POLITYKA BEZPIECZEŃSTWA KANCELARII NOTARIALNEJ W ZAKRESIE OCHRONY DANYCH OSOBOWYCH
Stosownie do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r.
Polityka bezpieczeństwa uwzględnia, iż notariusz na podstawie odrębnych przepisów prawa wewnętrznego pełni funkcje publiczne i wykonuje obowiązki w zakresie dokumentów urzędowych będących dokumentami publicznymi.
Niniejsza polityka nie będzie stosowana do przesyłania informacji oraz wypisów, odpisów i wyciągów dokumentów notarialnych wynikających z odrębnych przepisów powszechnie obowiązujących.
Polityka Bezpieczeństwa chroni dane osobowe zapewniając ich poufność, integralność i dostępność.
Polityka Bezpieczeństwa obejmuje pracowników kancelarii, aplikantów notarialnych, zastępców notarialnych, zleceniobiorców, wykonawców w ramach umów o dzieło, strony innych umów cywilnoprawnych.
Polityka bezpieczeństwa dotyczy zarówno danych osobowych utrwalonych w wersji papierowej jak i utrwalonych w systemach informatycznych oraz na cyfrowych nośnikach danych.
Administratorem Danych Osobowych jest Notariusz – Sylwia Hajniak
Inspektorem Ochrony Danych Osobowych jest (opcjonalnie) –
Procesy oraz wykaz danych osobowych wskazany jest w załączniku Rejestr Przetwarzania Danych Osobowych stanowiący załącznik do polityki bezpieczeństwa.
Ogólne zasady bezpieczeństwa danych osobowych
1. Dostęp do pomieszczeń, w których znajdują się dane osobowe odbywa się na zasadach określonych w wewnętrznym regulaminie urzędowania Kancelarii Notarialnej.
2. Oryginały aktów notarialnych, wydruki repertoriów, księgi notarialne, o których mowa w ustawie – Prawo o notariacie podlegają zabezpieczeniu w archiwum Kancelarii, w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym.
3. Uprawnienie do dostępu do powyższych dokumentów posiadają wyłącznie aplikanci notarialni, zastępcy notarialni oraz pracownicy kancelarii na podstawie osobnego upoważnienia wyłącznie w zakresie wynikającym z dokonywanych czynności.
4. Pieczęć notarialna, podpis elektroniczny orazcertyfikaty dostępu do systemu EKW, Rejestru Aktów Poświadczenia Dziedziczenia, Notarialnego Rejestru Testamentów, Elektronicznego Repozytorium Wypisów Aktów Notarialnych, Rejestru GIIF dostępne są wyłącznie dla Notariusza oraz zastępcy notarialnego.
5.Administrator Danych Osobowych upoważnia do dostępu do dokumentów i systemów informatycznych zawierających dane osobowe.
6. Zastępcy notarialni upoważnieni są do dostępu do dokumentów i systemów informatycznych oraz nośników cyfrowych zawierających dane osobowe w zakresie w jakim wykonują obowiązki zastępcy notarialnego.
7. Pracownik, aplikant, zastępca notarialny składa na piśmie oświadczenie, iż zapoznał się niniejszą procedurą bezpieczeństwa wraz z załącznikami.
8. Pracownik, aplikant, zastępca notarialny zobowiązany jest do zachowania w poufności danych osobowych oraz wykazania najwyższej staranności, aby dane osobowe nie zostały przekazane osobom nieuprawnionym.
Pracownicy, aplikanci i zastępcy notarialni mają prawo do wykonywania czynności wyłącznie w zakresie upoważnienia.
Przekroczenie zakresu wskazanego powyżej upoważnienia stanowi naruszenie podstawowych obowiązków pracowniczych.
Bezpieczeństwo informatyczne
1. Pomieszczenia, w których znajdują się dane osobowe zapisane na nośnikach cyfrowych w tym komputerach, serwerach, dyskach zewnętrznych oraz pamięciach masowych wyposażone są w zabezpieczenia przed ich wykorzystaniem przez osoby trzecie.
2. Nośniki cyfrowe, w tym komputery, powinny być zabezpieczone indywidualnym hasłem dostępowym zawierającym litery i cyfry. Hasła powinny być indywidualne dla każdego urządzenia. Dopuszczalnym jest wprowadzenie haseł z różnym poziomem dostępu do urządzenia lub systemu informatycznego. Aktualne hasła powinny zostać zabezpieczone w wersji papierowej i złożone w sejfie lub szafie pancernej. Hasła dostępowe zmieniać należy co 30 dni.
