ODO – szkolenie wstępne

TYTUŁ
OCHRONA DANYCH OSOBOWYCH
I BEZPIECZEŃSTWO INFORMACJI
Szkolenie wstępne
Witamy
Zapraszamy do zapoznania się z najważniejszymi informacjami dotyczącymi ochrony danych w REMZAP

Najpierw zapoznaj się z poniższą prezentacją. Następnie wypełnij krótki test i wyślij go przy użyciu przycisku „Wyślij” na końcu testu.
Nie zapomnij wpisać swojego imienia i nazwiska.

Jeśli nie masz pewności co do odpowiedzi na niektóre pytania zawsze możesz wrócić do prezentacji i sprawdzić. Wynik testu nie ma wpływu na przyznanie Ci uprawnień do systemu informatycznego REMZAP ale ma istotne znaczenie dla późniejszego przetwarzania danych przez Ciebie.

W przypadku pytań skontaktuj się z Administratorem Bezpieczeństwa Danych:
Lidią Stefaniak-Chabros, tel.: 81 506 60 04, 665 449 503,

Powodzenia

Podstawy prawne
Podstawy prawne ochrony danych

● Konstytucja RP – Art. 47 – Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym,
● Konstytucja RP – Art. 51:
– Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby,
– Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym,
– Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa,
– Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą,
– Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa,
● Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 7.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – RODO
● Ustawa z dnia 18.05.2018 r. o ochronie danych osobowych,
● Kodeks Pracy.

Co to jest przetwarzanie
Co to jest „przetwarzanie danych”?

Wszelkie operacje na danych takie jak:

● Zbieranie danych
● Przechowywanie danych
● Usuwanie danych
● Przenoszenie danych
● Opracowywanie danych
● Udostępniania danych

Jakie dane chronimy
Dane podlegające ochronie

● Dane osobowe – pracownicy, współpracownicy, dane dotyczące wszelkich kwestii związanych z realizacją stosunku pracy (umowa o pracę, umowa zlecenia, umowa o dzieło, kontrakt), takie jak: dane kontaktowe, PESEL, adres, kwota wynagrodzenia, przedmiot umowy, i inne,
● Dane osobowe – kontrahenci, przedstawiciele kontrahentów i potencjalnych kontrahentów, takie jak: imię i nazwisko, stanowisko, numer telefonu, adres email,
● Dane dotyczące realizowanych zamówień – przedmiot zamówienia, wartość zamówienia, warunki handlowe realizacji zamówienia, i inne,
● Dane dotyczące zapytań ofertowych, ofert, kosztorysów, dokumentacji technicznych, umów, zamówień i wszelkie inne dane przetwarzane w procesie ofertowania i kontraktacji – całość dokumentacji, łącznie z informacją o fakcie wzięcia udziału w danym postępowaniu ofertowym,
● Dane sprzedażowe – wartości zamówień, formy, metody i terminy płatności, warunki handlowe i wszelkie inne informacje przetwarzane w procesie sprzedawania materiałów i usług,

Jakie dane chronimy
Dane podlegające ochronie

● Dane finansowe – dane dotyczące ogólnej sytuacji finansowej Spółki, o ile nie są to dane podlegające publicznej publikacji przez uprawnione osoby/ komórki organizacyjne Spółki,
● Dane dotyczące rozwoju Spółki i planowanych inwestycji – plany strategiczne, finansowe, inwestycyjne, o ile nie są to informacje podane do publicznej wiadomości przez uprawnione osoby/ komórki organizacyjne Spółki,
● Dane związane z kontrolami i sprawami karnymi, w których Spółka jest stroną lub świadkiem, w szczególności jeśli dotyczą spraw toczących się w odniesieniu do osób fizycznych,
● Dane dotyczące rozwiązań technicznych, technologicznych, organizacyjnych i zarządczych stosowanych w Spółce lub w firmach kontrahentów Spółki,
● Raporty sporządzane na potrzeby korporacyjne i Rady Nadzorczej Spółki.

