POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
obejmująca rejestr czynności przetwarzania danych osobowych
Małopolskiej Spółdzielni Handlowej „WIZAN”
przyjęta w dniu 01.03.2019r
ROZDZIAŁ Ogólne zasady bezpieczeństwa
Preambuła
Niniejsza polityka bezpieczeństwa danych osobowych określasposób przetwarzania danych osobowych przez Małopolską Spółdzielnię Handlową „WIZAN” jako administratora danych osobowych - w tym:
nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
cele przetwarzania;
opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);
jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych których dane dotyczą.
Niniejsza polityka bezpieczeństwa danych osobowych określa także sposób przetwarzania danych osobowych przez Małopolską Spółdzielnię Handlową „WIZAN” jako podmiot przetwarzający – w tym:
imię i nazwisko lub nazwę oraz dane kontaktowe każdego administratora lub podmiotu przetwarzającego, w imieniu którego Małopolska Spółdzielnia Handlowa „WIZAN” działa jako odpowiednio podmiot przetwarzający lub dalszy podmiot przetwarzający.
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych których dane dotyczą.
Zasadnicze zasady w zakresie przetwarzania danych osobowych określają następujące akty prawne:
rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej nr L 119/1 z 4.5.2016; dalej: RODO)
ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.1000. 18 dalej: ustawa o ochronie danych osobowych, u.o.d.o.),
Polityka bezpieczeństwa danych osobowych powinna być poddawana bieżącej aktualizacji, ale nie rzadziej niż raz do roku.
W przypadku, gdyby postanowienia Polityki okazały się z jakichkolwiek względów sprzeczne z powszechnie obowiązującym prawem – stosuje się przepisy prawa, z pominięciem postanowień Polityki.
Podstawowe definicje
Administrator Danych Osobowych, Administrator Danych (ADO) – osoba ustalająca cele i sposoby przetwarzania danych osobowych - którą jest Małopolska Spółdzielnia Handlowa „WIZAN” z siedzibą w Andrychowie przy ul. Legionów 7 wpisana przez Sąd Rejonowy w dla Krakowa – Śródmieścia w Krakowie Wydział XII Gospodarczy KRS do rejestru przedsiębiorców KRS pod nr 0000133092 NIP: 551-000-74-75 Regon: 000355476
Administrator Bezpieczeństwa (AB) – osoba wyznaczona przez ADO, odpowiedzialna za zapewnianie, aby przetwarzanie danych osobowych przez ADO odbywało się zgodnie z przepisami o ochronie danych osobowych. Szczegółowy zakres obowiązków AB określa niniejsza Polityka. AB nie jest inspektorem ochrony danych, o którym mowa w art. 37 i nast. RODO, w związku z czym ADO nie ma obowiązku publikacji jego danych lub zawiadomienia o nich Organu Nadzorczego.
Administrator Systemów Informatycznych (ASI) – wyznaczona przez ADO osoba, odpowiedzialna za funkcjonowanie infrastruktury informatycznej, na którą składa się cały sprzęt informatyczny oraz systemów i aplikacji informatycznych, za ich przeglądy, konserwację oraz za stosowanie technicznych i organizacyjnych środków bezpieczeństwa w systemach informatycznych. Szczegółowy zakres obowiązków ASI określa niniejsza Polityka.
Dane osobowe –informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane biometryczne - dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
Dane dotyczące zdrowia - dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
Nadzorca zasobów danych osobowych (NZDO) – osoba kierująca komórką organizacyjną, odpowiedzialna za ochronę danych osobowych przetwarzanych w podległej komórce. Szczegółowy zakres obowiązków NZDO określa niniejsza Polityka.
Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Organ Nadzorczy–Prezes Urzędu Ochrony Danych Osobowych.
Odbiorca danych – osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.
Podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Polityka, Polityka bezpieczeństwa – niniejsza Polityka bezpieczeństwa danych osobowych.
Profilowanie - dowolna formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Pseudonimizacja - przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
Strona trzecia -osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
Zbiór danych - uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
Zgoda, Zgoda osoby, której dane dotyczą- dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Obowiązki Administratora Danych Osobowych
ADO zobowiązany jest zapewnić w szczególności, aby dane osobowe były:
przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
prawidłowe i w razie potrzeby uaktualniane („prawidłowość”);
przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
ADO powinien być w stanie wykazać przestrzeganie zasad określonych w pkt. 3.1 powyżej („rozliczalność”).