3. W razie utraty hasła lub jego modyfikacji Administrator Bazy Danych nadaje nowe hasło umieszczając jego papierowy zapis w sejfie lub szafie pancernej.Nieaktualne hasła podlegają usunięciu z systemu informatycznego a ich papierowy zapis jest niszczony.
4. Komputery oraz sieci informatyczne powinny być zabezpieczone aktualnym oprogramowaniem antywirusowym oraz oprogramowaniem typu Firewall.
5. Monitory komputerów oraz innych urządzeń należy usytuować w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym. Stosować należy wygaszacze ekranów.
6. Zabronione jest:
a) instalowanie oprogramowania komputerowego bez zezwolenia Administratora Danych Osobowych.
b) wykorzystywanie przez pracowników i aplikantów komputerów oraz Internetu dla celów prywatnych.
c) pobieranie plików z Internetu w celach prywatnych,
d) pobieranie załączników z poczty internetowej nieznanego pochodzenia,
e) udzielanie dostępu do sytemu obcym urządzeniom przenośnym bez sprawdzenia ich zawartości programem antywirusowym,
f) wykonywanie bez zezwolenia kopii danych zawartych w systemie na urządzeniach przenośnych oraz pamięciach masowych,
g) przesyłanie danych drogą elektroniczną na prywatne adresy e mail,
h) wynoszenie z Kancelarii nośników danych, dysków komputerowych, płyt, pendrive’ów oraz komputerów przenośnych.
7. Wykonane na nośnikach zewnętrznych kopie zapasowe systemów informatycznych zawierających dane osobowe należy przechowywać w sejfie lub szafie pancernej.Utworzenie nowej kopii zapasowej powinno nastąpić poprzez usunięcie kopii poprzedniej.
8. Nośniki danych, dyski lub inne nośniki informacji pozbawia się danych przez formatowanie.
9. Nośniki danych, dyski lub inne nośniki informacji wycofane z użytkowania podlegają fizycznemu zniszczeniu w sposób uniemożliwiający odtworzenie danych.
Bezpieczeństwo dokumentacji papierowej
1. Wydruki papierowe oraz inne dokumenty zawierające dane osobowe przechowywane są w sposób uniemożliwiający dostęp osób nieuprawnionych.
2. Zbędne wydruki papierowe w tym brudnopisy, kopie dokumentów, wydruki poczty elektronicznej oraz wszelkie inne dokumenty zbędne z punktu widzenia dokonywanych czynności notarialnych podlegają fizycznemu zniszczeniu.
Rejestr Incydentów Bezpieczeństwa
Rejestr Incydentów Bezpieczeństwa zawiera:
– datę incydentu bezpieczeństwa,
– opis incydentu,
– liczba osób i podmiotów, których incydent dotyczył,
– podjęte środki zaradcze,
– opis ewentualnych konsekwencji dla osób fizycznych, których incydent dotyczy,
– informację o zgłoszeniu incydentu bezpieczeństwa organom nadzoru.
Rejestr Incydentów Bezpieczeństwa prowadzi się w formie papierowej lub elektronicznej.
Obowiązki w zakresie naruszenia ochrony danych osobowych
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Zgłoszenie organowi nadzorczemu powinno zawierać:
– charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
– imię i nazwisko oraz dane kontaktowe Administratora Danych Osobowych/ Inspektora ochrony danych lub oznaczenie innej osoby, od której można uzyskać więcej informacji;
– możliwe konsekwencje naruszenia ochrony danych osobowych;
– środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Powierzenie Przetwarzania Danych Osobowych
Powierzenie przetwarzania danych osobowych podmiotom przetwarzającym następuje na podstawie umowy o powierzenie przetwarzania danych osobowych.
Wzór umowy o powierzenie przetwarzania danych osobowych stanowi załącznik do polityki bezpieczeństwa.
Ochrona danych osobowych w toku kontroli
Polityka bezpieczeństwa nie znajduje zastosowania w przypadku kontroli dokonywanej przez uprawnione organy na podstawie odrębnych powszechnie obowiązujących przepisów prawa.