Klauzula RODO

Na podstawie art. 24 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1). Administrator danych osobowych wdraża niniejszy dokument o nazwie „Polityka Bezpieczeństwa Przetwarzania Danych Osobowych”.

 2.1 Użyte w niniejszym dokumencie określenia mają następujące znaczenie:
        2.1.1. Administrator danych osobowych lub Administrator lub ADO – ……..
        2.1.2. Administrator Systemu Informatycznego lub ASI – ……. 
        2.1.3. dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
        2.1.4. Dane szczególne – …..
        2.1.5. Dane zwykłe – ….
        2.1.6. Hasło – ciąg znaków literowych, cyfrowych i innych, znany jedynie użytkownikowi.
        2.1.7. Identyfikator (……) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
        2.1.8. naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
        2.1.9. odbiorca – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.
         2.1.10. ograniczenie przetwarzania – oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
         2.1.11. Osoba upoważnionej do przetwarzania danych osobowych – osoba, która upoważniona została do przetwarzania danych osobowych przez …….
         2.1.12. podmiot przetwarzający – podmiot (art. 4 pkt 8 i 28 RODO), który przetwarza dane osobowe w imieniu ADO
         2.1.13. przetwarzanie – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
         2.1.14. pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
          2.1.15. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
          2.1.16. System informatyczny – sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych, w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną ADO.
          2.1.17. Użytkownik – osoba upoważniona do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło.
          2.1.18. zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie
          2.1.19. zgoda – oświadczenie osoby, której dane dotyczą, które jest dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

2.2. Cel
Wdrożenie polityki bezpieczeństwa w …… ma na celu zabezpieczenie przetwarzanych danych osobowych. Niniejszy dokument opisuje niezbędne do uzyskania tego bezpieczeństwa procedury i zasady dotyczące przetwarzania danych osobowych oraz ich zabezpieczenia.

2.3 Zakres stosowania

         2.3.1 Niniejsza polityka bezpieczeństwa dotyczy danych osobowych przetwarzanych przez ADO oraz/w szczególności ……………….niezależnie od formy – czy to papierowej czy w systemach informatycznych czy w inny sposób.
         2.3.2 Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób wchodzących w skład personelu ADO, czy to zatrudnionych na podstawie umowy o pracę czy wykonujących swe zadania na podstawie umowy cywilnoprawnej czy też praktykantów, …….. którzy w swych czynnościach przetwarzają dane osobowe, jak również ……

3.1. ADMINISTRATOR DANYCH OSOBOWYCH

ADO działając poprzez ……. realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:
        3.1.1. Podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie, organizacji oraz technik zabezpieczenia danych osobowych.
        3.1.2. Upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym indywidualnie zakresie, odpowiadającym zakresowi jej obowiązków.
        3.1.3. Wyznacza Administratora Systemu Informatycznego oraz określa zakres jego zadań i czynności.
        3.1.4. Wyznacza ……
        3.1.5. Sprawuje nadzór nad wdrożeniem stosownych środków fizycznych, organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych.
        3.1.6. Nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom.
        3.1.7. Podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych.
        3.1.8. Podejmuje inne działania przewidziane prawem.

3.2. ADMINISTRATOR SYSTEMU INFORMATYCZNEGO 

Administrator Systemu Informatycznego realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym Administratora Danych, w tym zwłaszcza:
        3.2.1. ……
        3.2.2. …….
        3.2.3. …….
        3.2.4. Podejmuje inne działania wskazane przez ADO
Wzór oświadczenia o powołaniu ASI stanowi załącznik nr …. do Polityki Bezpieczeństwa.

3.3. OSOBA UPOWAŻNIONA DO PRZETWARZANIA DANYCH OSOBOWYCH

Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana przestrzegać następujących zasad:

        3.3.1. Może przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie przez ADO w upoważnieniu i tylko w celu wykonywania nałożonych na nią obowiązków. Zakres dostępu do poszczególnych zbiorów danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych.
        3.3.2. Musi zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia u ADO, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji.
        3.3.3. Zapoznaje się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz bierze udział w szkoleniach.
        3.3.4. Stosuje określone procedury oraz wytyczne mające na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych.
        3.3.5. Korzysta z systemu informatycznego ADO w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników.
        3.3.6. Zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym.

Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr …. do Polityki Bezpieczeństwa. Upoważnienia wydane przed dniem rozpoczęcia obowiązywania niniejszej Polityki Bezpieczeństwa zachowują ważność do momentu ich zmiany lub odwołania.

