwarzanie.

• 22. 1. W EKLEKTIKA stosuje się następujące zabezpieczenia przed nieautoryzowanym dostępem do zbiorów danych osobowych:
• urządzenia końcowe (komputer, terminal, drukarka) podłączone są do systemu informatycznego EKLEKTIKA tylko przez upoważnione osoby;
• zasoby systemu informatycznego zawierające dane osobowe (programy i bazy danych) udostępniane są użytkownikowi systemu na podstawie upoważnienia do przetwarzania danych osobowych;
• użytkownik systemu identyfikowany jest w systemie poprzez zastosowanie uwierzytelnienia;
• użytkownikowi systemu przydzielany jest indywidualny identyfikator, który dokonuje rejestrowania przez system czasu logowania użytkownika;
• klucze do pomieszczeń, w których przetwarzane są zbiory danych osobowych, udostępniane są tylko osobom do tego upoważnionym;
• monitory na stanowiskach przetwarzania danych osobowych ustawiane są w sposób uniemożliwiający wgląd w dane przez osoby nieupoważnione;
• automatyczne wygaszanie ekranu i blokowanie nieużywanego komputera następuje po upływie 30 minut;
• zmiana hasła do systemu informatycznego wymuszana jest co 30 dni.

2. W EKLEKTIKA stosuje się następujące zabezpieczenia przed nieautoryzowanym dostępem do zbiorów danych osobowych przez Internet w postaci:

• sieci wewnętrznej LAN, która jest logicznie oddzielona od sieci zewnętrznej, w sposób uniemożliwiający uzyskanie połączenia z bazą danych spoza systemu informatycznego EKLEKTIKA;
• bramy sieciowej z zainstalowanym ystemem typu firewall, z funkcją analizy charakteru ruchu sieciowego, który uniemożliwia nawiązanie połączenia z chronionymi komputerami oraz blokuje ruch o charakterze niepożądanym lub takim, który może zostać uznany za szkodliwy.

Rozdział 4

Postępowanie w przypadku naruszenia ochrony danych osobowych

• 23. 1. Każdy, kto stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w EKLEKTIKA, zobowiązany jest do niezwłocznego poinformowania o tym fakcie ADO.

2. Osoba upoważniona, która stwierdziła lub uzyskała informację wskazującą na naruszenie ochrony danych osobowych, zobowiązana jest do niezwłocznego:

1)   zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnego wykrycia tego faktu;

2) jeżeli zasoby systemu informatycznego na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania;

3)  przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym odebranie pisemnych wyjaśnień od osoby, która ujawniła naruszenie;

4)   podjęcia odpowiednich działań w celu powstrzymania lub ograniczenia dostępu osoby nieupoważnionej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych.

3. Po przywróceniu zabezpieczenia danych osobowych przeprowadza się szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz podejmuje się czynności mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.

• 24. 1. W każdej sytuacji, w której zaistniałe naruszenie ochrony danych osobowych, skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, ADO bez zbędnej zwłoki – jeżeli to możliwe, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza fakt naruszenia właściwemu w sprawach ochrony danych osobowych organowi nadzorczemu.

2. Jeżeli ryzyko naruszenia praw i wolności osób fizycznych jest wysokie, ADO, bez zbędnej zwłoki, zawiadamia o takim naruszeniu osobę, której dane dotyczą. Zawiadomienie następuje w formie pisemnej, w tym w formie elektronicznej.

• 25. Instrukcję postępowania w przypadku naruszenia bezpieczeństwa danych osobowych w EKLEKTIKA określa załącznik nr 11 do Polityki.

Załącznik nr 11 do Polityki bezpieczeństwa informacji

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1. ZAKRES STOSOWANIA INSTRUKCJI
   • Instrukcja określa zasady postępowania wszystkich osób zatrudnionych przy przetwarzaniu danych osobowych w przypadku naruszenia bezpieczeństwa tych danych, zgodne z „Tabelą form naruszeń bezpieczeństwa danych osobowych”, stanowiącą załącznik A do niniejszej instrukcji.
   • Celem instrukcji jest określenie sposobu postępowania, gdy:
     • Stwierdzono naruszenie zabezpieczeń danych osobowych.
     • W przypadku danych przetwarzanych w formie tradycyjnej stan pomieszczeń, szaf, okien, drzwi, dokumentów lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych.
     • W przypadku danych przetwarzanych w formie elektronicznej stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu, jakość komunikacji lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych.

