Polityka ochrony danych osobowych
1) ZAKRES STOSOWANIA
1. Niniejszy dokument zatytułowany jako „Polityka Ochrony Danych Osobowych” (dalej jako Polityka) ma zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w AGRO TECHNIKA spółka z ograniczoną odpowiedzialnością (dalej jako Spółka) w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119/1). Jest to zestaw zasad i reguł w zakresie zarządzania danymi osobowymi wewnątrz Spółki. Polityka odnosi się całościowo do problemu zabezpieczenia danych osobowych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych.
2. Polityka zawiera:
a) opis obowiązujących w Spółce zasad ochrony danych osobowych,
b) odwołania do załączników uszczegóławiających, w tym zwłaszcza do ewidencji i rejestrów dotyczących poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach.
3. Politykę stosuje się przede wszystkim do:
a) informacji dotyczących danych osobowych pracowników oraz osób współpracujących ze Spółką na podstawie umów cywilnoprawnych,
b) danych kandydatów na pracowników zbieranych w toku rekrutacji,
c) informacji dotyczących kontrahentów Spółki,
d) informacji dotyczących klientów Spółki, w tym klientów sklepu internetowego,
e) rejestru podmiotów, którym powierza się przetwarzanie danych,
f) innych dokumentów zawierających dane osobowe.
4. Odpowiedzialny za wdrożenie i utrzymanie niniejszej Polityki jest Prezes Spółki.
5. Odpowiedzialni za stosowanie niniejszej Polityki są wszyscy członkowie personelu Spółki, przez których rozumie się pracowników Spółki, a także osoby świadczące usługi na innej podstawie prawnej.
6. W Spółce przetwarzane są przede wszystkim dane osobowe pracowników oraz osób współpracujących na podstawie umów cywilnoprawnych kontrahentów. Wykaz poszczególnych rejestrów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych w Spółce stanowi Rejestr Czynności Przetwarzania Danych Osobowych, zgodny z treścią załącznika nr 1. do Polityki.
7. Dane osobowe we wskazanych powyżej ewidencjach są przetwarzane i składowane zarówno w postaci tradycyjnej, jak i elektronicznej.
2) SKRÓTY I DEFINICJE
1. Polityka – oznacza niniejszą Politykę, o ile co innego w sposób wyraźny nie wynika z kontekstu.
2. Spółka – oznacza AGRO TECHNIKA spółka z ograniczoną odpowiedzialnością.
3. Kontrahent – oznacza osobę współpracującą z AGRO TECHNIKA spółka z ograniczoną odpowiedzialnością na podstawie umowy cywilnoprawnej.
4. RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE 119/1).
5. Dane osobowe – oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
6. Osoba zidentyfikowana – oznacza osobę, której tożsamość znamy i którą możemy wskazać spośród innych osób.
7. Osoba możliwa do zidentyfikowania – oznacza osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
8. Zbiór danych osobowych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
9. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, w szczególności zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
10. Powierzenie przetwarzania danych – oznacza powierzenie przez Spółkę przetwarzania danych osobowych innemu podmiotowi, osobie, organizacji (np. usługodawcy IT, zewnętrznej księgowości).
11. Usuwanie danych – oznacza zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą.
12. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
13. Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
14. Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
15. Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
16. System informatyczny – oznacza zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych osobowych.
17. Rejestr Czynności Przetwarzania Danych – oznacza formę dokumentowania czynności przetwarzania danych.
3) ZASADY OGÓLNE
1. Filarami ochrony danych osobowych w Spółce są:
a) legalność – Spółka dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
b) bezpieczeństwo – Spółka zapewnia odpowiedni poziom bezpieczeństwa danych podejmując stale działania w tym zakresie.
c) poszanowanie praw jednostki – Spółka umożliwia osobom, których dane przetwarza na wykonywanie swoich praw i prawa te realizuje.
d) rozliczalność – Spółka dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
2. Spółka przetwarza dane osobowe:
a) w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
b) rzetelnie i uczciwie (rzetelność);
c) w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
d) w konkretnych celach (minimalizacja);
e) nie więcej niż potrzeba (adekwatność);
f) nie dłużej niż potrzeba (czasowość);
g) z dbałością o prawdziwość danych (prawidłowość);
h) zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
4) REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH
1. Spółka prowadzi Rejestr Czynności Przetwarzania Danych, w których inwentaryzuje i monitoruje sposób, w jaki wykorzystuje dane osobowe.