Jakie dane chronimy – wyłączenia
Dane podlegające ochronie – wyłączenia

● Sprawozdania Zarządu – po opublikowaniu przez Biuro Zarządu REMZAP,
● Sprawozdania finansowe – okresowe raporty podlegające publikacji zgodnie z prawem spółek – po opublikowaniu przez Biuro Zarządu REMZAP,
● Komunikaty prasowe – publikowane w oficjalnych kanałach komunikacyjnych Spółki, tj. strona remzap.pl, eremzap.pl, facebook.com, youtube.com,
● Dane przekazywane w materiałach reklamowych, marketingowych i promocyjnych,
● Nakazy i orzeczenia organów ścigania i sądowych – o ile zostały podane do wiadomości publicznej,
● Wszelkie inne dane dla których istnieje podstawa prawna regulująca obowiązek przekazywania lub upubliczniania danych.

UWAGA!
Jedynie uprawnione osoby mogą przekazywać dane, przy zachowaniu ostrożności oraz zasady minimalizacji i celu przetwarzania danych!

Czym są dane
Czym są dane osobowe

● Wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
● Osoba zidentyfikowana – znamy jej tożsamość, możemy wskazać ją spośród innych osób,
● Osoba możliwa do zidentyfikowania – osoba której tożsamości nie znamy ale możemy poznać, korzystając ze środków które posiadamy.

Czym są dane
Czym są dane osobowe

● Informacje o osobach fizycznych – osoby prawne nie mają danych osobowych. Ale pracownicy osób prawnych mogą mieć dane osobowe ponieważ są osobami fizycznymi,
● Dane osobowe zwykłe – imię i nazwisko, adres zamieszkania/ zameldowania, PESEL, seria i nr dowodu osobistego, nr paszportu, data i miejsce urodzenia, płeć, wysokość zarobków, stan rodzinny,
● Dane osobowe szczególnej kategorii (kiedyś dane wrażliwe) – pochodzenie etniczne i rasowe, poglądy polityczne, przekonania religijne i światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dot. zdrowia, seksualności, karalności, wizerunek,
● Danych szczególnych nie można gromadzić i przetwarzać chyba że przetwarzanie jest niezbędne:
– Do celów archiwalnych w interesie publicznym,
– Do celów badań naukowych lub historycznych,
– Do celów statystycznych

Czym są dane
Czym są dane osobowe

● Samodzielne dane o dużym stopniu ogólności – kolor włosów, wiek, imię i nazwisko, np.: Jan Nowak, 25 lat, blondyn,
● Nazwa spółki, przedsiębiorstwa, fundacji,
● Adres e-mailowy w domenie publicznej – np. 
● Dane osób zmarłych (nie są osobami fizycznymi)

UWAGA!
Kilka zestawionych ze sobą danych ogólnych może stanowić dane osobowe, jeśli będziemy mogli na ich podstawie zidentyfikować konkretną osobę.

Kiedy można przetwarzać
Kiedy można przetwarzać dane osobowe

Wyłącznie wtedy kiedy istnieje podstawa prawna:

● Zgoda podmiotu danych – np. przy wysyłaniu newslettera,
● Wykonanie umowy, której stroną jest podmiot danych lub wykonanie umowy jej dotyczy – np.: umowa współpracy nie wymaga dodatkowej zgody na przetwarzanie danych osobowych,
● Wypełnienie obowiązku prawnego ciążącego na administratorze – np. konieczność przetwarzania danych osobowych w odniesieniu do umowy o pracę,
● Ochrona żywotnych interesów osoby, której dotyczą lub innych osób – np.: w sytuacji wypadku szpital ma obowiązek udzielić informacji o przyjęciu pacjenta,
● Dobro publiczne – np.: w sytuacji zagrożenia epidemicznego lub kataklizmu pogodowego.

Zgoda na przetwarzanie danych:
Dobrowolne, konkretne, świadome i jednoznaczne okazanie woli.

Zasady przetwarzania
Zasady przetwarzania danych osobowych

Zgodnie z Art. 5 RODO dane muszą być przetwarzane:

● Zgodnie z prawem, rzetelnie i przejrzyście dla osoby, której dane dotyczą,
● Ograniczone ze względu na cel przetwarzania – dane pobrane na jeden cel mogą być przetwarzane tylko w tym celu,
● W sposób zminimalizowany – adekwatnie do celów przetwarzania – nie można pobierać większej ilości danych niż potrzeba dla danego celu przetwarzania,
● Prawidłowo – dane mają być poprawne i aktualne – należy dbać o to, aby dane nie uległy zafałszowaniu.