3.4 W przypadku, gdy zakres obowiązków osoby zatrudnionej u ADO danych nie obejmuje przetwarzania danych osobowych zostanie jej wydane oświadczenie o zachowaniu informacji w trakcie wykonywanych prac w poufności co stanowi załącznik nr …..

3.5 PROCEDURA WSPÓŁPRACY Z PODMIOTAMI ZEWNĘTRZNYMI 

        3.5.1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone oceną wiarygodności podmiotu przetwarzającego oraz zawarciem umowy powierzenia przetwarzania danych osobowych zgodnie z załącznikiem nr …. do niniejszej Polityki Bezpieczeństwa.
        3.5.2. Nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych ADO lub osoba upoważniona weryfikuje postępowanie podmiotów przetwarzających, z których usług korzysta lub ma zamiar skorzystać, pod względem zgodności z prawem i należytej ochrony danych osobowym.
        3.5.3. ADO prowadzi wykaz wszystkich zawartych umów przetwarzania według załącznika nr ….. 

 

5.1 ADO w przypadku zamiaru rozpoczęcia przetwarzania danych osobowych w nowym procesie, przeprowadza najpierw analizę ryzyka, zgodnie z ……., a w razie konieczności ocenę skutków w stosunku do tego procesu.
5.2 W każdym przypadku tworzenia nowego produktu lub usług pełnomocnik ADO lub ADO uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie jego projektowania i wdrażania.
5.3 ……(sposób realizacji)……

4.1 Analizę ryzyka dla …… przeprowadza ….. …….
4.2 Procedura określająca zasady szacowania ryzyka zostaje określona w załączniku nr … do niniejszej Polityki Bezpieczeństwa. Opisuje ona sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
1.1.1. Analiza ryzyka jest przeprowadzana nie rzadziej niż raz w roku i stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.
1.1.2. Na podstawie wyników przeprowadzonej analizy ryzyka, ADO wdraża sposoby postępowania z ryzykiem.
1.1.3. Jeżeli wartość ryzyka przekracza 6 punktów, należy sporządzić ocenę skutków i wdrożyć czynności minimalizujące ryzyko.
1.1.4. Personel ADO powinien zgłaszać zauważone problemy dotyczące szacowania ryzyka, w tym naruszenia, oraz propozycje rozwiązań do ASI.

W przypadku zauważenia zdarzenia, mogącego być przypadkiem naruszenia ochrony danych osobowych ……….(kto kogo informuje w jaki sposób)….

        6.1 W każdym przypadku naruszenia ochrony danych osobowych ADO lub osoba przez niego wyznaczona weryfikują, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
        6.2 ……(sposób weryfikacji)…..
        6.3 ADO w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godzin od identyfikacji naruszenia, w odpowiednim trybie.
        6.4 ADO zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia ….(kto redaguje informację, kto podpisuje, jak wysyłają…)…….
        6.5 ASI dokumentuje naruszenia, które skutkują naruszeniem praw i wolności osób fizycznych oraz wszystkie inne naruszenia związane z zabezpieczaniem i przetwarzaniem danych osobowych w systemie informatycznym.
               6.6.1 Każda osoba w przypadku stwierdzenia jakiegokolwiek zagrożenia lub naruszenia ochrony danych osobowych w systemie informatycznym, zobowiązana jest niezwłocznie poinformować o zdarzeniu ……., a ten ASI, ……, a w przypadku jego nieobecności ………
               6.6.2 *Instrukcja postępowania w przypadku naruszeń, raport wraz z protokołem oraz dziennik naruszeń stanowią załączniki nr 14, 15 i 16 do niniejszej Polityki.
               6.6.3 Każde zaistniałe naruszenie musi zostać odnotowane w dzienniku naruszeń i powinno stać się przedmiotem szczegółowej, zespołowej analizy, która powinna zawierać wszechstronną ocenę zaistniałego naruszenia, wskazanie odpowiedzialnych wniosków co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, aby w przyszłości zapobiec podobnym naruszeniom.
               6.6.4 ………(wypełnianie zaleceń wpisanych do dziennika)…..

Procedura realizacji praw osób, których dane dotyczą ADO niezwłocznie realizuje następujące prawa osób, których dane dotyczą:prawo dostępu do danych,

• prawo do sprostowania danych,
• prawo do usunięcia danych,
• prawo do przenoszenia danych,
• prawo do sprzeciwu wobec przetwarzania danych,
• prawo do niepodlegania decyzjom oparty wyłącznie na profilowaniu.