2. Rejestr Czynności Przetwarzania Danych stanowi formę dokumentowania czynności przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
3. Rejestr jest jednym z podstawowych narządzi umożliwiających Spółce rozliczanie większości obowiązków ochrony danych osobowych.
4. W Rejestrze dla każdej czynności przetwarzania danych Spółka odnotowuje co najmniej:
a) nazwę zbioru/zasobu danych osobowych,
b) formę prowadzenia przetwarzania danych,
c) lokalizację miejsca przetwarzania danych,
d) zastosowane oprogramowanie,
e) cel przetwarzania,
f) opis technicznych i organizacyjnych środków gromadzenia i ochrony danych.
5) EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH
1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Spółkę.
2. Upoważnienie do przetwarzania danych osobowych mogą uzyskać wyłącznie pracownicy Spółki, w tym także stażyści i praktykanci Spółki, a także osoby fizyczne współpracujące ze Spółką, które uzyskają dostęp do danych osobowych w związku ze świadczeniem na rzecz Spółki usług na podstawie umów cywilnoprawnych.
3. Upoważnienia są nadawane indywidualnie przed rozpoczęciem przez osobę przetwarzania danych osobowych.
4. Upoważnienie do przetwarzania danych osobowych może być w każdym czasie odwołane przez Spółkę. Oświadczenie o odwołaniu upoważnienia sporządza się w formie pisemnej.
5. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą ustania przesłanki będącej podstawą wydania upoważnienia, w tym zwłaszcza wygaśnięcie stosunku pracy lub umowy cywilnoprawnej.
6. Spółka prowadzi Ewidencję Osób Upoważnionych do Przetwarzania Danych Osobowych, zgodną z treścią załącznika nr 2. Polityki.
7. W Ewidencji dla każdej czynności upoważnienia do przetwarzania danych osobowych Spółka odnotowuje co najmniej:
a) numer upoważnienia,
b) data nadania upoważnienia,
c) imię i nazwisko osoby upoważnionej wraz ze stanowiskiem,
d) nazwę zbioru danych,
e) zakres upoważnienia,
f) datę wygaśnięcia lub cofnięcia upoważnienia,
g) uwagi, w tym zwłaszcza przyczyny cofnięcia upoważnienia.
8. Formę pisemną upoważnienia do przetwarzania danych określono w załączniku nr 4. Polityki.
9. Za bieżącą operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z upoważnieniem oraz rolą sprawowaną w procesie przetwarzania.
10. Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia.
11. Do najważniejszych obowiązków osób upoważnionych do przetwarzania danych należy:
a) znajomość, zrozumienie i stosowanie wszelkich środków ochrony danych osobowych,
b) przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi przez Spółkę regulacjami,
c) postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych,
d) uniemożliwienie osobom nieuprawnionym dostępu do miejsca przetwarzania danych,
e) zachowanie w tajemnicy danych osobowych, do których uzyskały dostęp oraz informacji o sposobach ich zabezpieczenia,
f) informowanie Spółki o wszelkich podejrzeniach naruszeń lub zauważonych naruszeniach, a także o słabościach systemu przetwarzającego dane osobowe,
g) zapoznanie się z niniejszą Polityką.
6) REJESTR POWIERZANIA PRZETWARZANIA DANYCH OSOBOWYCH
1. Powierzanie przez Spółkę na rzecz innych podmiotów przetwarzania danych jest dopuszczalne po uprzednim zawarciu umowy o powierzenie przetwarzania danych.
2. Umowa o przetwarzanie danych zawiera co najmniej następujące elementy:
a) przedmiot przetwarzania,
b) czas trwania przetwarzania,
c) charakter i cel przetwarzania,
d) rodzaj danych osobowych,
e) kategorię osób, których dane dotyczą,
f) obowiązki i prawa administratora,
g) obowiązki podmiotu przetwarzającego.
