POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

FORMULARZ OGÓLNY OBOWIĄZKU INFORMACYJNEGO DO DANYCH ZAWARTYCH W DOKUMENTACJI Centrum Szkoleniowo – Terapeutycznego SENS Wirginia Wrzesińska

Podmiot prowadzący działalność szkoleniową  pod firmą:

Centrum Szkoleniowo – Terapeutyczne  SENS Wirginia Wrzesińska z siedzibą w Pruszkowie ul. Powstańców 9/70, kod pocztowy: 05-800

- dalej zwana „Centrum SENS”.

Zgodnie z art. 13 ust. 1 i ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej również „RODO”), informujemy, że:

1)      administratorem Pani/Pana danych osobowych jest „Centrum SENS”.,

2)      inspektorem ochrony danych w „Centrum SENS”  jest Pani Wirginia Wrzesińska, dane kontaktowe: tel.: 733 090 988, adres e-mail: biuro@centrumsens.pl

3)      Pani/Pana dane osobowe przetwarzane będą w celach marketingowych oraz przesyłania ofert handlowych, 

4)      odbiorcą Pani/Pana danych osobowych jest „Centrum SENS”.,  

5)      Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej,

6)      posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,

7)      ma Pan/Pani prawo wniesienia skargi do organu nadzorczego, gdy uzna Pani/Pan, iż przetwarzanie dotyczących Pani/Pana danych osobowych narusza przepisy RODO,

8)      Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany, w tym nie będą podlegały profilowaniu.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

§ 1.

Celem Polityki bezpieczeństwa danych osobowych w podmiocie Centrum Szkoleniowo – Terapeutycznym SENS Wirginia Wrzesińska jest określenie zasad przetwarzania, ochrony i udostępniania danych osobowych, gromadzonych i przetwarzanych w  Centrum Szkoleniowo – Terapeutycznym SENS Wirginia Wrzesińska zwanym dalej również „Centrum SENS”, oraz nadzoru nad procesem przetwarzania tych danych.

§ 2.

Polityka bezpieczeństwa danych osobowych w Centrum Szkoleniowo – Terapeutycznym SENS Wirginia Wrzesińska obowiązuje wszystkie osoby realizujące jakiekolwiek zadania w Centrum SENS lub na zlecenie Centrum SENS, niezależnie od podstawy wykonywania tych zadań.

§ 3.

Polityka niniejsza opracowana została w oparciu o przepisy:

1)      ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej zwane również „RODO”,

§ 4.

Instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, stanowi załącznik nr 1 do niniejszej Polityki.

§ 5.

1. Użyte w niniejszej Polityce określenia oznaczają:

1)      Polityka bezpieczeństwa lub Polityka – niniejszy dokument opisujący stosowane w PL zasady ochrony danych osobowych,

2)      Administrator danych – Centrum SENS,

3)      IOD – inspektor ochrony danych w rozumieniu art. 37 – 39 RODO,

4)      Rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

1. W przypadkach, w których Administrator danych – na podstawie przepisów RODO – nie jest do tego zobowiązany i nie powoła lub nie wyznaczy IOD, zadania, które są przewidziane dla IOD w Polityce oraz w RODO, realizuje Administrator danych lub inna osoba przez niego wyznaczona.

§ 6.

1. I.                    Zadania Administratora danych.
   1. Administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
   2. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były:

1)      przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

2)      zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);

3)      adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

4)      prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

5)      przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);

6)      przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

1. Administrator danych wyznacza IOD w przypadkach, w których RODO wprowadza taki obowiązek, lub w sytuacji, gdy sam uzna to za konieczne.
2. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych. Osoby te są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.
3. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

1. II.                  Zadania IOD
2. IOD powołany przez Centrum SENS odpowiada za bezpieczeństwo systemu informatycznego, w którym przetwarzane są dane osobowe.
3. Do obowiązków IOD należy:

1)      Wykonywanie zadań określonych w RODO, a w szczególności w przepisach art. 39 ust. 1 RODO,

2)      nadzór nad przestrzeganiem Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

3)      nadzór i kontrola systemów informatycznych służących do przetwarzania danych osobowych i osób przy nim zatrudnionych,

4)      nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe,

5)      nadzór nad wykorzystanym w placówce oprogramowaniem oraz jego legalnością,

6)      przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe,

7)      podejmowanie odpowiednich działań w celu właściwego zabezpieczania danych,

8)      badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych,

9)      podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystanego do przetwarzania danych osobowych,

10)  nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, zawierających dane osobowe,

11)  definiowanie haseł dostępu,

12)  aktualizowanie oprogramowania antywirusowego i innego, chyba, że aktualizacje te wykonywane są automatycznie,

13)  sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,

14)  zapewnienie ochrony i bezpieczeństwa danych osobowych znajdujących się w systemie informatycznym Centrum SENS oraz w tradycyjnych zbiorach danych, ze szczególnym uwzględnieniem dokumentacji medycznej,

15)  podejmowanie, zgodnie z Polityką, stosownych działań w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym oraz danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,

16)  zapewnienie fizycznego bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna,

17)  zapewnienie bezpieczeństwa funkcjonowania wszystkich urządzeń pracujących w systemie,

18)  zapewnienie dostępu do systemu wyłącznie dla osób uprawnionych.