ADO może realizować swe obowiązki za pośrednictwem upoważnionych osób, w tym zwłaszcza AB, ASI lub NZDO. Wyznaczenie może nastąpić w szczególności poprzez złożenie oświadczenia według wzorów stanowiących załącznik do niniejszej Polityki (zob. zał. nr 3).
W przypadku, gdy niniejsza Politykaprzewiduje, iż obowiązki ADO stanowią jednocześnie obowiązkiosób wskazanych w pkt. 3.3 - należy to rozumieć jako równoznaczne z udzieleniem przez ADO odpowiedniego upoważnienia danej osobie.
Zgodność z prawem
W ramach obowiązku zapewnienia zgodności z prawem przetwarzania danych osobowych, ADO powinien przetwarzać dane osobowe wyłącznie w przypadku, gdy istnieje ku temu podstawa.
Podstawa przetwarzania danych osobowych istnieje jeśli:
osoba, której dane dotyczą wyraziła Zgodę na przetwarzanie swoich danych osobowych w danym celu lub
jest to niezbędne do:
wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy lub
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej lub
wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Przetwarzanie danych osobowych wrażliwych, w tym zwłaszcza danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia – jest dopuszczalne wyłącznie na warunkach określonych w powszechnie obowiązujących przepisach (w tym zwłaszcza art. 9 RODO).
Rzetelność, przejrzystość i prawidłowość
W ramach obowiązku zapewnienia rzetelności i przejrzystości przetwarzania danych – ADO powinien:
w przypadku pozyskania danych osobowych od osób, których dane te dotyczą – udzielać owym osobominformacji, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, o:
tożsamości i danych kontaktowych ADO,
celu i podstawie prawnej przetwarzania danych,
okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu,
prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
prawie wniesienia skargi do organu nadzorczego,
tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
Gdy ma to zastosowanie, informacja wskazana w punkcie poprzedzającym powinna obejmować informacje:
o prawie do cofnięcia Zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
jakie prawnie uzasadnione interesy ADO lub strona trzecia realizuje w związku z przetwarzaniem danych,
o odbiorach lub kategoriach odbiorów danych osobowych,
o zautomatyzowanym podejmowaniu decyzji, w tym o Profilowaniu.
informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
w przypadku pozyskiwania danych osobowych nie od osób, których dane dotyczą – udzielać w rozsądnym terminie, nie później niż w ciągu miesiąca, informacji wskazanych w pkt. 5.1.1 i 5.1.2 powyżej, uzupełnionych dodatkowo o wskazanie:
kategorii odnośnych danych osobowych
źródła pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
ADO na żądanie osoby, której dane dotyczą:
dostarcza jej kopię danych podlegających przetwarzaniu wraz z informacją o której mowa w art. 15 RODO.
dokonuje sprostowania danych nieprawidłowych
usuwa lub ogranicza przetwarzanie danych osobowych – w przypadku, gdy zgłoszone żądanie jest uzasadnione, w szczególności z uwagi na brak podstawy do dalszego przetwarzania danych przez ADO (np. w związku z cofnięciem Zgody) lub skuteczne wniesienie sprzeciwu. Ograniczenie przetwarzania powinno nastąpić w szczególności na okres niezbędny celem zbadania zasadności żądania usunięcia danych albo gdy osoba której dane dotyczą sprzeciwia się ich usunięciu.
przekazuje jej dane osobowe, które dostarczyła ADO, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego – pod warunkiem, że przetwarzanie odbywa się w sposób zautomatyzowany, na podstawie Zgody lub celem wykonania zawartej umowy. Stosownie do żądania dane powinny zostać przekazane wnioskodawcy lub innemu administratorowi.
ADO uwzględni sprzeciw, o którym mowa w pkt. 5.1.1 lit. d powyżej w przypadku, gdy jest on uzasadniony szczególną sytuacją osoby której dane dotyczą (art. 21 ust. 1 RODO) lub dotyczy przetwarzania danych osobowych na potrzeby marketing bezpośredniego (art. 21 ust. 2 RODO).
ADO informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
Jeżeli ADO ma obowiązek usuną
dane osobowe, które wcześniej upublicznił, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje („prawo do bycia zapomnianym”).
W przypadku gdy w związku z prowadzoną działalnością ADO wydaje decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym Profilowaniu, ADO wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.ADO zwolniony jest z powyższych obowiązków w przypadkach przewidzianych prawem. W szczególności ADO nie musi podawać powyższych informacji, gdy osoba, której dane dotyczą, już nimi dysponuje. Tym niemniej zaleca się podawanie tych informacji we wszystkich sytuacjach, w których jest to możliwe, w tym zwłaszcza w ramach prowadzenia działalności online, pozyskiwania zgód, zawierania umów, etc. Wzór pisma obejmującego informacje, o których mowa powyżej, stanowi załącznik do niniejszej Polityki (zał. nr 2).
