W celu zabezpieczenia danych osobowych gromadzonych i przetwarzanych w przedsiębiorstwie AS PPUH Andrzej Smakulski oraz jego systemie informatycznym, a w szczególności w celu ochrony danych osobowych, wprowadza się określone w niniejszym dokumencie zasady bezpieczeństwa.
-
§ 1
DefinicjeDefinicje użyte w niniejszym dokumencie oznaczają:
- 1) przedsiębiorca – należy przez to AS PPUH Andrzej Smakulski;
- 2) administrator danych –Andrzej Smakulski;
- 3) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
- 4) użytkownik systemu – to osoba upoważniona do przetwarzania danych osobowych w systemie informatycznym przedsiębiorcy. Użytkownikiem może być pracownik przedsiębiorcy, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż lub praktyki u przedsiębiorcy, (współpracownik);
- 5) identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
- 6) hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
- 7) uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
- 8) rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
- 9) integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
- 10) poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym osobom.
- 11) Monitoring wizyjny - czynność polegająca na rejestrowaniu obrazu wideo na terenie zakładu AS PPUH Andrzej Smakulski
- 12) Strefa objęta monitoringiem - Obszar zakładu AS PPUH Andrzej Smakulski
- 13) Zapis wideo - Materiał zarejestrowany przez urządzenia monitoringu wizyjnego rozmieszczone na terenie zakładu AS PPUH Andrzej Smakulski.
-
§ 2
Polityka bezpieczeństwa określa- 1. Wykaz budynków oraz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.
- 2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.
- 3. Opis struktury zbiorów danych wskazujących zawartości poszczególnych pól informacyjnych i powiązania między nimi.
- 4. Sposób przepływu danych pomiędzy poszczególnymi systemami.
- 5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności i rozliczalności przetwarzanych danych.
-
§ 3
Obszar przetwarzania danych osobowych, obowiązki i odpowiedzialność w zakresie zarzadzania bezpieczeństwem- 1. Miejscem przetwarzania danych osobowych są pomieszczenia przedsiębiorstwa AS PPUH Andrzej Smakulski w budynku przy ulicy Orzeszkowej 4, 05-816 Reguły.
- 2. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych
- 3. Wszystkie dane osobowe są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
- 1) W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
- 2) Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
- 3) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
- 4) Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.
- 5) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.
- 6) f ) Czas przechowywania danych jest ograniczony do okresu ich przydatności
- 7) do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.
- 8) Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
- 9) Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
- 4. Administrator danych nie przekazuje osobom, których dane dotyczą, informacji w sytuacji, w której dane te muszą zostać poufne zgodnie z obowiązkiem zachowania tajemnicy.
- 5. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
- 1) naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
- 2) udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
- 3) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
- 4) niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
- 5) przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
- 6) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;
- 7) naruszenie praw osób, których dane są przetwarzane.
- 6. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych.
- 7. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:
- 1) pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
- 2) każdy z przetwarzających Dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych” – wzór Upoważnienia stanowi Załącznik Nr 2 do niniejszej Polityki Bezpieczeństwa,
- 3) każdy pracownik zobowiązał się do zachowania przetwarzanych danych osobowych w tajemnicy
- 8. Pracownicy zobowiązani są do:
- 1) ścisłego przestrzegania zakresu nadanego upoważnienia;
- 2) przetwarzania i ochrony danych osobowych zgodnie z przepisami;
- 3) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
- 4) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.
- 9. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator:
- 1) dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
- 2) W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik Nr 5 do niniejszej polityki.
- 3) Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.
-
§ 4
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.- 1. Za zbiór danych osobowych przetwarzanych u przedsiębiorcy uważa się:
- 1) dokumentację papierową (korespondencja, wnioski, deklaracje, itd.);
- 2) systemy informatyczne przetwarzania danych oraz oprogramowanie komputerowe służące do przetwarzania informacji;
- 3) wydruki komputerowe.
- 2. Wykaz zbiorów danych osobowych przetwarzanych u przedsiębiorcy wraz z programami służącymi do przetwarzania tych zbiorów stanowi załącznik Nr 1 do polityki bezpieczeństwa przetwarzania danych osobowych w AS PPUH Andrzej Smakulski.