1. IOD prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera:

a)      imię i nazwisko osoby upoważnionej,

b)      datę nadania i ustania upoważnienia,

c)      podpis osoby upoważnionej, potwierdzający zapoznanie się ze wszystkimi dokumentami regulującymi bezpieczeństwo przetwarzania danych osobowych w Centrum SENS.

1. III.                Zadania pracowników i współpracowników Centrum SENS
2. Wszyscy pracownicy i współpracownicy Centrum SENS (dalej łącznie zwani „pracownikami”) mają obowiązek przestrzegać postanowień zawartych w niniejszej Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym.
3. Przed dopuszczeniem do pracy przy przetwarzaniu danych osobowych, każdy pracownik zobowiązany jest do zapoznania się z przepisami dotyczącymi ochrony danych osobowych, w tym z niniejszą Polityką. Fakt zapoznania się zostaje potwierdzony osobiście podpisanym oświadczeniem. Oświadczenie podlega włączeniu do akt pracownika lub dokumentów związanych z inna podstawą świadczenia usług w Centrum SENS.
4. Pracownicy zobowiązani są dbać o bezpieczeństwo powierzonych im do przetwarzania, archiwizowania lub przechowywania danych zgodnie z obowiązującą w placówce Polityką bezpieczeństwa, w tym między innymi:

1)      chronić dane przed dostępem osób nieupoważnionych,

2)      chronić dane przed przypadkowym zniszczeniem, utratą lub modyfikacją,

3)      chronić wszelkie nośniki zawierające dane osobowe, w szczególności nośniki magnetyczne, optyczne, nośniki pamięci półprzewodnikowej oraz wszelkiego rodzaju druki i wydruki, przed dostępem osób nieupoważnionych oraz przed przypadkowym zniszczeniem,

4)      utrzymywać w tajemnicy hasła, częstotliwość ich zmiany oraz szczegóły technologiczne, także po ustaniu zatrudnienia w Centrum SENS.

1. Zabrania się pracownikom:

1)      ujawniać dane, w tym dane osobowe zawarte w obsługiwanych systemach,

2)      kopiować bazy danych lub ich części bez wyraźnego upoważnienia,

3)      przetwarzać dane w sposób inny, niż wynikający z obowiązujących przepisów prawa.

1. Pracownicy zobowiązani są do udzielania pomocy IOD oraz do realizowania jego zaleceń przy wykonywaniu zadań dotyczących ochrony danych osobowych.
2. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych lub rażące nienależyte wykonanie zobowiązania, w szczególności przez osobę, która wobec naruszenia nie powiadomiła o tym IOD.

§ 7.

1. Polityka niniejsza dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Centrum SENS we wszelkiego rodzaju kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji PL.
2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych), stanowi załącznik nr 2 do Polityki.
3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów komputerowych zastosowanych do przetwarzania danych (w przypadku zbiorów danych prowadzonych w wersji elektronicznej), stanowi załącznik nr 3 do Polityki.

§ 9.

1. Dane osobowe przetwarzane w systemach informatycznych przechowywane są na serwerach udostępnianych Centrum SENS przez podmiot świadcząc usługę informatyczną.
2. W odniesieniu do danych osobowych pracowników i współpracowników Centrum SENS ich przetwarzanie może być prowadzone – na podstawie odrębnej umowy o powierzenie przetwarzania danych osobowych – z wykorzystaniem specjalistycznego oprogramowania będącego w dyspozycji wyspecjalizowanej firmy, która na zlecenie Centrum SENS prowadzi obsługę rachunkowo-księgową Centrum SENS.

§ 10.

1. Zdarzenia naruszające bezpieczeństwo danych osobowych lub grożące takim naruszeniem dzielą się na:

1)      zagrożenia losowe zewnętrzne (np. pożar, powódź, brak zasilania itp.), które mogą prowadzić do utraty integralności danych, zniszczenia i uszkodzenia infrastruktury technicznej systemu oraz zakłócenia ciągłości jego pracy,

2)      zagrożenia losowe wewnętrzne (np. pomyłki pracowników, IOD, awarie sprzętowe, błędy oprogramowania itp.), które mogą prowadzić do zniszczenia danych, zakłócić ciągłość pracy systemu, powodować naruszenie poufności danych, integralności danych oraz ich prawidłowości,

3)      zagrożenia zamierzone, świadome i celowe, które polegać mogą na nieuprawnionym dostępie do systemu z jego wnętrza, nieuprawnionym przekazie danych, pogorszeniu jakości sprzętu i oprogramowania, bezpośrednim zagrożeniu materialnych składników systemu.

1. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia ochrony danych osobowych, w tym zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to w szczególności:

1)      sytuacje losowe, nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (np. pożar, zalanie pomieszczeń, katastrofa budowlana, itp.),

2)      rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji, w tym danych osobowych (np. prace na danych osobowych w celach prywatnych, nie zamknięcie pomieszczenia, w którym znajduje się komputer lub urządzenie albo element wyposażenia do przechowywania danych osobowych, w szczególności dokumentacji medycznej, itp.),

3)      niewłaściwe parametry środowiska, w którym pracuje sprzęt komputerowy (np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych itp.),

4)      awaria sprzętu lub oprogramowania albo urządzenia lub elementu wyposażenia do przechowywania danych osobowych, w szczególności dokumentacji medycznej, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia zabezpieczeń lub ochrony danych, a także niewłaściwe działanie serwisu,

5)      jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie,

6)      naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie,

7)      próba modyfikacji lub modyfikacja danych albo zmiana w strukturze danych bez odpowiedniego upoważnienia,

8)      niedopuszczalna manipulacja danymi osobowymi w systemie,

9)      ujawnienie osobom nieupoważnionym danych osobowych lub procedury przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń,

10)  odstępstwa od założonego rytmu pracy wskazujące na złamanie lub zaniechanie ochrony danych osobowych, w tym praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywych nieautoryzowanych próbach logowania, itp.,

11)  istnienie nieautoryzowanych kont dostępu do danych.

§ 11.

1. Podstawowym sposobem zabezpieczenia danych przetwarzanych w systemie informatycznym i dostępu do nich jest system definiowania loginów i haseł osób upoważnionych do przetwarzania danych osobowych. Są to zabezpieczenia programowe (logiczne) wmontowane w eksploatowane systemy uniemożliwiające dostęp do systemu osobom nieupoważnionym.
2. Podstawowym sposobem zabezpieczenia danych przetwarzanych w formie tradycyjnej, tj. na papierowych nośnikach danych, w tym dokumentacji szkoleniowej, jest ograniczenie dostępu do niej za pomocą elementów zabezpieczeń fizycznych (ograniczenie dostępu do pomieszczeń i szaf lub innego wyposażenia biurowego, w których przechowywane są te dokumenty).
3. Zalogowanie się do systemu informatycznego wymaga podania loginu i hasła, które sa w posiadaniu Administratora.
4. IOD ma dostęp do wszystkich loginów i haseł stosowanych przez wszystkich pracowników.
5. Hasła systemowe powinny być zmieniane nie rzadziej, niż co 90 dni[1].
6. Na każdym komputerze pracującym w systemie, który posiada dostęp do Internetu, jest zainstalowany odpowiedni program antywirusowy.
7. Wydruki zawierające dane osobowe powinny znajdować się w miejscu, które uniemożliwia dostęp osobom postronnym.

§ 12.

1. Przed rozpoczęciem pracy użytkownik ma obowiązek sprawdzić, czy stan urządzenia (komputer lub pomieszczenia i urządzenia do przechowywania danych na papierowych nośnikach) nie wskazuje na naruszenie lub próbę naruszenia danych osobowych.
2. Użytkownicy mogą zakończyć pracę po wylogowaniu się z systemu. Osoby te są obowiązane do wylogowania się z sytemu także w przypadku czasowego opuszczenia stanowiska pracy.
3. W przypadku wykrycia korzystania z danych osobowych przez osoby nieuprawnione lub naruszenia zabezpieczeń dostępu do systemu, każdy kto stwierdził powyższe naruszenie, winien o tym powiadomić niezwłocznie IOD.

§ 13.

1. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

1)      likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie,

2)      przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie,

3)      naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie, albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora danych lub w inny sposób gwarantujący zachowanie poufności tych danych.

1. Wydruki zawierające dane osobowe po ich wykorzystaniu są niszczone w sposób uniemożliwiający odczytanie znajdujących się na nich danych.

§ 14.

