POLITYKA BEZPIECZEŃSTWA INFORMACJI

Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporzą­dzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpiecze­nia danych w kancelarii, w tym z Rozporządzeniem Parlamentu Europejskie­go i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycz­nych w związku z przetwarzaniem danych osobowych i w sprawie swobodne­go przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

Definicje:                                            

1. Administrator Danych – Włodzimierz Chróścik prowadzący Włodzimierz Chróścik Kancelaria Radców Prawnych zwanym danej „Kancelarią”
2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możli­wej do zidentyfikowania osoby fizycznej
3. System informatyczny – zespół współpracujących ze sobą urządzeń, progra­mów, procedur przetwarzania informacji narzędzi programowych zastosowa­nych w celu przetwarzania danych
4. Użytkownik – osoba upoważniona przez Administratora Danych do Prze­twarzania danych osobowych
5. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobo­wym, dostępny według określonych kryteriów
6. Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych oso­bowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych
7. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania danych osobowych w takim systemie
8. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie
9. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).

I. Postanowienia ogólne

1. Polityka dotyczy wszystkich Danych osobowych przetwarzanych
   w Kancelarii Radcy Prawnego Włodzimierz Chróścik, nie-
   zależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być
   przetwarzane w zbiorach danych.      
2. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papiero­wej w siedzibie Administratora.
3. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, któ­rym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
4. Zgodnie z ustawą o radcach prawnych Dane osobo-
   we przetwarzane Kancelarii, a uzyskane w związku z udzielaniem pomocy prawnej przez radcę prawnego, objęte są tajemnicą radcowską. Radcy Prawnego nie można zwolnić od
   obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowie-
   dział się udzielając pomocy prawnej lub prowadząc sprawę.
5. W zakresie przetwarzania danych pozyskanych w związku z wykonywaniem czynności objętych tajemnicą radcowksą Administrator stosuje się do wska­zanych powyżej przepisów dotyczących zachowania tajemnicy zawodowej.
6. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:

1. odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
2. kontrolę i nadzór nad Przetwarzaniem danych osobowych,
3. monitorowanie zastosowanych środków ochrony.
4. Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad do­stępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
5. Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniej­szą polityką oraz odpowiednimi przepisami prawa.

1. Dane osobowe przetwarzane u administratora danych

1. Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach danych.
2. Administrator danych nie podejmuje czynności przetwarzania, które mogły­by się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
3. W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględ­nia kwestie ochrony danych w fazie ich projektowania.
4. Administrator danych prowadzi rejestr czynności przetwarzania. Wzór rejestru czynności przetwarzania stanowi Załącznik nr 1 do niniejszej polityki.
5. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem

1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych
   zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Admi-
   nistratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Sys-
   temem Informatycznym, a także innymi dokumentami wewnętrzny-
   mi i procedurami związanymi z Przetwarzaniem danych osobowych
   w Kancelarii.
2. Wszystkie dane osobowe w Kancelarii są przetwarzane z poszanowaniem za­sad przetwarzania przewidzianych przez przepisy prawa:

1. W każdym wypadku występuje chociaż jedna z przewidzianych przepisa­mi prawa podstaw dla przetwarzania danych.
2. Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
3. Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasad­nionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi cela­mi.
4. Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest nie­zbędny dla osiągnięcia celu przetwarzania danych.
5. Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.

• Czas przechowywania danych jest ograniczony do okresu ich przydatno­ści do celów, do których zostały zebrane, a po tym okresie są one anoni-mizowane bądź usuwane.
• Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informa­cyjny zgodnie z treścią art. 13 i 14 RODO.
• Dane są zabezpieczone przed naruszeniami zasad ich ochrony.

• Administrator danych nie przekazuje osobom, których dane dotyczą, in­formacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obo­wiązkiem zachowania tajemnicy zawodowej (art. 14 ust 5 pkt d RODO).
• Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:

1. naruszenie bezpieczeństwa Systemów informatycznych, w których prze­twarzane są dane osobowe, w razie ich przetwarzania w takich syste­mach;
2. udostępnianie lub umożliwienie udostępniania danych osobom lub pod­miotom do tego nieupoważnionym;
3. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
4. niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
5. przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
6. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nie­uprawnione kopiowanie Danych osobowych;
7. naruszenie praw osób, których dane są przetwarzane.
8. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbęd­nych kroków, mających na celu ograniczenie skutków naruszenia i do nie­zwłocznego powiadomienia Administratora Danych,
9. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończe­nia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podsta­wie innych umów cywilnoprawnych) należy dopilnowanie, by:

1. pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
2. każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych oso­bowych” – wzór Upoważnienia stanowi Załącznik nr 2 do niniejszej Poli­tyki Bezpieczeństwa,

c)   każdy pracownik zobowiązał się do zachowania danych osobowych prze­twarzanych w kancelarii w tajemnicy. „Oświadczenie i zobowiązanie oso­by przetwarzającej dane osobowe do zachowania tajemnicy” stanowi element „Upoważnienia do przetwarzania danych osobowych”.

7.   Pracownicy zobowiązani są do:

1. ścisłego przestrzegania zakresu nadanego upoważnienia;
2. przetwarzania i ochrony danych osobowych zgodnie z przepisami;
3. zachowania w tajemnicy danych osobowych oraz sposobów ich zabez­pieczenia;
4. zgłaszania incydentów związanych z naruszeniem bezpieczeństwa da­nych oraz niewłaściwym funkcjonowaniem systemu.

IV. Obszar przetwarzania danych osobowych

1. Obszar, w którym przetwarzane są Dane osobowe na terenie Kancelarii, obejmuje pomieszczenie biurowe kancelarii zlokalizowane w Warszawie ul. Flory 9 lok 11.
2. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.

V. Określenie środków technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności, integralno-
ści i rozliczalności przetwarzanych danych

1. Administrator Danych zapewnia zastosowanie środków technicznych i orga­nizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozli-czalności i ciągłości Przetwarzanych danych.
2. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być ade­kwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych, Środki obejmują:

a) Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarza­nia danych jedynie w towarzystwie osoby upoważnionej.

• Zamykanie pomieszczeń tworzących obszar Przetwarzania danych oso­bowych określony w pkt IV powyżej na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich.
• Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia doku­mentów.
• Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.     
• Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
• Wykonywanie kopii awaryjnych danych na …
• Ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem.
• Zabezpieczenie dostępu do urządzeń Kancelarii przy pomocy haseł do­stępu.

i)     Wykorzystanie szyfrowania danych przy ich transmisji.

• Naruszenia zasad ochrony danych osobowych

1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Admini­strator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt na­ruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszej polityki.
3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiada­mia o incydencie także osobę, której dane dotyczą.
4. Powierzenie przetwarzania danych osobowych

1. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w for­mie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO i tylko jeżeli są to dane, które może ujawnić bez naruszenia adwokac­kiej tajemnicy zawodowej.
2. Przed powierzeniem przetwarzania danych osobowych Administrator w mia­rę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.

VIII. Przekazywanie danych do państwa trzeciego

Administrator Danych Osobowych nie będzie przekazywał danych osobo­wych do państwa trzeciego, poza sytuacjami w których następuje to na wnio­sek osoby, której dane dotyczą.

IX. Postanowienia końcowe

1. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pra­cownik ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do da­nych osobowych objętych tajemnicą zawodową.