        1.1.1. Każdorazowe zgłoszenie, o którym mowa powyżej, jest kierowane do ….., który niezwłocznie określa …. i przekazuje je niezwłocznie do ……
        1.1.2. Realizacja praw, o których mowa w ustępie 1 niniejszego paragrafu, jest realizowana w terminie …….
        1.1.3. …..
        1.1.4. W przypadku realizacji prawa do sprostowania, usunięcia i ograniczenia przetwarzania danych ADO niezwłocznie informuje odbiorców danych, którym udostępnił on przedmiotowe dane, chyba że jest to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
        1.1.5. ADO odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów rozporządzenia, jednak każda odmowa realizacji praw osób, których dane dotyczą, wymaga uzasadnienia z podaniem podstawy prawnej wynikającej z rozporządzenia.

1.1.1. W każdym przypadku pobierania danych bezpośrednio od osoby, której dane dotyczą, ADO wypełnia obowiązki informacyjne, o których mowa w art. 13 RODO.
1.1.2. W każdym przypadku pobierania danych z innych źródeł niż osoba, której dane dotyczą, ADO niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której dane dotyczą, wypełnia obowiązki informacyjne, o których mowa w art. 14 RODO.
1.1.3. ADO zobowiązany jest przedłożyć każdej zatrudnionej osobie na umowę o pracę, zlecenie, czy odbywającej praktykę lub staż informację o przetwarzaniu jej danych osobowych w związku z zatrudnieniem według załącznika nr ….. do niniejszej Polityki Bezpieczeństwa.
1.1.4. …..(poszczególne sposoby – maile, strona, umowy itp)….

9.1. Obszar przetwarzania danych osobowych
        1.1.1. …….
        1.1.2. Szczegółowy wykaz …… stanowi załącznik nr ….. do Polityki Bezpieczeństwa.
9.2. Zbiory danych
        Zbiory ADO dotyczą:
….pracowników ADO obecnych i przeszłych,
        9.2.1. ……. Struktura organizacyjna ADO, w ramach której następuje przetwarzanie danych, stanowi załącznik nr …. do Polityki
Szczegółowy wykaz zbiorów danych powstałych u ADO wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych znajduje się w załączniku Nr …. do Polityki Bezpieczeństwa
9.3. Rejestr czynności przetwarzania i kategorii czynności przetwarzania
        9.3.1. ADO zobowiązany jest do prowadzenia wewnętrznego rejestru czynności przetwarzania danych osobowych według załącznika ….. 19 oraz do rejestru kategorii czynności przetwarzania danych osobowych według załącznika nr ….. do niniejszej Polityki Bezpieczeństwa.
        9.3.2. ….(sposób tworzenia)…..

10.1 Zachowanie poufności
        1.1.1. …..
10.2. ….Szkolenia w zakresie ochrony danych osobowych
        1.1.1. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest przejść szkolenie z obowiązujących obecnie przepisów z zakresu ochrony danych osobowych przez podjęcie czynności przetwarzania.
        1.1.2. Szkolenia wewnętrzne …..
        1.1.3. ….
        1.1.4. ……
        1.1.5. ……
10.3. Zabezpieczenie sprzętu
10.4. Zabezpieczenia we własnym zakresie