Integralność i poufność danych, ocena skutków
W ramach obowiązku zapewnienia integralności i poufności danych osobowych, ADO powinien wdrożyć odpowiednie środki techniczne i organizacyjne, zabezpieczające dane przed zmianą, utratą, uszkodzeniem lub zniszczeniem – przy czym:
rodzaj owych środków należy określić uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania.W stosownym przypadku zapewnić należy zwłaszcza:
pseudonimizację i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Określenie środków bezpieczeństwa danych powinno zostać dokonane zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania. Środki powinny być poddawane przeglądom i uaktualniane (data protection by design).
Należy zapewnić, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (data protection by default).
Zastosowane środki bezpieczeństwa powinny, przy uwzględnieniu czynników wskazanych w pkt. 6.1.1 powyżej, uwzględniać w szczególności zagrożenia wystąpienia:
sytuacji losowych - takich jak klęski żywiołowe (pożary, powodzie), ekstremalne czynniki środowiskowe (np. temperatura, wilgotność powietrza itd.), zamachy terrorystyczne.
czynów zabronionych, podejmowanych przez pracowników lub osoby trzecie (np. kradzież, podsłuch, naruszenie środków bezpieczeństwa systemów informatycznych),
błędów pracowników (np. dopuszczenie do przetwarzania danych osobowych osób nieuprawnionych),
awarie sprzętu - spowodowane w szczególności zastosowaniem niewłaściwych urządzeń, brakiem prawidłowego serwisowania, starzeniem się nośników ponad datę wskazaną przez producenta itd.
awarie oprogramowania - spowodowane w szczególności zastosowaniem oprogramowania niezatwierdzonego, brakiem regularnych aktualizacji lub serwisowania itd.
Ogólny opis środków bezpieczeństwa, stosowanych przez ADO, został zawarty w specyfikacji środków bezpieczeństwa stanowiącej załącznik do niniejszej Polityki (zał. nr 1). W ocenie ADO zastosowane środki, przy uwzględnieniu ich efektywności, są wystarczające dla zabezpieczenia danych przez ryzykami wskazanymi w pkt. 6.1.
ADO zapewnia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. W tym celu ADO:
dopuszcza do przetwarzania danych wyłącznie osoby przeszkolonej i posiadającej upoważnienie - udzielone zgodnie ze wzorem stanowiącym załącznik do niniejszej Polityki (zob. zał. nr 4),
prowadzi ewidencję osób upoważnionych stanowiącą załącznik do niniejszej Polityki (zob. zał. nr 5).
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych stosownie do postanowień art. 35 i n. RODO (DPIA - Data Protection Impact Assessment).
W ocenie ADO, sposoby przetwarzania danych osobowych na dzień wejścia w życie Polityki nie uzasadniają przeprowadzenia ww. oceny, w szczególności z uwagi na to że:
ADO zasadniczo nie przetwarza danych osobowych z użyciem nowych technologii, rozumianych jako technologie które weszły do powszechnego zastosowania nie wcześniej niż w ciągu ostatnich 2 lat.
ADO nie dokonuje systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną.
ADO nie dokonuje przetwarzania na dużą skalę danych wrażliwych, o których mowa w art. 9 ust. 1 RODO (w tym: danych biometrycznych lub danych dotyczących zdrowia).
ADO nie dokonuje systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Administrator Bezpieczeństwa– AB
ADO w wyniku przeprowadzonej analizy stwierdził, że nie zachodzą przesłanki obligatoryjnego powołania inspektora ochrony danych, o których mowa w art. 37 ust. 1 RODO, w tym zwłaszcza:
ADO nie jest organem administracji publicznej.
główna działalność ADO nie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – w szczególności poprzez stosowanie Profilowania;
główna działalność ADO nie polega na przetwarzaniu na dużą skalę danych wrażliwych, o których mowa w art. 9 RODO (w tym: danych biometrycznych lub danych dotyczących zdrowia).
- co szczegółowo uzasadniono w analizie stanowiącej załącznik nr 11 do niniejszej Polityki (zob. zał. nr 11).
W związku z powyższym, ADO odstępuje od powołania inspektora ochrony danych, a w to miejsce powołuje Administratora Bezpieczeństwa – którego prawa i obowiązki w sposób wyczerpujący określa niniejsza Polityka wraz z powołanymi w jej treści dokumentami.
