POLITYKA BEZPIECZEŃSTWA INFORMACJI
W
Kancelaria Adwokacka Magdaleny Czyszczoń
Al. Armii Krajowej 4b/7
50-541 Wrocław
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu
wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa,
dotyczącymi zasad przetwarzania i zabezpieczenia danych w kancelarii, w tym
Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej
RODO).
Definicje:
1. Administrator Danych – Kancelaria Adwokacka Magdaleny Czyszczoń, al. Armii
Krajowej 4b/7, 50 -541 Wrocław;
2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej;
3. Użytkownik – osoba upoważniona przez Administratora Danych do przetwarzania
danych osobowych;
4. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym,
dostępny według określonych kryteriów;
5. Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych osobowych,
takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie w formie tradycyjnych oraz w systemach informatycznych;
6. Hasło – ciąg znaków, literowych, cyfrowych lub innych, znany jedynie osobie
uprawnionej do pracy w systemie informatycznych w razie przetwarzania danych
osobowych w takim systemie.
I. Postanowienie ogólne
1. Polityka dotyczy wszystkich Danych Osobowych przetwarzanych w Kancelarii
Adwokackiej Magdaleny Czyszczoń, al. Armii Krajowej 4b/7, 50-541 Wrocław,
niezależnie od formy ich przetwarzania oraz od tego, czy dane są lub mogą być
przetwarzane w zbiorach danych.
2. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w
siedzibie Administratora.
3. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do
przetworzenia danych osobowych a ich wniosek, a także osobom, którym ma zostać
nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z
jej treścią.
4. Zgodnie z art. 6 ustawy z 26 maja 1982 r. Prawo o Adwokaturze Dane osobowe
przetwarzane w Kancelarii Adwokackiej Magdaleny Czyszczoń, al. Armii Krajowej
4b/7, 50-541 Wrocław, a uzyskane w związku z udzielaniem pomocy prawnej przez
adwokata , objęte są tajemnicą adwokacją. Adwokata nie można zwolnić od
obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowiedział się
udzielając pomocy prawnej lub prowadząc sprawę.
5. W zakresie przetwarzania danych pozyskanych w związku z wykonywaniem
czynności objętych tajemnicą adwokacją Administrator stosuje się do wskazanych
powyżej przepisów dotyczących zachowania tajemnicy zawodowej.
6. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
a. Odpowiednie do zagrożeń i kategorii danych objętych ochroną środki
techniczne i rozwiązania organizacyjne,
b. Kontrolę i nadzór nad Przetwarzaniem danych osobowych,
c. Monitorowanie zastosowanych środków ochrony.
7. Monitorowanie przez Administratora Danych zastosowanych środków ochrony
obejmuje m.in. działania Użytkowników, naruszenie zasad dostępu do danych,
zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz
wewnętrznymi.
8. Administrator Danych zapewnia, że czynności wykonywane w związku z
przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką
oraz odpowiednimi przepisami prawa.
II. Dane osobowe przetwarzane u administratora danych
1. Dane osobowe przetwarzane przez Administratora gromadzone są w zbiorach
danych.
2. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się
wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka praw i
wolności osób. W przypadku planowania takiego działania Administrator wykona
czynności określone w art. 35 i nast. RODO.
3. W przypadku planowania nowych czynności przetwarzania Administrator dokonuje
analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestia ochrony
danych w fazie ich projektowania.
4. Administrator danych prowadzi rejestr czynności przetwarzania. Załącznik 1.
III. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z
obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych
Polityką Bezpieczeństwa, Instrukcją Zarządzenia System Informatycznym, a także
innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem
danych osobowych, w Kancelarii Adwokackiej Magdaleny Czyszczoń, al. Armii
Krajowej 4b/7, 50-541 Wrocław.
2. Wszystkie dane osobowe w Kancelarii są przetwarzane z poszanowaniem zasad
przetwarzania przewidzianych przez przepisy prawa:
a. W każdym wypadku występuje chociaż jedna z przewidzianych przepisami
prawa podstawa dla przetwarzania danych.
b. Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
c. Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie
uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z celami.
d. Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny
dla osiągnięcia celu przetwarzania danych.
e. Dane osobowe są prawidłowe i w razie potrzeby uaktualnione.
f. Czas przetwarzania danych jest ograniczony do okresu ich przydatności do
celów, do których zostały zebrane, a po tym okresie są one usuwane.
g. Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny
zgodnie z treścią art. 13 i 14 RODO.
h. Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
3. Administrator danych nie przekazuje osobom, których dane dotyczą, informacji w
sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania
tajemnicy zawodowej.
4. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych
osobowych uważa się w szczególności:
a. Naruszenie bezpieczeństwa Systemów Informatycznych, w których
przetwarzane są dane osobowe, w razie ich przetwarzania w takich
systemach;
b. Udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom
do tego nieupoważnionym;
c. Zaniechanie, choćby umyślne, dopełnienia obowiązku zapewnienia danym
osobowym ochrony;
d. Niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz
sposobów ich zabezpieczenia;
e. Przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem
ich zbierania;
f. Spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub
nieuprawnione kopiowanie Danych osobowych;
g. Naruszenie praw osób, których dane są przetwarzane.
5. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych
osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych
kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego
powiadomienia Administratora Danych.
6. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub
zmiany warunków zatrudnienia pracowników lub współpracowników należy
dopilnowanie by:
a. Pracownicy byli odpowiednio przygotowani do wykonywania swoich
obowiązków,
b. Każdy z przetwarzających Dane osobowe był pisemnie upoważniony do
przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych
osobowych” Załącznik 2,
c. Każdy pracownik zobowiązał się do zachowania danych osobowych
przetwarzanych w kancelarii w tajemnicy Załącznik 3,
d. Pracownicy zobowiązani są do:
1) Ścisłego przestrzegania zakresu nadanego upoważnienia;
2) Przetwarzania i ochrony danych osobowych zgodnie z
przepisami;
3) Zachowania w tajemnicy danych osobowych oraz sposobów ich
zabezpieczenia;
4) Zgłaszania incydentów związanych z naruszeniem
bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem
systemu.
IV. Obszar przetwarzania danych osobowych
1. Obszar, w którym przetwarzane są Dane Osobowe na terenie Kancelarii
Adwokackiej Magdaleny Czyszczoń, al. Armii Krajowej 4b/7, 50-541 Wrocław,
obejmuje pomieszczenia biurowe zlokalizowane przy al. Armii Krajowej 4b/7,
50 – 541 Wrocław.
2. Dodatkowo obszar, w którym przetwarzane są Dane osobowe stanowią
wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza
obszarem wskazanym powyżej.
V. Określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
1. Administrator Danych zapewni zastosowanie środków technicznych i
organizacyjnych niezbędnych dla zapewnienia poufności, integralności,
rozliczalności i ciągłości Przetwarzanych danych.
2. Zastosowane środki ochrony powinny być adekwatne do stwierdzonego
poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii
danych, Środki obejmują:
a. Ograniczenie dostępu do pomieszczeń, w których
przetwarzane są dane osobowe, jedynie do osób odpowiednio
upoważnionych. Inne osobowy mogą przebywać w pomieszczeniach
wykorzystywanych do przetwarzania danych jedynie w towarzystwie
osoby upoważnionej.
b. Zamykanie pomieszczeń tworzących obszar Przetwarzania
danych osobowych na czas nieobecności pracowników, w sposób
uniemożliwiający dostęp do nich osób trzecich.
c. Wykorzystywanie zamykanych szafek do zabezpieczenia
dokumentów.
d. Wykorzystywanie niszczarki do skutecznego usuwania
dokumentów zawierających dane osobowe.
e. Wykonywanie kopii awaryjnych danych na dyskach
zewnętrznych.
f. Ochronę sprzętu komputerowego wykorzystywanego u Administratora
przed złośliwym oprogramowaniem.
g. Zabezpieczenie dostępu do urządzeń Kancelarii przy pomocy
haseł dostępu.
VI. Naruszenia zasad ochrony danych osobowych
1. W przypadku stwierdzenia naruszenia ochrony danych osobowych
Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować
ryzyko naruszenia praw lub wolności osób fizycznych.
2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko
naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt
naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt
naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki
– jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu
naruszenia. Załącznik 3
3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator
zawiadamia o incydencie także osobę, której dane dotyczą.
VII. Powierzenie przetwarzania danych osobowych
1. Administrator Danych Osobowych może powierzyć przetwarzanie danych
osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie
pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO
i tylko jeżeli są to dane, które może ujawnić bez naruszenia adwokackiej
tajemnicy zawodowej.
2. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę
możliwości uzyskuje informacje o dotychczasowych praktykach procesora
dotyczących zabezpieczenia danych osobowych.
VIII. Postanowienie końcowe
1. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu
pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów
o ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do
danych osobowych objętych tajemnicą zawodową.
2. Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące
Załączniki:
Załącznik nr 1 – Rejestr czynności przetwarzania danych osobowych
Załącznik nr 2 – Wzór do upoważnienia do przetwarzania danych osobowych
Załącznik nr 3 – Wzór Oświadczenia i zobowiązanie osoby przetwarzającej dane osobowe
Załącznik nr 4 – Wzór zgłoszenia naruszenia zasad ochrony danych do organu
nadzorczego