3. Spółka prowadzi Rejestr Powierzania Przetwarzania Danych Osobowych, zgodny z treścią załącznika nr 3. do Polityki, który zawiera co najmniej:
a) określenie podmiotu, któremu powierza się przetwarzanie danych osobowych,
b) cel i zakres powierzenia,
c) opis technicznych i organizacyjnych środków powierzenia danych osobowych.
7) SZKOLENIE PERSONELU
1. Każda osoba upoważniona przez Spółkę do przetwarzania danych osobowych przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winna być poddana przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
2. Za przeprowadzenie szkolenia odpowiada Prezes Spółki.
3. Zakres szkolenia powinien obejmować zaznajomienie osoby upoważnionej z przepisami RODO oraz wydanymi na tej podstawie aktami prawnymi oraz aktami wewnętrznymi Spółki w zakresie ochrony danych osobowych.
4. Po zaznajomieniu się ze wskazanymi powyżej regulacjami, osoba upoważniona, przed dopuszczeniem do przetwarzania danych, zobowiązuje się do ich przestrzegania poprzez podpisanie oświadczenia o treści zgodnej z załącznikiem nr 5. Polityki.
8) PODSTAWY PRZETWARZANIA
1. Spółka dokumentuje podstawy prawne przetwarzania danych dla poszczególnych czynności przetwarzania, w tym między innymi zgody na przetwarzanie danych osobowych udzielane na piśmie, zgodnie z treścią załącznika nr 8. do Polityki, umowy, a także notatki o przetwarzaniu na podstawie nałożonych obowiązków prawnych, istotnych interesów, zadań publicznych i uzasadnionego celu Spółki.
2. Spółka wdraża metody zarządzania zgodami, umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej danych osobowych, zgody na komunikację na odległość (email, telefon, sms) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności.
9) INNE OBOWIĄZKI SPÓŁKI
1. Spółka określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych.
2. Spółka dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób.
3. Spółka informuje osobę o przetwarzaniu jej danych przy pozyskiwaniu danych od tej osoby.
4. Spółka informuje o planowanej zmianie celu przetwarzania danych.
5. Spółka informuje odbiorców o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych, chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie to niemożliwe.
6. Spółka informuje osobę o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pierwszym kontakcie z tą osobą.
7. Spółka bez zbędnej zwłoki rozpatruje żądania osób. O przedłużeniu ponad miesiąc terminu na rozpatrzenie żądania Spółka informuje osobę wraz z podaniem przyczyn przedłużenia.
8. Spółka bez zbędnej zwłoki zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
9. Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, Spółka wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), Spółka może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
10. Nieprzetwarzanie. Spółka informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
11. Odmowa. Spółka informuje osobę w ciągu miesiąca od otrzymania żądania o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
12. Dostęp do danych. Na żądanie osoby dotyczące dostępu do jej danych, Spółka informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących.
13. Kopie danych. Na żądanie osoby, Spółka wydaje osobie kopię danych jej dotyczących i odnotowuje fakt wydania pierwszej kopii danych.
14. Sprostowanie danych. Spółka dokonuje sprostowania nieprawidłowych danych na żądanie osoby. Spółka ma prawo odmówić sprostowania danych, chyba że osoba w rozsądny sposób wykaże nieprawidłowości danych, których sprostowania się domaga. W przypadku sprostowania danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
15. Uzupełnienie danych. Spółka uzupełnia i aktualizuje dane na żądanie osoby. Spółka ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych (np. Spółka nie musi przetwarzać danych, które są Spółce zbędne). Spółka może polegać na oświadczeniu osoby, co do uzupełnianych danych, chyba że będzie to niewystarczające w świetle przyjętych przez Spółkę procedur (np. co do pozyskiwania takich danych) lub zaistnieją podstawy, aby uznać oświadczenie za niewiarygodne.
16. Usunięcie danych. Na żądanie osoby, Spółka usuwa dane, gdy:
a) dane nie są niezbędne do celów, w których zostały zebrane ani nie są niezbędne do przetwarzania w innych celach,
b) zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania,
c) osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
d) dane były przetwarzane niezgodnie z prawem,
e) konieczność usunięcia wynika z obowiązku prawnego,
f) żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.
17. Spółka określa sposób obsługi prawa do usunięcia danych w taki sposób, aby zapewnić efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa, a także weryfikację, czy nie zachodzą wyjątki, o których mowa w art. 17. ust. 3 RODO.