Obowiązki AB obejmują:
zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Polityce lub powszechnie obowiązujących przepisach, a także informowanie władz ADO o treści oraz zmianach w zakresie owych obowiązków i wszelkich wykrytych nieprawidłowościach,
udzielanie i cofanie upoważnień do przetwarzania danych osobowych, a także prowadzenie i aktualizacja ewidencji owych osób, a także ewidencji urządzeń (nośników pamięci) przenośnych,
zawieranie umów powierzenia danych osobowych – tam, gdzie jest to konieczne,
zapewnienie złożenia przez pracowników oświadczenia o znajomości przepisów o ochronie danych osobowych oraz zobowiązania do zachowania w tajemnicy danych osobowych oraz informacji na temat zabezpieczania danych osobowych,
nadzorowanie procesów związanych z przetwarzaniem danych osobowych, realizowanych w obrębie struktury organizacyjnej ADO, w tym:
obiegu oraz przechowywania dokumentów zawierających dane osobowe;
fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w tym dostępu do tych pomieszczeń oraz kontrolę przebywających w nich osób;
sposobu zabezpieczenia urządzeń przenośnych, na których przechowywane są dane osobowe;
sposobu postępowania z nośnikami danych, przeznaczonymi do likwidacji, przekazania podmiotowi nieuprawnionemu do przetwarzania danych lub naprawy;
nadzorowanie ASI oraz NZDO, a także wszelkich osób mających dostęp do danych osobowych przetwarzanych przez ADO – w zakresie realizacji ich zadań związanych z ochroną danych osobowych,
organizowanie szkoleń pracowników z zakresu bezpieczeństwa przetwarzania danych osobowych,
reprezentowanie ADO w kontaktach z Organem Nadzoru, w tym zwłaszcza w związku z prowadzonymi przez Organ Nadzoru kontrolami, postępowaniami administracyjnymi, a także przy konsultacjach oceny skutków planowanego przetwarzania dla ochrony danych osobowych, przy zgłaszaniu przypadków naruszeń ochrony danych osobowych itd.,
reprezentowanie ADO w kontaktach z osobami, których dane dotyczą – co obejmuje zwłaszcza pełnienie nadzoru nad przesyłaniem stosownych informacji owym osobom oraz udzielanie odpowiedzi na ich żądania związane z przetwarzanymi przez ADO danymi osobowymi.
opracowanie, aktualizację i przechowywanie niniejszej Polityki wraz z załącznikami oraz powiązanej z nim dokumentacji, obejmującej zwłaszcza:
niniejsza Polityka wraz z aneksami, wersjami archiwalnymi itd.,
uchwały, zarządzenia, polityki itd. dotyczące ochrony danych osobowych,
protokoły z przeprowadzonych kontroli wewnętrznych i zewnętrznych w zakresie ochrony danych osobowych,
raporty odnoszące się do stwierdzonych przypadków naruszeń ochrony danych osobowych,
oceny skutków przetwarzania dla ochrony danych osobowych,
plany archiwizacji danych osobowych i programów służących do ich przetwarzania,
umowy zawierane z podmiotami przetwarzającymi w przedmiocie powierzenia danych.
Podczas realizacji swych zadań, AB ma prawo do:
uzyskiwania wszelkich informacji dotyczących przetwarzanych danych osobowych od wszystkich komórek organizacyjnych.
kontrolowania komórek organizacyjnych pod kątem właściwego zabezpieczenia pomieszczeń oraz systemów informatycznych, w których przetwarzane są dane,
proponowania ADO rozwiązań dotyczących ochrony danych osobowych,
wydawania poleceń kierownikom komórek organizacyjnych w zakresie bezpieczeństwa danych osobowych,
żądania od wszystkich pracowników udzielenia wyjaśnień i pomocy w sytuacjach naruszenia bezpieczeństwa danych osobowych lub w związku z nieprawidłowościami lub zagrożeniami związanymi z ochroną danych osobowych.
wnioskowania o ukaranie osób winnych naruszenia przepisów i zasad dotyczących ochrony danych osobowych.
Administrator Systemu Informatycznego – ASI
ADO celem zapewnienia AB pomocy w zakresie zabezpieczenia danych osobowych za pomocą środków informatycznych – może wyznaczyć Administratora Systemów Informatycznych (ASI).