Kary
Kary

● Dane osobowe to produkt ekonomiczny – ich właściciel ma do niego pełne prawa,
● Naruszenie przepisów o ochronie danych może skutkować karą w wysokości do 4% całkowitego światowego obrotu przedsiębiorstwa lub grupy przedsiębiorstw, lub do 20 mln euro,
● Osoby poszkodowane mogą dochodzić odszkodowań na drodze cywilnej od podmiotu, który nie dostosował się do RODO,
● Kary za:
– Nie poinformowanie UODO w ciągu 72 godzin o wycieku danych,
– Stwierdzeniu przez kontrolerów UODO naruszeń zapisów RODO.
● Kary dla pracownika:
– Dyscyplinarne i pociągnięcie do odpowiedzialności karnej wynikającej z przepisów prawa,
– Kara pozbawienia wolności od 1 roku do 3 lat.

Kradzież danych
Kradzież danych osobowych

Co złodziej może zrobić z danymi osobowymi?

● Wyłudzenie kredytu na czyjeś imię i nazwisko,
● Prowadzenie fałszywej działalności biznesowej w czyimś imieniu i wyłudzenia, np. zwrot podatku,
● Wynajęcie pokoju hotelowego i kradzież wyposażenia,
● Kradzież wypożyczonego samochodu,
● Mandaty i punkty karne na czyjeś konto,
● Zawarcie umowy z operatorem telekomunikacyjnym na czyjeś dane.

Sytuacja prawdziwa:
Przeczytaj artykuł Kuriera Lubelskiego “Wrobieni w długi. Nikt nie weryfikuje danych”

OD w REMZAP
OCHRONA DANYCH W REMZAP
Domniemanie winy
Domniemanie winy

RODO 5.2.
● Administrator jest odpowiedzialny za przestrzeganie przepisów prawa i musi być w stanie wykazać ich przestrzeganie

RODO 82.3
● Administrator zostaje zwolniony z odpowiedzialności jeśli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody

W sytuacji zaistnienia nieprawidłowości to na Administratorze Danych Osobowych spoczywa obowiązek udowodnienia, że wykazał maksimum zabezpieczeń ale faktyczna ochrona danych realizowana jest przez pracowników.

Role w REMZAP
Role w REMZAP

Administrator Danych Osobowych – osoba prawna – REMZAP Sp. z o.o. w imieniu której występuje Zarząd

Administrator Bezpieczeństwa Danych – osoba fizyczna wyznaczona w firmie, odpowiedzialna za całościowy nadzór nad realizacją i rozwojem Polityki Bezpieczeństwa Danych – Lidia Stefaniak-Chabros

Administrator Systemów Informatycznych – osoba fizyczna wyznaczona w firmie, odpowiedzialna za realizację i rozwój obszaru teleinformatyki – Krzysztof Gór, Kierownik Zespołu IT

Zadania Administratorów
Zadania Administratorów

Administrator Danych Osobowych
● Informowanie podmiotów danych o celach, zakresie i sposobie przetwarzania ich danych,
● Zapewnienie odpowiednich środków organizacyjnych, finansowych, fizycznych i personalnych do realizacji Polityki Bezpieczeństwa Danych,
● Może wyznaczyć osoby odpowiedzialne za realizacje zadań w zakresie ochrony danych

Zadania Administratorów
Zadania Administratorów

Administrator Bezpieczeństwa Danych
● Analiza zagrożeń i ryzyk,
● Analiza i aktualizacja dokumentacji,
● Upoważnienia do przetwarzania danych i ewidencja osób upoważnionych,
● Rejestry: kategorii czynności przetwarzania danych, naruszeń bezpieczeństwa, rejestru umów o współadministrowanie i procesorów,
● Szkolenie pracowników z PBD,
● Monitorowanie i kontrola realizacji zasad PBD,
● Rozpatrywanie wniosków podmiotów danych.

Zadania Administratorów
Zadania Administratorów

Administrator Systemów Informatycznych
● Monitorowanie i zapewnienie ciągłości działania systemów informatycznych,
● Zarządzanie kopiami zapasowymi i archiwalnymi,
● Administracja dostępami,
● Administracja systemem informatycznym w celu zapewnienia integralności i bezpieczeństwa danych, w szczególności zabezpieczenie przed dostępem osób nieupoważnionych.