18. Jeżeli dane podlegające usunięciu zostały upublicznione przez Spółkę, Spółka podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o potrzebie usunięcia danych i dostępu do nich.
19. W przypadku usunięcia danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
20. Ograniczenie przetwarzania. Spółka dokonuje ograniczenia przetwarzania danych na żądanie osoby, gdy:
a) osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość,
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
c) Spółka nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
d) osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie Spółki zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu.
W trakcie ograniczenia przetwarzania Spółka przechowuje dane, natomiast nie przetwarza ich (nie wykorzystuje, nie przekazuje), bez zgody osoby, której dane dotyczą, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego. Spółka informuje osobę przed uchyleniem ograniczenia przetwarzania. W przypadku ograniczenia przetwarzania danych Spółka informuje osobę o odbiorcach danych, na żądanie tej osoby.
21. Przenoszenie danych. Na żądanie osoby Spółka wydaje w powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, dane dotyczące tej osoby, które dostarczyła ona Spółce, przetwarzane na podstawie zgody tej osoby lub w celu zawarcia lub wykonania umowy z nią zawartej, w systemach informatycznych Spółki.
22. Sprzeciw w szczególnej sytuacji. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a dane przetwarzane są przez Spółkę w oparciu o uzasadniony interes Spółki lub o powierzone Spółce zadanie w interesie publicznym, Spółka uwzględni sprzeciw, o ile nie zachodzą po stronie Spółki ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.
23. Sprzeciw przy badaniach naukowych, historycznych lub celach statystycznych. Jeżeli Spółka prowadzi badania naukowe, historyczne lub przetwarza dane w celach statystycznych, osoba może wnieść umotywowany jej szczególną sytuacją sprzeciw względem takiego przetwarzania. Spółka uwzględni taki sprzeciw, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
24. Minimalizacja. Spółka dba o minimalizację przetwarzania danych pod kątem:
a) adekwatności danych do celów (ilości danych i zakresu przetwarzania),
b) dostępu do danych,
c) czasu przechowywania danych.
10) OCHRONA POMIESZCZEŃ, W KTÓRYCH PRZECHOWYWANE SĄ DANE OSOBOWE
1. Kierownicy poszczególnych działów Spółki odpowiadają za należyte zabezpieczenie fizyczne zasobów danych osobowych w podległych komórkach.
2. Prezes Spółki jest zobowiązany przeprowadzić kontrolę stanu zabezpieczeń fizycznych zbiorów danych osobowych.
3. Przebywanie osób nieuprawnionych do dostępu do danych osobowych, w których są one przetwarzane, jest dopuszczalne tylko w obecności osób upoważnionych do przetwarzania tych danych.
4. Zezwala się na przebywanie w pomieszczeniach, o których mowa powyżej, osobom sprzątającym pomieszczenia poza godzinami pracy w Spółce bez konieczności obecności osoby upoważnionej. Osoby sprzątające podpisują oświadczenie o zachowaniu poufności.
5. Pomieszczenia, w których są przetwarzane dane osobowe powinny być zamykane na czas nieobecności w nich osób upoważnionych do przetwarzania danych osobowych, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym.
6. Budynki i pomieszczenia Spółki posiadają zabezpieczenia, w tym zwłaszcza:
drzwi zewnętrzne zaopatrzone w zamki,
dostęp i klucze do drzwi głównych wejściowych posiadają upoważnieni do tego pracownicy,
klucze do pomieszczeń biurowych posiadają upoważnieni pracownicy.
7. W przypadku przetwarzania danych osobowych na urządzeniach przenośnych lub dokumentach papierowych poza obszarem przetwarzania danych osobowych wymienionych w Polityce, należy bezwzględnie chronić te dane przed dostępem do nich osób nieupoważnionych.
11) POSTĘPOWANIE W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
1. Każda osoba upoważniona do przetwarzania danych osobowych w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych zobowiązana jest poinformować o tym Wspólników reprezentujących Spółkę.
2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
niewłaściwe zabezpieczenia fizyczne pomieszczeń, urządzeń i dokumentów,
niewłaściwe zabezpieczenia sprzętu, oprogramowania,
nieprzestrzeganie zasad ochrony danych osobowych.
