POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
POLITYKA BEZPIECZEŃSTWA
PRZETWARZANIA DANYCH OSOBOWYCH
w
BizeA Spółka z ograniczoną odpowiedzialnością
z siedzibą w Tomicach, ul. Europejska 4.
Wstęp
Realizując konstytucyjne prawo każdej osoby do ochrony życia prywatnego oraz postanowienia rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w celu zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ww. rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wprowadza się następujący zestaw procedur.
Rozdział 1
Postanowienia ogólne
§ 1. Ilekroć w dokumencie jest mowa o:
1) rozporządzeniu – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
2) danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
3) zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
4) przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
5) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
6) zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
7) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
8) administratorze danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
9) zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome i jednoznaczne oświadczenie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
10) odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
11) państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;
12) środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych;
13) ograniczeniu przetwarzania – należy przez to rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
14) profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
15) pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
16) podmiocie przetwarzającym – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
17) naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Rozdział 2
Administrator danych
§ 2. Administrator danych w szczególności:
- Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
- Prowadzi rejestr czynności przetwarzania. W rejestrze zamieszcza się następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora Danych, a także wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora danych oraz IOD;
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w rozporządzeniu, art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. rozporządzenia,
Rozdział 3
Środki techniczne i organizacyjne
§ 3. W celu ochrony danych administrator danych wypełnia wymogi, o których mowa w rozporządzeniu:
a) przeprowadza ocenę skutków dla ochrony danych,
b) przeprowadza analizę ryzyka w stosunku do zasobów biorących udział w poszczególnych procesach,
c) do przetwarzania danych zostały dopuszczone wyłącznie osoby upoważnione przez administratora danych (załącznik nr 1),
d) zawarto umowy powierzenia przetwarzania danych zgodnie z załącznikiem nr 2,
e) została opracowana i wdrożona niniejsza polityka bezpieczeństwa.
§ 4. W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:
- zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nieprzeciwpożarowymi),
- zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami ,zbiory danych osobowych przechowywane są w pomieszczeniu, znajdującym się na I oraz II piętrze.
- budynek, w którym administrator danych ma siedzibę wyposażony jest w system alarmowy przeciwwłamaniowy
- dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, objęty jest systemem kontroli dostępu – klucze wydawane są w recepcji wyłącznie osobom upoważnionym.
- dostęp do budynku, w którym administrator danych ma siedzibę, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych
- budynek, w którym administrator danych ma siedzibę, przez całą dobę jest nadzorowany przez służbę ochrony,
- zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej metalowej szafie oraz w zamkniętych niemetalowych szafach,
- kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w zamkniętej niemetalowej szafie
- pomieszczenia, w których przetwarzane są zbiory danych osobowych, zabezpieczone są przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy,
- dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
§ 5. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
- komputery służące do przetwarzania danych osobowych są połączone z lokalną siecią komputerową,
- zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania,
- dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/komputerze przenośnym, zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła
- dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
- zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych,
- zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych,
- zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji,
- zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej,
- zastosowano środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie, rootkity,
- użyto system Firewall do ochrony dostępu do sieci komputerowej,
- użyto system IDS/IPS do ochrony dostępu do sieci komputerowej,
§ 6. W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych:
- zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych,
- dostęp do zbiorów danych w części przetwarzanej w systemach informatycznych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
- zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego,
- zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych,
- zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
- zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika (wygaszacze ekranu),
- § 7. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:
- osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
- przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego,
- osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy,
- monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane,
- kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco,
- administrator danych określił podstawowe zasady bezpieczeństwa, obowiązujące wszystkich pracowników Spółki, czyli:
- zasada wiedzy koniecznej – ograniczanie dostępu do danych jedynie do tych, które są niezbędne do wykonywania obowiązków na danym stanowisku,
- zasada odpowiedzialności za zasoby – osoba przetwarzająca jest odpowiedzialna za dane, które przetwarza i zobowiązana jest przestrzegać ustanowionych procedur bezpieczeństwa w tym zakresie,
- zasada zamkniętego pomieszczenia – niepozostawianie osób postronnych samych w pomieszczeniu (pod nieobecność osoby upoważnionej), bezwzględne zamykanie pomieszczeń na klucz przy ich opuszczaniu i niepozostawianie kluczy w zamkach,
- zasada czystego biurka – niepozostawianie bez nadzoru dokumentów papierowych oraz nośników danych na biurku (płyt CD, DVD, pamięci flash USB itp.),
- zasada prywatności kont w systemach – każdy pracownik zobowiązany jest do pracy w systemach teleinformatycznych na przypisanych jemu kontach, bezwzględnie zabronione jest udostępnianie kont osobom, które nie zostały do nich przypisane,
- zasada poufności haseł i kodów dostępu – zachowanie poufności i nieprzekazywanie osobom nieuprawnionym haseł i kodów dostępu, w szczególności zasada ta dotyczy osobistych haseł dostępu do systemów teleinformatycznych i stref chronionych,
- zasada korzystania z służbowej poczty elektronicznej – każda osoba upoważniona do przetwarzania danych w wykonywaniu obowiązków służbowych korzysta tylko i wyłącznie ze służbowej skrzynki email, zabrania się korzystania z prywatnej poczty elektronicznej w przedmiotowym zakresie,
- zasada czystego ekranu – blokowanie komputera przed każdym opuszczeniem pomieszczenia, w przypadku dłuższej nieobecności w pomieszczeniu konieczne jest wylogowanie się z systemu,
- zasada czystego pulpitu – na pulpicie komputera powinny znajdować się jedynie ikony standardowego oprogramowania i aplikacji służbowych oraz skróty do folderów pod warunkiem, że w nazwie nie zawierają danych, w szczególności danych osobowych, które mogą zostać w sposób niekontrolowany ujawnione (np. podczas prezentacji),
- zasada czystych drukarek/kserokopiarek – zabieranie dokumentów z drukarek zaraz po ich wydrukowaniu, w szczególności zasada ta dotyczy dokumentów pozostawianych w drukarkach znajdujących się w innym pomieszczeniu,
- zasada czystego kosza – dokumenty papierowe z wyjątkiem materiałów promocyjnych powinny być niszczone w niszczarkach lub za pośrednictwem firmy zewnętrznej,
- zasada legalności oprogramowania – zakaz samodzielnego instalowania oprogramowania, w tym w szczególności przechowywania na komputerze treści naruszających prawa autorskie oraz innych nielegalnych danych,
- zasada zgłaszania incydentów bezpieczeństwa – każdy przetwarzający dane zobowiązany jest do zgłaszania incydentów związanych z bezpieczeństwem informacji, tj. nieuprawnionym ujawnieniem, zniszczeniem lub modyfikacją informacji, zgodnie z trybem określonym w rozdziale 8,
- zasada korzystania z zasobów Spółki – dane, będące w posiadaniu administratora danych, mogą być przetwarzane wyłącznie w środkach przetwarzania dopuszczonych do wykorzystania w Spółce, w szczególności zabrania się korzystania w tym celu z prywatnych środków przetwarzania danych,
- zasada nieużywania nazw zawierających dane osobowe w zakresie określania plików, folderów, itp.
- zasada odpowiedniego zabezpieczenia zasobów sprzętowych Spółki używanych jako sprzęt służbowy -komputery przenośne, telefony, smart fony, tablety oraz inne urządzenia, które osoby przetwarzające dane w Spółce używają do celów służbowych powinny być odpowiednio zabezpieczone przed dostępem osób nieupoważnionych, co najmniej powinny posiadać zabezpieczenie w formie hasła dostępu do aktywowania urządzenia.
Rozdział 4
Procedura DPIA
(Data Protection Impact Assessment)
§ 8. Ocenę skutków dla ochrony danych osobowych (DPIA) przeprowadza się dla każdego procesu.
§ 9. DPIA jest przeprowadzana przy każdorazowej istotnej zmianie procesu przetwarzania danych osobowych, np. zmiana dostawcy usług, zmiana sposobu przetwarzania danych, wymiana zasobów biorących udział w procesie.