Obowiązki ASI obejmują w szczególności:
zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Politycelub powszechnie obowiązujących przepisach, w szczególności w zakresie informatycznych środków zabezpieczenia danych osobowych – i współdziałanie w tym celu z AB,
zapewnienie prawidłowego, ciągłegodziałaniasystemów, za pośrednictwem których przetwarzane są dane osobowe, a także zgodności przedmiotowych systemów z niniejszą Polityką oraz obowiązującymi standardami w zakresie bezpieczeństwa informacji,
zapewnienie takiej konfiguracji systemów, która będzie optymalna z punktu widzenia umożliwienia ADO wykonywania obowiązków wynikających z niniejszej Polityki oraz przepisów o ochronie danych osobowych,
zabezpieczenie systemów przed:
działaniem złośliwego oprogramowania, w tym zwłaszcza oprogramowania mającego na celu bezprawne uzyskanie dostępu do danych osobowych przez osoby trzecie;
wszelkimi zagrożeniami pochodzącymi z sieci publicznej;
nadzorowanie:
wykonywania kopii zapasowych, odpowiedniego ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych osobowych w przypadku awarii systemu;
napraw, konserwacji oraz likwidacji nośników danych osobowych ( w tym: urządzeń zawierających takie nośniki, jak np. komputery, telefony itd.);
stosowania zasady czystego ekranu, polegającej w szczególności na blokowaniu dostępu do urządzeń, za pomocą których możliwe jest uzyskanie dostępu do danych osobowych, na czas nieobecności użytkownika;
zapewnienie:
ochrony fizycznej serwerowni, a także nośników zawierających kopie zbiorów danych osobowych;
awaryjnego źródła zasilania oraz zabezpieczenia przed zakłóceniami w sieci zasilającej systemów informatycznych służących do przetwarzania danych osobowych;
realizację wytycznych AB w zakresie ochrony danych osobowych przetwarzanych z wykorzystaniem środków informatycznych,
informowanie AB o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych,
szkolenia użytkowników systemu w zakresie procedur i instrukcji zapewniających ochronę danych osobowych,
wyjaśnianie – wspólnie z AB – wszystkich zgłoszonych nieprawidłowości i incydentów,
zgłaszanie AB wykrytych przypadków naruszeń ochrony danych osobowych.
W przypadku braku wyznaczenia ASI, obowiązki ASI wykonuje AB.
Nadzorcy zasobów danych osobowych – NZDO
ADO w obrębie każdej komórki organizacyjnej, w której dochodzi do przetwarzania danych osobowych, może wyznaczyć Nadzorców zasobów danych osobowych (NZDO). Nadzorcą zasadniczo powinien być kierownik danej komórki.
Do obowiązków Nadzorców zasobów danych osobowych należy:
zapewnienie wykonywania przez ADO obowiązków wskazanych w niniejszej Politycelub powszechnie obowiązujących przepisach w podległej komórce organizacyjnej – i współdziałanie w tym celu z AB,
wnioskowanie do ADO o nadanie upoważnień do przetwarzania danych osobowych dla pracowników podległej komórki organizacyjnej, a także niedopuszczanie do czynności związanych z przetwarzaniem osób nie posiadających odpowiedniego upoważnienia,
w przypadku utworzenia nowego zbioru danych osobowych ustalenie, kogo dotyczą dane osobowe, jaki jest ich zakres (np. imię i nazwisko, adres zamieszkania, NIP, PESEL itp.), cel przetwarzania oraz komu dane osobowe mają być udostępniane. Wszystkie te informacje powinny zostać przekazane do AB oraz ASI,
zgłaszanie AB urządzeń (nośników pamięci) przenośnych, wykorzystywanych w danej jednostce organizacyjnej,
zgłaszanie AB wykrytych przypadków naruszeń ochrony danych osobowych.
Powierzanie przetwarzania danych osobowych
ADO może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu, jak również przyjmować dane osobowe administrowane przez osoby trzecie w powierzenie jako podmiot przetwarzający - w drodze umowy zawartej na piśmie. Podmiot przetwarzający powinien posiadać odpowiednią wiedzę fachową, wiarygodność i zasoby zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi powszechnie obowiązujących przepisów i chroniło prawa osób, których dane dotyczą.
Umowa powierzenia powinna określać co najmniej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora – a także zawierać inne postanowienia wymagane w świetle powszechnie obowiązujących przepisów (w tym zwłaszcza art. 28 ust. 3 RODO).
Przekazanie danych osobowych do państwa trzeciego (nie należącego do Europejskiego Obszaru Gospodarczego) lub organizacji międzynarodowej dopuszczalne jest wyłącznie na zasadach wynikających z powszechnie obowiązujących przepisów.