3. Do typowych incydentów bezpieczeństwa danych osobowych należą:
zdarzenia losowe zewnętrzne (pożar, utrata zasilania),
zdarzenia losowe wewnętrzne (awaria serwera, komputerów, dysków, oprogramowania),
umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome niszczenie dokumentów, działanie szkodliwego oprogramowania).
4. W przypadku stwierdzenia wystąpienia zagrożenia, Spółka prowadzi postępowanie wyjaśniające, w toku którego:
a) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
b) inicjuje ewentualne działania dyscyplinarne,
c) rekomenduje działania prewencyjne zmierzające do eliminacji podobnych zagrożeń w przyszłości,
d) dokumentuje postępowanie.
5. W przypadku stwierdzenia incydentu, Spółka prowadzi postępowanie wyjaśniające, w toku którego:
a) ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
b) zabezpiecza ewentualne dowody,
c) bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza organowi nadzorczemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia,
d) ustala osoby odpowiedzialne za naruszenie,
e) podejmuje działania dyscyplinarne,
f) wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
g) dokumentuje prowadzone postępowania zgodnie z treścią załącznika nr 6. Polityki.
12) INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI
Zasady ogólne
1. Niniejsza instrukcja określa zasady eksploatacji i zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w Spółce.
2. Zasady opisane w niniejszym dokumencie są zgodne z obowiązującymi wymogami prawnymi, w szczególności z przepisami RODO.
3. Użytkownicy systemu informatycznego przetwarzającego dane osobowe wykorzystują w procesie uwierzytelniania identyfikatory i hasła. Każdy identyfikator jest w sposób jednoznaczny przypisany konkretnemu użytkownikowi.
4. Hasło jest zmieniane przez użytkownika niezwłocznie w przypadku podejrzenia, iż mogły z nim zapoznać nieuprawnione osoby. Hasło powinno różnić się od poprzednio używanych.
5. Użytkownik zobowiązany jest do:
a) nieujawniania hasła innym osobom, w tym innym użytkownikom,
b) zachowania hasła w tajemnicy, nawet po jego wygaśnięciu,
c) niezapisywania hasła,
d) postępowania z hasłami w sposób uniemożliwiający dostęp do nich osobom trzecim,
e) wprowadzenia haseł do systemu w sposób minimalizujący podejrzenie go przez innych użytkowników.
6. Rozpoczynając pracę w systemie informatycznym przetwarzającym dane osobowe użytkownik:
a) uruchamia komputer,
b) wprowadza niezbędne do pracy identyfikatory i hasła w sposób minimalizujący ryzyko podejrzenia ich przez osoby trzecie.
7. Zawieszając pracę w systemie informatycznym oraz odchodząc od stanowiska pracy, użytkownik blokuje stację roboczą. Kontynuacja pracy może nastąpić po odblokowaniu stacji roboczej po wprowadzeniu identyfikatora oraz hasła.
8. Opuszczając pomieszczenie, w którym przetwarzane są dane osobowe, pracownik zobowiązany jest do zamknięcia pomieszczenia na klucz, jeżeli w pomieszczeniu nie przebywa inna osoba upoważniona do przebywania w tym pomieszczeniu.
9. Zabronione jest pozostawienie bez nadzoru pomieszczenia, w których przetwarzane się dane osobowe.
10. Kończąc pracę w systemie informatycznym, użytkownik wylogowuje się ze wszystkich aplikacji, z których korzystał, wyłącza stację roboczą i zabezpiecza nośniki danych.
11. W przypadku, gdy użytkownik jest ostatnią osobą opuszczającą pomieszczenie, sprawdza zamknięcie okien oraz zamyka drzwi do pomieszczenia na klucz.
Procedura tworzenia kopii zapasowych
1. Do pełnienia funkcji Administratora Systemów Informatycznych, w tym zwłaszcza do tworzenia i przechowywania kopii zapasowych upoważnia się osobę będącą pracownikiem lub współpracownikiem Spółki.
2. Dane osobowe przechowywane są w postaci elektronicznej na nośnikach elektronicznych wbudowanych w sprzęt informatyczny lub stanowiący element tego systemu.