OD w REMZAP
Ochrona danych w REMZAP

● Dokumentacja zarządzania bezpieczeństwem danych – zbiór dokumentów, zasad organizacyjnych i uregulowań kwestii technicznych pracy oraz obszarów działalności, w których występuje przetwarzanie danych – dostępna w folderze ODO na dysku sieciowym I,
● Szkolenie wstępne dla pracowników umysłowych oraz pracowników fizycznych pracujących z danymi – bez szkolenia pracownik nie może pracować w systemie informatycznym REMZAP,
● Szkolenia okresowe w sytuacji większych zmian w systemie zabezpieczenia danych – organizowane okazjonalnie,
● Komunikaty i ostrzeżenia o możliwych wyłudzeniach danych – wysyłane drogą elektroniczną.

Kogo obowiązują przepisy
Kogo obowiązują przepisy

Przepisy prawa unijnego, ogólnokrajowego oraz wewnętrzne uregulowania obowiązują każdego pracownika REMZAP, który w ramach wykonywania obowiązków służbowych ma styczność z danymi osobowymi oraz danymi ogólnymi podlegającymi ochronie.

Pierwsze kroki
Pierwsze kroki

Dla nowozatrudnionego pracownika:

● Klauzula informacyjna – do zapoznania w Kadrach,
● Oświadczenie o przestrzeganiu uregulowań w odniesieniu do systemu informatycznego – Kadry,
● Szkolenie wstępne z ochrony danych – Administrator Bezpieczeństwa Danych lub zdalnie – zaświadczenie ze szkolenia do akt osobowych pracownika,
● Upoważnienie do przetwarzania danych – Administrator Bezpieczeństwa Danych – oryginał upoważnienia do akt osobowych pracownika (obowiązuje do czasu zmiany stanowiska pracy lub komórki organizacyjnej zatrudnienia),
● Wniosek o wydanie zasobów IT – zarówno sprzętu IT (komputer stacjonarny, laptop, pendrive, itp.) oraz dostępów do programu ERP i folderów sieciowych – wypełnia bezpośredni przełożony i przekazuje do Administratora Bezpieczeństwa Danych (dla nowych pracowników i przy zmianie dostępów do baz danych) a następnie do Zespołu IT,
● Zmiana uprawnień lub dodatkowe zapotrzebowania na sprzęt – jak w pkt. 5 powyżej.

Klucze
Klucz do pomieszczeń biurowych

W spółce REMZAP obowiązuje system klucza generalnego, tj.:

● Pracownicy otrzymują indywidualnie numerowane klucze do pomieszczeń, w których będą pracowali (dotyczy wszystkich pomieszczeń biurowych, w których realizowana jest praca w systemie IT),
● Klucz przyznawany jest pracownikowi na podstawie Wniosku o wydanie klucza, który wypełnia bezpośredni przełożony i przekazuje do Administratora Bezpieczeństwa Danych,
● Pracownik otrzymuje klucz do rąk własnych, po podpisaniu protokołu odbioru klucza,
● Pracownik jest odpowiedzialny za bezpieczeństwo klucza:
– Nie może udostępniać klucza innym osobom,
– Nie może zostawiać klucza bez opieki,
– Nie może zostawiać klucza w zamku drzwi,
– Nie może klucza niszczyć, ciąć, szlifować lub próbować wykonywać kopie klucza,
– W sytuacji zgubienia lub zniszczenia klucza pracownik zobowiązany jest natychmiast poinformować przełożonego oraz Administratora Bezpieczeństwa Danych,
– W sytuacji rażącego naruszenia obowiązujących zasad użytkowania klucza pracownik może zostać obciążony kosztami zmian w systemie klucza generalnego i/lub kosztami wykonania nowego klucza i przekodowania wkładek do zamków.

Zasady użytkowania kluczy systemowych reguluje
Regulamin kluczy systemowych.

Monitoring
Monitoring na terenie REMZAP

Ze względu na konieczność zabezpieczenia mienia Spółki w wybranych obszarach realizowany jest monitoring wizyjny.