Wzór umowy o powierzenia przetwarzania danych osobowych, który ADO powinien w miarę możliwości stosować w relacjach z podmiotami przetwarzającymi, stanowi załącznik do niniejszej Polityki (zob. zał. nr 6).
Ewidencja umów powierzenia, zawartych przez ADO (zarówno jako administratora, jak i podmiot przetwarzający), stanowi załącznik do niniejszej Polityki (zob. zał. nr 7).
Przetwarzanie danych osobowych; Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe; urządzenia przenośne
Przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego oraz kartotek odbywa się wyłącznie na obszarze wyznaczonym przez ADO.
Wykaz budynków, pomieszczeń lub części pomieszczeń, w których odbywa się przetwarzanie danych osobowych, stanowi załącznik do niniejszej Polityki (zob. zał. nr 8) - i powinien być na bieżąco aktualizowany przez AB.
Opis zbiorów danych osobowych, przetwarzanych przez ADO, wraz ze wskazaniem podstawy przetwarzania - zawarty jest w Rejestrze stanowiącym załącznik do niniejszej Polityki (zob. zał. nr 9). W przypadku danych, dla których podstawą przetwarzania jest prawnie uzasadniony interes administratora lub osoby trzeciej – ADO sporządził dodatkową analizę, również stanowiącą załącznik do niniejszej Polityki (zob. zał. nr 12).
Przetwarzanie danych osobowych za pomocą urządzeń przenośnych może odbywać się poza obszarem przetwarzania danych wyłącznie za zgodą AB. AB prowadzi ewidencję takich przenośnych urządzeń (zał. nr 10).
Osoba użytkująca urządzenie przenośne, zawierające dane osobowe, zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w pkt. 11.1 wobec przetwarzanych danych osobowych. W razie utraty, uszkodzenia lub zniszczenia urządzenia - użytkownik niezwłocznie poinformuje o tym AB.
Szkolenia
Każdy nowo zatrudniony pracownik (bez względu na podstawę zatrudnienia) – przed dopuszczeniem do przetwarzania danych osobowych – podlega przeszkoleniu w zakresie przepisów o ochronie danych osobowych oraz wynikających z nich zadań oraz obowiązków (w tym zwłaszcza w zakresie treści niniejszej Politykii wskazanej w niej dokumentacji). Dotyczy to także współpracowników, stażystów itd.
Wszyscy użytkownicy podlegają okresowym szkoleniom, stosownie do potrzeb wynikających ze zmian w systemie informatycznym (wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmian wewnętrznych regulacji.
Szkolenia organizuje AB lub ASI.
Uczestnictwo i zakres szkolenia powinny być każdorazowo odpowiednio udokumentowane.
Postępowanie na wypadek stwierdzenia naruszenia ochrony danych osobowych
Każda osoba, mająca dostęp do danych osobowych ADO, zobligowana jest informować AB o wszelkich przypadkach naruszenia ochrony danych osobowych, jak też zdarzeniach mogących świadczyć o zwiększonym zagrożeniu takiego naruszenia – jak zwłaszcza:
stwierdzenie naruszenia zabezpieczeń danych, w szczególności polegającego na przełamaniu zabezpieczeń fizycznych (np. poprzez zauważenie śladów włamania, przemieszczenia sprzętu, śladów korzystania ze sprzętu przez osoby nieuprawnione itd.) lub informatycznych (np. poprzez zauważenie: (i) braku dostępu do danych pomimo dysponowania stosownymi uprawnieniami; (ii) spowolnienia, niedziałania lub nieprawidłowego działania oprogramowania; (iii) obecności wirusa komputerowego lub innego złośliwego oprogramowania), ujawnieniu haseł dostępowych, otrzymaniu zgłoszenia osoby trzeciej itd.,
wykrycie naruszenia obowiązków związanych z ochroną danych osobowych, wynikających z powszechnie obowiązujących przepisów lub niniejszej Politykiz załącznikami – przez daną osobę lub osoby trzecie,
wykrycie zmiany stanu stanowiska pracy w porównaniu ze stanem pozostawionym,
wykrycie, iż dostęp do danych osobowych uzyskała osoba nieuprawniona.
AB niezwłocznie, przekaże informację o stwierdzonych naruszeniach do wiadomości odpowiednich władz ADO, w terminie wystarczającym do wykonania przez ADO obowiązków wskazanych w pkt. 13.3 i 13.4.
ADO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza je Organowi Nadzorczemu - chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie powinno co najmniej:
opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
zawierać imię i nazwisko oraz dane kontaktowe AB;
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
opisywać środki zastosowane lub proponowane przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków (np. zmiana haseł, odzyskanie danych osobowych przy wykorzystaniu kopii zapasowej, zastosowanie dodatkowych środków bezpieczeństwa fizycznego, teleinformatycznego lub organizacyjnego itd.).