2. NARUSZENIA BEZPIECZEŃSTWA
   • Naruszeniem zabezpieczenia danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia lub usunięcia, a w szczególności:
     • nieautoryzowany dostęp do danych,
     • nieautoryzowane modyfikacje lub zniszczenie danych,
     • udostępnienie danych nieautoryzowanym podmiotom,
     • nielegalne ujawnienie danych,
     • pozyskiwanie danych z nielegalnych źródeł.

3. POSTĘPOWANIE W PRZYPADKU NARUSZENIA
   • W przypadku stwierdzenia naruszenia zabezpieczeń lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie zgłosić fakt naruszenia Administratorowi Danych Osobowych, a następnie postępować stosownie do podjętej przez niego decyzji.
   • Współpracownicy postępują zgodnie z postanowieniami umowy cywilnoprawnej zawartej z Administratorem Danych Osobowych, tj. niezwłocznie przekaże Administratorowi Danych Osobowych szczegółowe zawiadomienie, drogą elektroniczną na adres: biuro@eklektika.pl i telefonicznie nr tel. 22 6228669.
   • Zgłoszenie naruszenia zabezpieczeń danych osobowych powinno zostać sporządzone zgodnie z Załącznikiem A i zawierać:
     • opisanie symptomów naruszenia zabezpieczeń danych osobowych,
     • określenie sytuacji i czasu w jakim stwierdzono naruszenie zabezpieczeń danych osobowych,
     • określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia,
     • określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia.

4. DZIAŁANIA ADMINISTRATORA DANYCH OSOBOWYCH
   • Administrator Danych Osobowych lub inna upoważniona przez niego osoba podejmuje wszelkie działania mające na celu:
     • minimalizację negatywnych skutków zdarzenia,
     • wyjaśnienie okoliczności zdarzenia,
     • zabezpieczenie dowodów zdarzenia,
     • umożliwienie dalszego bezpiecznego przetwarzania danych.
   • W celu realizacji zadań wynikających z niniejszej instrukcji Administrator Danych Osobowych lub inna upoważniona przez niego osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności:
     • żądania wyjaśnień od pracowników/ współpracowników,
     • korzystania z pomocy konsultantów,
     • nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych.

5. RAPORT KOŃCOWY
   • Administrator Danych Osobowych po zażegnaniu sytuacji naruszającej bezpieczeństwo danych osobowych opracowuje raport końcowy, w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość wystąpienia zdarzenia w przyszłości. Wzór raportu stanowi Załącznik B do niniejszej instrukcji.
6. POLECENIA ADMINISTRATORA
   • Polecenia Administratora Danych Osobowych lub innej upoważnionej przez niego osoby wydawane w celu realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i powinny być wykonywane przed innymi poleceniami, zapewniając ochronę danych osobowych.
   • Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Danych Osobowych lub inną upoważnioną przez niego osobą traktowana będzie jako naruszenie obowiązków pracowniczych, może być przyczyną odpowiedzialności cywilnoprawnej lub odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy a w przypadku współpracowników podstawą odpowiedzialności uregulowanej w umowie.

ZAŁĄCZNIK A. TABELA FORM NARUSZEŃ BEZPIECZEŃSTWA DANYCH OSOBOWYCH

ZAŁĄCZNIK B. RAPORT O SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Sporządzający raport:

Imię i nazwisko:

………………………………………………………………………………………………………………………………………….

stanowisko (funkcja):

………………………………………………………………………………………………………………………………………….

Dział, pokój, nr telefonu:

………………………………………………………………………………………………………………………………………….

Kod formy naruszenia ochrony danych (wg tabeli z załącznika A):

………………………………………………………………………………………………………………………………………….

1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.):

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych):

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych:

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

4) Informacje o danych, które zostały lub mogły zostać ujawnione:

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem:

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg

zdarzenia, opis zachowania uczestników, podjęte działania):

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

7) Wnioski:

………………………………………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………………………….

………………………………………………………..

(miejsce, data i godzina sporządzenia raportu)

………………………………………………………..

(podpis sporządzającego raport)