Każda osoba upoważniona do przetwarzania danych jest zobowiązana do:
        10.4.1. Ustawiania ekranów komputerowych tak, by osoby niepowołane nie mogły oglądać ich zawartości, a zwłaszcza nie naprzeciwko wejścia do pomieszczenia.
        10.4.2. Niepozostawiania bez kontroli dokumentów, nośników danych i sprzętu, w hotelach, samochodach i innych miejscach publicznych.
        10.4.3. Dbania o prawidłową wentylację komputerów (nie można zasłaniać kratek wentylatorów meblami, zasłonami lub stawiać komputerów tuż przy ścianie).
        10.4.4. Niepodłączania innych urządzeń do listew podtrzymujących napięcie – przeznaczonych dla sprzętu komputerowego, szczególnie tych łatwo powodujących spięcia (np. grzejniki, czajniki, wentylatory).
        10.4.5. Pilnego strzeżenia akt pracowniczych, pamięci przenośnych i komputerów przenośnych.
        10.4.6. Kasowania po wykorzystaniu danych na dyskach przenośnych.
        10.4.7. Nieużywania powtórnie dokumentów zadrukowanych jednostronnie, a zawierających dane osobowe.
        10.4.8. Niezapisywania hasła wymaganego do uwierzytelnienia się w systemie, na papierze lub innym nośniku i niepozostawianie w miejscu widocznym.
        10.4.9. Powstrzymywania się do samodzielnej ingerencji w oprogramowanie i konfigurację powierzonego sprzętu (szczególnie komputerów przenośnych), bez konsultacji z ASI.
        10.4.10. Przestrzegania przez osoby upoważnione do przetwarzania danych osobowych swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania się do zaleceń ADO.
        10.4.11. Opuszczania stanowiska pracy dopiero po włączeniu wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób.
        10.4.12. Kopiowania tylko jednostkowych danych (pojedynczych plików). Obowiązuje zakaz robienia kopii całych zbiorów danych lub takich ich części, które nie są konieczne do wykonywania obowiązków przez pracownika. Jednostkowe dane mogą być kopiowane na nośniki magnetyczne, optyczne i inne po ich zaszyfrowaniu i przechowywane w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii, dane te należy trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane.
        10.4.13. Odbierania wszelkich wydruków zawierających dane osobowe z drukarki natychmiast po zakończeniu drukowania. W przypadku gdy użytkownicy nie posiadają kodów lub kart dostępu, należy sprawdzać, czy przez przypadek nie zostaje pobrany również pozostawiony wydruk innego użytkownika.
        10.4.14. Nie wynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich z nich wypisów, nawet w postaci zaszyfrowanej, chyba że jest to niezbędne do wykonania obowiązków wynikających z umowy o pracę lub innej umowy.
         10.4.15. Wykonywania kopii roboczych danych, na których właśnie pracuje się, tak często, aby zapobiec ich utracie.
10.4.16. Kończenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego dnia, w odpowiednie obszary serwera, a następnie prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera.
        10.4.17. Niszczenia w niszczarce lub chowania do szaf zamykanych na klucz, wszelkich wydruków zawierających dane osobowe przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy.
        10.4.18. Niepozostawiania osób nieupoważnionych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności osoby upoważnionej do przetwarzania danych osobowych.
        10.4.19. W przypadku rozmów (również telefonicznych) mogących ujawnić dane osobowe w siedzibie ADO jak i poza obszarem jego siedziby należy zadbać, aby rozmowy nie były prowadzone w obecności osób nieupoważnionych do otrzymania tych informacji.
        10.4.20. Zachowania tajemnicy danych, w tym także wobec najbliższych.
        10.4.21. Chowania do zamykanych na klucz szaf wszelkich akt, zawierających dane osobowe przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy.
        10.4.22. Umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po zakończeniu dnia pracy.
        10.4.23. Zamykania okien w razie opadów czy innych zjawisk atmosferycznych, które mogą zagrozić bezpieczeństwu danych osobowych.
        10.4.24. Zamykania okien w razie opuszczania pomieszczenia, w tym zwłaszcza po zakończeniu dnia pracy.
        10.4.25. Zamykania drzwi na klucz po zakończeniu pracy w danym dniu i złożenia klucza na recepcji. Jeśli niemożliwe jest umieszczenie wszystkich dokumentów zawierających dane osobowe w zamykanych szafach, należy powiadomić o tym administratora budynku, który zgłasza firmie sprzątającej lub własnym pracownikom jednorazową rezygnację z wykonania usługi sprzątania. W takim przypadku także należy zostawić klucz na recepcji.
10.5. Postępowanie z nośnikami pamięci i ich bezpieczeństwo
10.6. Kontrola dostępu do systemu
10.7. Kontrola dostępu do sieci
10.8. Komputery przenośne i praca na odległość (zdalna)
10.9. Udostępnianie danych osobowych
10.10 Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych

11.1 Polityka powinna być poddawana przeglądowi przynajmniej raz na rok. W razie istotnych zmian dotyczących przetwarzania danych osobowych ADO może zarządzić przegląd Polityki stosownie do potrzeb.
11.2 ADO analizuje, czy Polityka Bezpieczeństwa i pozostała dokumentacja z zakresu ochrony danych osobowych jest adekwatna do:

1. Zmian w budowie systemu informatycznego.
2. Zmian organizacyjnych ADO, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych.
3. Zmian w obowiązującym prawie.

12.1. Wszelka dokumentacja w zakresie ochrony danych może być prowadzona zarówno w formie papierowej, jak i elektronicznej lub dokumentowej, chyba że w przepisach lub regulacjach wewnętrznych określono inaczej.\
12.2. Każda osoba upoważniona do przetwarzania danych osobowych, zobowiązana jest zapoznać się z niniejszym dokumentem przed dopuszczeniem do przetwarzania danych.
12.3. Integralną część niniejszej polityki stanowi Instrukcja Zarządzania Systemem Informatycznym.