ADO bez zbędnej zwłoki zawiadamia o naruszeniu osobę, której dane dotyczą - jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności owej osoby. Zawiadomienie powinno zostać sformułowane jasnym i prostym językiem, opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki o których mowa w pkt. 13.3.2-4 powyżej.
Zawiadomienie, o którym mowa w pkt. 13.4, nie jest wymagane w następujących przypadkach:
ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
ADO zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 13.4;
wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Zgłoszenia naruszeń ochrony danych osobowych Organowi Nadzoru, jak również zawiadomienia osób których dane dotyczą - powinny być dokonywane przez AB, po odbyciu konsultacji z władzami ADO.
W razie stwierdzenia naruszenia ochrony danych osobowych, niezależnie od jego zakresu, wagi itd. – AB przeprowadzi postępowanie wyjaśniające, zakończone sporządzeniem stosownego raportu, który należy przekazać do wiadomości władz ADO. Raport z naruszenia ochrony danych osobowych powinien obejmować co najmniej:
datę i godzinę naruszenia, a także uzyskania przez ADO informacji o naruszeniu,
wskazanie, czy naruszenie zostało zgłoszone Organowi Nadzoru lub osobom których dane dotyczą,
kwestie, o których mowa w pkt. 13.3 powyżej – w postaci możliwie rozbudowanej i uwzględniającej wszelkie ustalenia dokonane po ewentualnym zgłoszeniu naruszenia
propozycję ew. dalszych działań, mających na celu eliminację podobnych naruszeń w przyszłości.
Raport, o którym mowa powyżej, powinien mieć formę pozwalającą Organowi Nadzoru dokonać weryfikacji, że ADO wywiązał się z obowiązków wynikających z powszechnie obowiązujących przepisów.
W przypadku, gdy po sporządzeniu raportu w związku z naruszeniem będą realizowane dalsze czynności, w szczególności wskazane w art. 13.7.4 powyżej – AB sporządzi odrębny raport z ich wykonania i załączy go do pierwotnego raportu.
AB prowadzi rejestr stwierdzonych naruszeń, o których mowa w art. 13.7. Wzór rejestru, a także raportu z naruszenia ochrony danych osobowych stanowi załącznik do niniejszej Polityki (zob. zał. nr 13).
Postępowanie na wypadek klęski żywiołowej
Klęską żywiołową jest katastrofa, spowodowana działaniem sił przyrody takich jak ogień, huragan, woda lub ich przejawami.
W przypadku klęski żywiołowej, należy niezwłocznie poinformować AB, a w razie jego nieobecności przełożonego lub władze ADO. W czasie trwania akcji ratunkowej i po jej zakończeniu Administrator Bezpieczeństwa oraz obecni użytkownicy powinni, w miarę możliwości, zabezpieczać dane osobowe przed nieuprawnionym do nich dostępem.
Po zakończeniu akcji ratunkowej AB sporządzi odpowiedni raport. Postanowienia pkt. 13.7 stosuje się odpowiednio.
Postanowienia końcowe
W sprawach nieuregulowanych w niniejszej Polityce maja zastosowanie przepisy RODO, a także inne powszechnie obowiązujące przepisy.
Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.
Załącznikami do niniejszej Politykisą następujące dokumenty:
specyfikacja środków bezpieczeństwa (zał. nr 1),
wzór informacji dla osoby, której dane dotyczą (zał. nr 2),
wzory wyznaczenia AB, ASI i NZDO (zał. nr 3),
wzór upoważnienia do przetwarzania danych osobowych (zał. nr 4),
wzór ewidencji osób upoważnionych do przetwarzania danych osobowych (zał. nr 5),
wzór umowy powierzenia danych osobowych (zał. nr 6),
wzór ewidencji umów powierzenia danych osobowych, zawieranych przez ADO (zał. nr 7),
wykaz budynków, pomieszczeń lub części pomieszczeń, w których odbywa się przetwarzanie danych osobowych (zał. nr 8),
rejestr czynności przetwarzania danych osobowych (zał. nr 9),
ewidencja urządzeń przenośnych (zał. nr 10).
analiza w zakresie obowiązku powołania inspektora ochrony danych (IOD) oraz przeprowadzenia oceny skutków dla ochrony danych (DPIA) – zał. nr 11.
analiza w zakresie istnienia podstawy przetwarzania w postaci uzasadnionego interesu – zał. nr 12.
wzór rejestru, a także raportu z naruszenia ochrony danych osobowych – zał. nr 13.