3. Dane osobowe przechowywane są na przenośnych nośnikach elektronicznych jedynie w przypadkach, gdy jest to konieczne, przez czas niezbędny do spełnienia celu, w jakim zostały one na nośniku zapisane. Po ustaniu czasu przechowywania, zawartość nośnika podlega skasowaniu.
4. Dane osobowe w systemie informatycznym przechowywane są przez czas wymagany do spełnienia celu, dla którego są przechowywane. Po jego upływie dane podlegają skasowaniu lub anonimizacji.
5. Kopie zapasowe systemów przetwarzających dane osobowe są zapisywane na dysku sieciowym znajdującym się w zamkniętej szafie serwerowej.
6. Raz w miesiącu kopie zapasowe przenoszone są na dysk zewnętrzny, który przechowywany jest w sejfie.
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem działania jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
1. W celu zabezpieczenia systemu informatycznego przed działaniem niebezpiecznego oprogramowania zabrania się:
a) uruchamiania jakiegokolwiek oprogramowania, które nie zostało zatwierdzone do użytku Spółki,
b) samowolnego korzystania z nośników przenośnych,
c) otwierania poczty elektronicznej, której tytuł nie sugeruje związku z pełnionymi obowiązkami służbowymi. W wątpliwych przypadkach użytkownik powinien skontaktować się z Administratora Systemów Informatycznych lub osobą przez niego upoważnioną,
d) korzystania z Internetu w celach nie związanych z pełnionymi obowiązkami służbowymi,
e) podłączenia komputerów do sieci zewnętrznych za pośrednictwem modemów.
2. W przypadku zauważenia objawów mogących wskazywać na obecność niebezpiecznego oprogramowania użytkownik jest zobowiązany powiadomić Administratora Systemów Informatycznych lub osobę przez niego upoważnioną.
3. Do wskazany wyżej objawów można zaliczyć zwłaszcza:
a) wyraźne spowolnienie działania systemu informatycznego,
b) nietypowe działania aplikacji,
c) nietypowe komunikaty,
d) utratę danych lub modyfikacją danych.
4. System informatyczny jest zabezpieczony przed działaniem niebezpiecznego oprogramowania poprzez:
a) zaporę sieciową,
b) oprogramowanie antywirusowe,
c) aktualizację oprogramowania systemowego.
Przegląd i konserwacja systemów oraz nośników
1. Prace serwisowe wykonywane są na terenie Spółki.
2. Przekazanie sprzętu do naprawy poza terenem Spółki jest dopuszczalne, jeżeli spełnione zostaną poniższe warunki:
a) sprzęt przekazywany jest bez nośników zawierających dane osobowe, zaś fakt usunięcia nośników danych lub stwierdzenia braku nośników danych jest potwierdzany protokołem,
b) przekazanie sprzętu potwierdzane jest protokołem, pozwalającym na jednoznaczne wskazanie osoby przekazującej i osoby odbierającej sprzęt.
3. Wszelkie prace serwisowe wykonywane przez podmioty zewnętrzne wymagają sporządzenia protokołu serwisowego, zawierającego co najmniej poniższe informacje
a) wskazanie osoby przeprowadzającej prace serwisowe oraz podmiotu, którego osoba ta jest pracownikiem,
b) wskazanie osoby nadzorującej przebieg prac serwisowych (dot. sytuacji, gdy prace realizowane są w siedzibie),
c) przedmiot prac serwisowych,
d) zakres prac serwisowych,
e) czas przeprowadzenia prac serwisowych.
13) POSTANOWIENIA KOŃCOWE
1. Spółka ma obowiązek zapoznać z treścią Polityki każdego upoważnionego do przetwarzania danych osobowych oraz użytkownika systemu informatycznego obejmującego zakresem przetwarzanie danych osobowych.
2. Upoważnieni i użytkownicy, o których mowa powyżej, są zobowiązani do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce.
3. Wszelkie określone w Polityce regulacje dotyczące systemów informatycznych dotyczą również przetwarzania danych osobowych w bazach prowadzonych przez Spółkę w jakiejkolwiek formie.
4. Wobec osoby, która – w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia – nie podjęła działania określonego w Polityce, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
5. W sprawach nieuregulowanych w Polityce zastosowanie mają przepisy RODO.