- 1. Za zbiór danych osobowych przetwarzanych u przedsiębiorcy uważa się:
-
§ 5
Opis struktury zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi- 1. Opis struktury przetwarzanych danych osobowych oraz relacje pomiędzy danymi, procesy przetwarzania oraz struktura danych zostały zawarte w dokumentacji technicznej systemów informatycznych dostępnej u dostawców oprogramowania informatycznego. Licencje oprogramowania nie obejmują listingu danych źródłowych, lecz jedynie prawo korzystania z rozwiązań. Zbiory danych osobowych przetwarzane u przedsiębiorcy to: pracownicy, współpracownicy i Klienci.
- 2. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
- 3. W przypadku planowania nowych czynności przetwarzania Administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
- 4. Administrator danych prowadzi rejestr czynności przetwarzania. Wzór rejestru czynności przetwarzania stanowi Załącznik NR 4.
-
§ 6
Sposób przepływu danych pomiędzy poszczególnymi systemami- 1. System, w których przetwarza się dane osobowe ze zbioru danych Klienci nie jest połączony z innymi systemami, co uniemożliwia przepływ danych pomiędzy nimi.
- 2. System przetwarza następujące dane: imiona i nazwiska, adres, e-mail,
- 3. Jeżeli przedsiębiorca używa innych systemów to systemy te są niezależne i posiadają samodzielne bazy danych.
- 4. Zbiory danych pracowników oraz współpracowników zawierają dane wymagane prawem oraz są przetwarzane jedynie w formie papierowej.
-
§ 7
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.- 1. Dane osobowe przetwarzane u przedsiębiorcy, zarówno w postaci tradycyjnej jak i w postaci elektronicznej przetwarzane są wyłącznie na podstawie zgody administratora danych lub osoby przez niego upoważnionej.
- 2. Dane osobowe przetwarzane u przedsiębiorcy gromadzone są na podstawie dobrowolnej zgody osób, których dane dotyczą lub jej przedstawiciela prawnego. Prawa osób wyrażających zgodę na przetwarzanie danych osobowych przez przedsiębiorcę uregulowane są w ustawie o ochronie danych osobowych (Dz. U. 1997 r., nr 133, poz. 883, z późniejszymi zmianami).
- 3. Upoważnienie do przetwarzania danych osobowych wydawane jest bezterminowo (do odwołania), na czas niezbędny do wykonywania swoich obowiązków na rzecz przedsiębiorcy przez upoważnionego. Administrator danych może odwołać upoważnienie w każdym czasie bez konieczność podawania przyczyny odwołania upoważnienia.
- 4. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik Nr 2 do polityki bezpieczeństwa przetwarzania danych osobowych w AS PPUH Andrzej Smakulski.
- 5. Osoby upoważnione przez administratora danych osobowych do przetwarzania danych osobowych w AS PPUH Andrzej Smakulski oświadczają, że znane im są przepisy prawa dotyczące ochrony danych osobowych oraz, iż zapoznały się dokumentami służącymi do realizacji bezpieczeństwa danych osobowych w AS PPUH Andrzej Smakulski.
- 6. Wzór oświadczenia, o którym mowa powyżej stanowi załącznik Nr 3 do polityki bezpieczeństwa przetwarzania danych osobowych w AS PPUH Andrzej Smakulski.
-
§ 8
Dane w postaci elektronicznejDane przetwarzane są przy użyciu komputerów pracujących wyłącznie w wewnętrznej sieci komputerowej odseparowanej od sieci publicznej przy pomocy bramy internetowej wyposażonej w firewall oraz programowe firewalle na stacjach roboczych, dodatkowo zabezpieczonych oprogramowaniem antywirusowym. Dostęp do danych następuje po autoryzacji do systemu CMS DRUPAL. Autoryzacja polega na podaniu identyfikatora oraz hasła przydzielonego przez administratora danych lub z jego upoważnienia. Uwzględniając kategorie przetwarzanych danych wprowadza się wysoki poziom bezpieczeństwa. Środki bezpieczeństwa na poziomie wysokim określa Instrukcja zarządzania systemem informatycznym.