Polityka może być zmieniana przez ADO - o czym należy niezwłocznie poinformować wszystkich zainteresowanych.
ANEKS nr 1
DO POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH
przyjętej przez Małopolską Spółdzielnię Handlową „WIZAN” z dnia 01.03.2019r
sporządzony w dniu 01.09.2019r
ROZ
§1
My niżej podpisani, działający jako prawnie umocowani przedstawiciele Małopolskiej Spółdzielni Handlowej „WIZAN” z siedzibą w Andrychowie przy ul. Legionów 7 NIP: 551-000-74-75) niniejszym zmieniamy politykę bezpieczeństwa danych osobowych Małopolskiej Spółdzielni Handlowej „WIZAN” (dalej: Polityka) – w ten sposób, że:
Uchyla się art. 5 ust. 2, 3, 4, 5 i 6 Polityki w całości i zastępuje je nowymi art. 5 ust. 2 i 3 o treści:
5.2. ADO na żądanie osoby, której dane dotyczą realizuje wszelkie przysługujące jej prawa, na zasadach określonych w załączniku nr 15 do niniejszej polityki – procedury udzielenia odpowiedzi na żądanie osób fizycznych,
5.3. W przypadku gdy w związku z prowadzoną działalnością ADO wydaje decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym Profilowaniu, ADO wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. ADO zwolniony jest z powyższych obowiązków w przypadkach przewidzianych prawem. W szczególności ADO nie musi podawać powyższych informacji, gdy osoba, której dane dotyczą, już nimi dysponuje. Tym niemniej zaleca się podawanie tych informacji we wszystkich sytuacjach, w których jest to możliwe, w tym zwłaszcza w ramach prowadzenia działalności online, pozyskiwania zgód, zawierania umów, etc. Wzór pisma obejmującego informacje, o których mowa powyżej, stanowi załącznik do niniejszej Polityki (zał. nr 2).
Uchyla się art. 6.2 Polityki w całości i zastępuje go zapisem:
6.2 Ogólny opis środków bezpieczeństwa, stosowanych przez ADO, a także procedura ich oceny i aktualizacji - zostały zawarte w specyfikacji środków bezpieczeństwa stanowiącej załącznik do niniejszej Polityki (zał. nr 1).
Zmienia się listę załączników do Polityki, zawartą w art. 15 ust. 3 Polityki, poprzez:
zmianę art. 15 ust. 3 ppkt. 1 na:
specyfikacja środków bezpieczeństwa (zał. nr 1), w tym: formularz analizy ryzyka (zał. nr 1.1) oraz wzór planu działań na wypadek ustalenia nieakceptowanego poziomu ryzyka związanego z przetwarzaniem danych (zał. nr 1.2),
dodanie na końcu 15 ust. 3 nowego podpunktu o treści:
procedura udzielenia odpowiedzi na żądanie osób fizycznych (zał. nr 15).
W załączniku nr 1 do Polityki (Specyfikacji środków bezpieczeństwa danych osobowych) dodaje się na końcu nowy pkt. III o treści:
III. Aktualizacja specyfikacji środków bezpieczeństwa
Analiza ryzyka
ADO jest zobowiązany do okresowego przeprowadzenia szczegółowej analizy procesów przetwarzania danych oraz do dokonania samodzielnie oceny ryzyka na jakie narażone jest przetwarzanie danych.
W celu przeprowadzenia analizy ryzyka ADO identyfikuje zagrożenia, które mogą wystąpić w organizacji ADO podczas procesów przetwarzania danych. Dla każdego z określonych zagrożeń ADO dokonuje wyliczenia poziomu ryzyka przy zastosowaniu metody polegającej na obliczeniu iloczynu prawdopodobieństwa wystąpienia danego zagrożenia ze skutkiem jego wystąpienia, według poniższego wzoru:
- gdzie:
R |
poziom ryzyka związanego z danym zagrożeniem |
P |
prawdopodobieństwa wystąpienia zagrożenia oceniane w skali 1-5, gdzie:
|
S(d) |
skutek wystąpienia zagrożenia w zakresie dostępności informacji oceniany w skali 1-5, gdzie:
|
S(i) |
skutek wystąpienia zagrożenia w zakresie integralności informacji oceniany w skali 1-5, gdzie:
|
S(p) |
skutek wystąpienia zagrożenia w zakresie poufności informacji oceniany w skali 1-5, gdzie:
Specyfikacja |