1. Każda osoba wykonująca jakiekolwiek zadania w Centrum SENS, która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony danych osobowych, zobowiązana jest niezwłocznie informować o tym IOD i Administratora danych.
2. Obowiązek, o którym mowa w ust. 1, dotyczy także sytuacji, gdy stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci (w odniesieniu do elektronicznych zbiorów danych) mogą wskazywać na naruszenie zabezpieczeń tych danych.
3. Osoba wykonująca jakiekolwiek zadania przy przetwarzaniu danych osobowych, która uzyskała informację lub sama stwierdziła naruszenie zabezpieczenia bazy danych osobowych w systemie informatycznym lub naruszenie zabezpieczenia zbioru danych przetwarzanych na papierowych nośnikach, zobowiązana jest niezwłocznie powiadomić o tym IOD, a przypadku jego nieobecności, Administratora danych.
4. IOD w pierwszej kolejności powinien:

1)      ustalić wszelkie okoliczności związane z tym zdarzeniem, w szczególności dokładny czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas samodzielnego wykrycia tego faktu,

2)      niezwłocznie wygenerować i wydrukować (jeżeli zasoby systemu na to pozwalają) wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem, przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, a zwłaszcza do określenia skali naruszeń i metody dostępu do danych osobowych nieuprawnionej osoby.

1. Po wykonaniu ww. czynności, należy niezwłocznie podjąć dalsze odpowiednie kroki w celu powstrzymania lub ograniczania dostępu do danych osoby nieuprawnionej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów jej ingerencji, w szczególności przez:

1)      fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie nieuprawnionej, w szczególności poprzez dostęp z zewnątrz,

2)      przejściowe ograniczenie dostępu dla niektórych osób do danych osobowych przetwarzanych na papierowych nośnikach, w tym do dokumentacji medycznej, oraz dokonanie weryfikacji uprawnień do przetwarzania takich danych osobowych, jak również sprawdzenia i weryfikacji ustalonych zasad obiegu dokumentów, zawierających dane osobowe,

3)      zmianę hasła do konto, poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby włamania.

1. Po wyeliminowaniu bezpośredniego zagrożenia IOD powinien przeprowadzić wstępną analizę stanu systemu informatycznego, w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych.
2. W tym celu IOD powinien sprawdzić w szczególności:

1)      stan urządzeń wykorzystywanych do przetwarzania danych osobowych,

2)      zawartość zbioru danych osobowych,

3)      sposób działania programu,

4)      jakość komunikacji w sieci,

5)      możliwość obecności wirusów komputerowych.

1. Po dokonaniu czynności, o których mowa powyżej, IOD powinien przeprowadzić szczegółową analizę stanu systemu informatycznego obejmującego identyfikację:

1)      rodzaju zaistniałego zdarzenia,

2)      metody dostępu do danych osoby nieuprawnionej,

3)      skali zniszczeń.

1. Po przywróceniu normalnego stanu działania systemu przetwarzania danych osobowych, jeżeli nastąpiło uszkodzenie bazy danych lub zbioru tradycyjnego, niezbędne jest odtworzenie jej z dostępnych źródeł, w tym z ostatniej kopii zapasowej, z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego dostępu tą samą drogą przez osobę nieuprawnioną.
2. Po przywróceniu właściwego stanu bazy danych osobowych, należy przeprowadzić szczegółową analizę przyczyny naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. Jeśli przyczyną był:

1)      błąd osoby wykonującej jakiekolwiek zadania przy przetwarzaniu danych osobowych w systemie informatycznym, należy przeprowadzić szkolenie osób biorących udział przy przetwarzaniu danych,

2)      uaktywnienie wirusa, należy ustalić źródło jego pochodzenia oraz zainstalować zabezpieczenia antywirusowe lub sprawdzić stan istniejących zabezpieczeń,

3)      zaniedbanie ze strony osoby wykonującej jakiekolwiek zadania przy przetwarzaniu danych osobowych, należy wyciągnąć odpowiednie konsekwencje,

4)      włamanie w celu uzyskania bazy danych osobowych, należy dokonać szczegółowej analizy wdrożonych środków zabezpieczających w celu zapewnienia skutecznej ochrony danych osobowych,

5)      zły stan urządzenia, w tym urządzenia do przechowywania danych utrwalonych na papierowych nośnikach, lub sposób działania programu, należy niezwłocznie przeprowadzić kontrolne czynności serwisowe.

1. IOD zobowiązany jest przygotować szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia
2. Raport ten IOD niezwłocznie przekazuje Administratorowi danych, a w przypadku jego nieobecności osobie uprawnionej przez Administratora danych.

§ 15.

1. Rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 RODO, stanowi załącznik nr 4 do Polityki.
2. Rejestr, o którym mowa w ust. 1, ma formę pisemną oraz formę elektroniczną.

§ 16.

1. Rejestr wszystkich kategorii czynności przetwarzania dokonywanych przez pracowników w imieniu Administratora danych, o którym mowa w art. 30 ust. 2 RODO, stanowi załącznik nr 5 do Polityki.
2. Rejestr, o którym mowa w ust. 1, ma formę pisemną oraz formę elektroniczną.

§ 17.

Rejestr przypadków naruszenia lub podejrzenia naruszenia bezpieczeństwa przetwarzania danych osobowych, o którym mowa w art. 33 ust. 5 RODO, stanowi załącznik nr 6 do Polityki.