-
§ 9
Dane w rejestrach papierowychDane przetwarzane przy użyciu tradycyjnych środków pisarskich gromadzone są w rejestrach, księgach, zeszytach papierowych oraz segregatorach i przechowywane w zamykanych szafach oraz szafie metalowej. Zbiór danych osobowych prowadzone są w architekturze rozproszonej.
-
§ 10
Dane z monitoringu wizyjnegoAdministratorem systemu monitoringu jest administrator danych. Monitoring stosowany jest celu ochrony mienia oraz zapewnienia bezpieczeństwa w strefa objęta monitoringiem. Podstawą przetwarzania jest prawnie usprawiedliwiony interes administratora / przepis prawa. Zapisy z monitoringu przechowywane będą w okresie 14 dni. Osoba zarejestrowana przez system monitoringu ma prawo do dostępu do danych osobowych oraz ograniczenia przetwarzania. Osobie zarejestrowanej przez system monitoringu przysługuje prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych.
-
§ 11
Środki organizacyjneAdministrator danych lub osoba przez niego upoważniona nadzoruje przestrzeganie zasady ochrony danych określonych w instrukcji zarządzania systemem informatycznym z uwzględnieniem spraw dotyczących ochrony danych osobowych przetwarzanych w tradycyjnych rejestrach jest odpowiedzialny za funkcjonowanie systemu teleinformatycznego oraz stosowanie technicznych i organizacyjnych środków ochrony stosowanych w tym systemie.
-
§ 12
Środki ochrony fizycznej- 1. Wejście do budynku przedsiębiorcy zabezpieczone jest zamkami drzwiowymi oraz alarmem. Poszczególne pokoje, w których odbywa się przetwarzanie danych osobowych i ich składowanie muszą być wyposażone w niezależne zamki i muszą być zamykane podczas nieobecności osoby upoważnionej do przetwarzania danych osobowych.
- 2. Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby upoważnionej do przetwarzania danych lub w obecności administratora danych lub osoby przez niego upoważnionej informacji.
- 3. Pomieszczenia, o których mowa wyżej, zamykane są na czas nieobecności osoby uprawnionej do przetwarzania danych w sposób uniemożliwiający dostęp do nich osób trzecich. Klucze do pomieszczeń służbowych znajdują się w budynku przedsiębiorcy – w miejscu wyznaczonym przedsiębiorcę. Pozostawienie kluczy w zamkach pomieszczeń, gdzie przetwarzane są dane osobowe jest niedopuszczalne (także podczas pobytu osoby upoważnionej do przetwarzania danych osobowych).
- 4. W pomieszczeniach, w których przewiduje się przyjmowanie interesantów, monitory stanowisk komputerowych ustawione są w sposób uniemożliwiający wgląd w przetwarzane dane.
- 5. Użytkownicy systemu przetwarzający dane osobowe obowiązani są do prawidłowego ich zabezpieczenia na swoich stanowiskach pracy. Przed rozpoczęciem pracy klucze pobierane zostają z „szafki” pod nadzorem dyrektora przez osobę upoważnioną do przetwarzania danych osobowych i tam też składowane po zakończeniu pracy.
-
§ 13
Środki sprzętowe, informatyczne i telekomunikacyjne:- 1. Urządzenia wchodzące w skład systemu informatycznego podłączone są do odrębnego obwodu elektrycznego, zabezpieczonego na wypadek zaniku napięcia albo awarii w sieci zasilającej urządzeniem UPS.
- 2. Dostęp fizyczny do sieci lokalnej jest ograniczony, przedsiębiorca nie posiada centralnego punktu dystrybucyjnego sieci.
- 3. Dostęp logiczny do sieci lokalnej zabezpieczony jest adresem IP.
- 4. Dostęp do sieci WAN zabezpieczony jest firewall–em wraz z oprogramowaniem antywirusowym.
- 5. Kopie awaryjne wykonywane są w cyklach kwartalnych na dysku twardym.
- 6. Każdy dokument papierowy zawierający dane osobowe przeznaczony do wyrzucenia zostaje zniszczony, przy pomocy niszczarki, w sposób uniemożliwiający jego odczytanie.
- 7. Inne środki przetwarzania: drukarki, skanery, niszczarki dokumentów.