● Nagrania dotyczą wyłącznie wizji – nie jest nagrywany dźwięk,
● Obszary objęte monitoringiem są wyraźnie oznaczone tablicami informacyjnymi,
● Nagrania monitoringu są dostępne wyłącznie dla uprawnionych osób oraz dla organów porządkowych, w sytuacji zaistnienia konieczności przeprowadzenia postępowania dowodowego.

Zasady realizacji monitoringu wizyjnego reguluje Regulamin Monitoringu.

Sieć IT
Sieć informatyczna REMZAP

Pracownik może korzystać z sieci REMZAP wyłącznie po wcześniejszym uzyskaniu indywidualnych danych logowania do sieci komputerowej oraz do systemu IMPULS:

● Pracownik jest odpowiedzialny za zabezpieczenie danych logowania przed dostępem osób nieupoważnionych – nie wolno danych logowania zapisywać w miejscu dostępnym ani przekazywać innym osobom,
● Pracownik powinien ustawić monitor komputera tak, aby osoby nieupoważnione nie miały wglądu w dane na nim wyświetlane,
● Zabronione jest opuszczanie stanowiska pracy oraz pozostawienie komputera zalogowanego – przed odejściem od komputera należy dokonać wylogowania (klawisz L oraz okienko Windows na klawiaturze )
● Administrator Systemów Informatycznych dokonuje prac administracyjnych na koncie administracyjnym – nie wymaga podania loginu i hasła pracownika,
● System wymusza okresową zmianę loginu i hasła,
● W sytuacji kiedy pracownik zapomniał danych logowania lub zablokował konto należy skontaktować się z Administratorem Systemów Informatycznych,
● W sytuacji podejrzenia włamania do systemu informatycznego należy powiadomić bezpośredniego przełożonego oraz Administratora Bezpieczeństwa Danych,
● Pracownik może samodzielnie dokonać zmiany hasła w sytuacji kiedy podejrzewa, że nieuprawniona osoba uzyskała dostęp do danych logowania.

Rekrutacja
Rekrutacja pracowników w REMZAP

Ze względu na konieczność dochowania procedur wewnętrznych przyjmowanie dokumentów aplikacyjnych realizowane jest poprzez:

● Formularz rekrutacyjny na stronie remzap.pl,
● Wysyłkę pocztą lub kurierem na adres pocztowy Spółki,
● Osobiste doręczenie do Sekretariatu Zarządu Spółki.

Nie przyjmujemy dokumentów aplikacyjnych przesyłanych na pocztę elektroniczną lub przekazywanych przez osoby trzecie.

Incydent
Incydent naruszenia bezpieczeństwa

Incydent naruszenia bezpieczeństwa danych: sytuacja naruszenia obowiązujących przepisów i norm w zakresie bezpieczeństwa danych, która może doprowadzić do wycieku, zniszczenia lub kradzieży danych, w tym również danych osobowych.

W sytuacji wystąpienia incydentu naruszenia bezpieczeństwa danych pracownik zobowiązany jest:

● Niezwłocznie powiadomić przełożonego i Administratora Bezpieczeństwa Danych o zaistniałej sytuacji,
● Podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony oraz zabezpieczyć dowody umożliwiające ustalenie przyczyn oraz skutków naruszenia.

Osoba zgłaszająca incydent nie powinna podejmować żadnych działań na własną rękę, jednak w miarę możliwości powinna zabezpieczyć materiał dowodowy.

Sposoby postępowania z incydentami reguluje
Instrukcja Zarządzania Incydentami.

Kontakt
Chroń dane swoje i innych
tak jak chronisz swój portfel!

Jeśli masz pytania odnośnie ochrony danych osobowych w REMZAP porozmawiaj z:

Administrator Bezpieczeństwa Danych:
Lidia Stefaniak-Chabros
, 81 506 60 04, 665 449 503

Administrator Systemów Informatycznych:
Krzysztof Góra
, 81 473 11 08, 605 100 526

Kontakt
Dziękuję za uwagę i proszę o wypełnienie krótkiego testu.

W każdym pytaniu jest tylko jedna poprawna odpowiedź.
Po wypełnieniu testu wpisz swoje imię i nazwisko oraz naciśnij przycisk „Wyślij”.

previous arrow
next arrow