§ 10. DPIA jest przeprowadzana wraz z analizą ryzyka nie rzadziej niż raz w roku w stosunku do procesów, które w wyniku poprzednio przeprowadzonego DPIA wykazały wysokie ryzyko dla praw i wolności osób, których dane dotyczą.
Rozdział 5
Procedura analizy ryzyka i plan postępowania z ryzykiem
§ 11. Administrator danych przeprowadza analizę ryzyka dla zasobów biorących udział w procesach.
§ 12. Analiza ryzyka jest przeprowadzana nie rzadziej niż raz w roku i stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.
§ 13. Na podstawie wyników przeprowadzonej analizy ryzyka, administrator danych samodzielnie wdraża sposoby postępowania z ryzykiem.
§ 14. Każdorazowo administrator danych wybiera sposób postępowania z ryzykiem i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako pierwsze.
Rozdział 6
Procedura współpracy z podmiotami zewnętrznymi
§ 15.1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem umowy powierzenia przetwarzania danych osobowych
2. Administrator danych prowadzi rejestr podmiotów zewnętrznych, którym powierzono dane osobowe do przetwarzania
§ 16. Każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług ma zamiar skorzystać z wykorzystaniem procedury współpracy z podmiotami zewnętrznymi .
Rozdział 7
Procedura domyślnej ochrony danych
(uwzględnianie ochrony danych w fazie projektowania)
§ 17. W każdym przypadku tworzenia nowego produktu lub usług administrator danych uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie jego projektowania i wdrażania. Wdraża odpowiednie środki techniczne i organizacyjne aby domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania ( ilość zbieranych danych, zakres i okres przetwarzanych danych oraz ich dostępność).
§ 18. Administrator danych w przypadku zamiaru rozpoczęcia przetwarzania danych osobowych w nowym procesie przeprowadza DPIA w stosunku do tego procesu.
Rozdział 8
Procedura zarządzania incydentami
§ 20. W każdym przypadku naruszenia ochrony danych osobowych, administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
§ 21. Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godz. od identyfikacji naruszenia z wykorzystaniem procedury zarządzania incydentami bezpieczeństwa.
§ 22. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności w oparciu o wzór zawiadomienia osoby, której dane dotyczą, o naruszeniu, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
§ 23. Administrator danych dokumentuje naruszenia oraz prowadzi rejestr naruszeń , które skutkują naruszeniem praw i wolności osób fizycznych.
Rozdział 9
Procedura realizacji praw osób
§ 24. Każdy przypadek zgłoszenia przez osobę, której dane dotyczą, woli skorzystania z praw przewidzianych w rozporządzeniu administrator danych rozpatruje indywidualnie.
§ 25. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:
- prawo dostępu do danych,
- prawo do sprostowania danych,
- prawo do usunięcia danych,
- prawo do przenoszenia danych,
- prawo do sprzeciwu wobec przetwarzania danych,
- prawo do niepodlegania decyzjom oparty wyłącznie na profilowaniu.
§ 26. W przypadku realizacji prawa do sprostowania, usunięcia i ograniczenia przetwarzania danych administrator danych niezwłocznie informuje odbiorców danych, którym udostępnił on przedmiotowe dane, chyba że jest to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
§ 27. Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów rozporządzenia, jednak każda odmowa realizacji praw osób, których dane dotyczą, wymaga uzasadnienia z podaniem podstawy prawnej wynikającej z rozporządzenia.
Rozdział 10
Procedura odbierania zgód oraz informowania osób
§ 28. 1. W każdym przypadku pobierania danych bezpośrednio od osoby, której dane dotyczą, administrator danych spełnia obowiązek informacyjny wobec osoby, której dane dotyczą.
2. W przypadku pobierania danych od pracownika, stosuje się wzór obowiązku informacyjnego.
§ 29. W każdym przypadku pobierania danych z innych źródeł niż osoba, której dane dotyczą, administrator danych spełnia obowiązek informacyjny wobec osoby, której dane dotyczą, niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której dane dotyczą,
§ 30. W każdym przypadku odbierania zgody od osoby, której dane dotyczą, korzysta się z klauzul.
Rozdział 11
Postanowienia końcowe
§ 31. Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.
§ 32. Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez administratora danych.