Telefon:+48 606 140 096

Email:biuro@f3dfilament.com

Koszyk

Polityka prywatności

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Zarząd Finnotech Sp. z o. o. z siedzibą w Katowicach , w związku z wykonywaniem obowiązków Administratora Danych Osobowych, deklaruje podejmowanie wszelkich możliwych działań koniecznych do zapobiegania takim zagrożeniom, jak:

  • sytuacje losowe lub nieprzewidziane działanie czynników zewnętrznych np. pożar, zalanie pomieszczeń, kradzież, włamanie, napad, niepożądana ingerencja osób trzecich,
  • niewłaściwe parametry środowiska pracy urządzeń komputerowych (np. nadmierna wilgotność, nadmierna temperatura),
  • awarie sprzętu lub oprogramowania wskazujące na naruszenie ochrony danych osobowych, niewłaściwe działanie serwisantów w tym pozostawienie danych bez nadzoru lub poza siedzibą administratora danych osobowych,
  • naruszenie bezpieczeństwa przez nieautoryzowane ich przetwarzanie, ujawnienie osobom nieupoważnionym procedur ochrony stosowanych przez administratora danych osobowych,
  • ujawnienie osobom nieupoważnionym danych przetwarzanych przez administratora, w tym także nieumyślne ujawnienie danych (praca bez upoważnienia, naruszanie polityki ochrony haseł),
  • celowe lub przypadkowe rozproszenie danych w sieci publicznej,
  • ataki z sieci publicznej,
  • naruszenie zasad i procedur określonych w dokumentacji z zakresu ochrony danych osobowych,
  • przetwarzanie danych osobowych w celach prywatnych.

Polityka Bezpieczeństwa danych osobowych stanowi dokumentację przetwarzania danych osobowych wymaganą przez:

  • Ustawę o ochronie danych osobowych z dnia 10.05.2018r.
  • Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

I. DEFINICJE POJĘĆ

  • Ustawa – rozumie się przez to Ustawę o ochronie danych osobowych z dnia 10.05.2018r;
  • Rozporządzenie – rozumie się przez to Rozporządzenie 2016/679 Parlamentu Europejskiego
    i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
    i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO);
  • Instrukcja Zarządzania Systemem Informatycznym – dokument stanowiący integralną część dokumentacji przetwarzania danych osobowych w systemach informatycznych, opisujący stosowane procedury i zabezpieczenia, zwany dalej „Instrukcją”;
  • Administrator Danych Osobowych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych w Finnotech
    z
    o.o. (dalej: Finnotech Sp. z o.o.)
  • Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane
    o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  • Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
  • Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  • System Informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi zastosowanych do przetwarzania danych;
  • Osoba upoważniona do przetwarzania danych osobowych – rozumie się przez to osobę upoważnioną na piśmie przez Administratora Danych do przetwarzania;
  • Użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych
    w systemach informatycznych, której nadano identyfikator i przyznano hasło;
  • Podmiot Przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  • Odbiorcy danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
  • Identyfikator (login) – ciąg znaków literowych, cyfrowych i innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
  • Hasło – ciąg znaków literowych cyfrowych innych znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
  • Sieć telekomunikacyjna – rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt. 35 Ustawy z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne
  • Sieć publiczna – rozumie się przez to sieć telekomunikacyjną, niebędącą siecią wewnętrzną, służącą do świadczenia usług telekomunikacyjnych;
  • Teletransmisja – przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
  • Rozliczalność –Administrator musi być w stanie wykazać przestrzeganie przepisów Artykuł 5 ust.1 RODO.
  • Integralność i poufność danych –przetwarzanie w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym
    z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych;
  • Strona trzecia- oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które –
    z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
  • Ograniczenie przetwarzania- oznacza oznaczenie przechowywanych danych osobowych
    w celu ograniczenia ich przyszłego przetwarzania;
  • Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
  • Przedsiębiorca – oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;
  • Organ nadzorczy – oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 – Urząd Ochrony Danych Osobowych;

II. ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH

1. Zadania i obowiązki Administratora Danych Osobowych [ADO]

Administrator Danych Osobowych wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z prawem i aby móc to wykazać, a w szczególności:

  • Wdraża odpowiednie polityki i procedury ochrony danych osobowych,
  • Może stosować zatwierdzone kodeksy postępowania, o których mowa w art. 40 RODO,
  • Może stosować zatwierdzone mechanizmy certyfikacji, o których mowa w art. 42,
  • Stosuje zasadę uwzględniania ochrony danych osobowych w fazie projektowania oraz zasadę domyślnej ochrony danych, zgodnie z art. 25 RODO,
  • Korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczającą gwarancję wdrożenia odpowiednich środków technicznych
    i organizacyjnych, chroniących prawa osób, których dane dotyczą,
  • Dopuszcza do przetwarzania danych osobowych wyłącznie osoby upoważnione,
  • Prowadzi rejestr czynności przetwarzania danych osobowych za które odpowiada, gdy nie podlega wyłączeniu zgodnie z art. 30 ust. 5
  • Na żądanie współpracuje z organem nadzorczym w ramach wykonywania przez niego swoich zadań,
  • Wypełnia obowiązek informacyjny względem osób, których dane dotyczą, zgodnie
    z art. 12-14, prowadzi z nią wszelką komunikację na mocy art. 15-22 i art. 34
    w sprawie przetwarzania,
  • Dokonuje oceny skutków dla planowanych operacji przetwarzania dla ochrony danych osobowych w przypadku, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
  • wyznacza Inspektora Ochrony Danych (IOD), jeśli stanowią o tym przepisy prawa – Art. 37 ust. 1 RODO,
  • podejmuje działania w przypadku naruszenia procedur bezpiecznego przetwarzania danych i bez zbędnej zwłoki zgłasza je właściwemu organowi nadzorczemu,
  • zapewnia użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne
    i zgodne z prawem przetwarzanie danych,
  • podejmuje decyzje o celach i sposobach przetwarzania danych osobowych
    z uwzględnieniem zmian w obowiązującym prawie.

2. Obowiązki pracowników i osób współpracujących w zakresie ochrony danych osobowych w firmie

  • Przestrzeganie przepisów prawa oraz obowiązujących w firmie procedur postępowania
    w zakresie dotyczącym ochrony danych osobowych;
  • Zachowanie w poufności danych osobowych oraz sposobów ich zabezpieczeń, zarówno w czasie zatrudnienia lub zaangażowania w Spółce, jak również po ustaniu stosunku pracy / współpracy;
  • Respektowanie praw osób, których dane dotyczą;
  • Przestrzeganie zabezpieczeń danych osobowych przetwarzanych w formie papierowej
    (w tym stosowanie się do „zasady czystego biurka”, przechowywanie dokumentów
    w przeznaczonych do tego miejscach);
  • Przestrzeganie zabezpieczeń komputerów;
  • Skuteczne niszczenie dokumentów oraz nośników danych (np. za pomocą niszczarki), po utracie ich przydatności;
  • Zachowanie środków bezpieczeństwa podczas transportu danych;
  • Informowanie administratora danych osobowych (ADO) o wszelkich wątpliwościach związanych z ochroną danych osobowych w firmie oraz zaistniałych incydentach bezpieczeństwa informacji.

 

3. Sankcje za nieprzestrzeganie przepisów o ochronie danych osobowych

  • Odpowiedzialność karna – zagrożona karą grzywny, ograniczenia wolności bądź pozbawienia wolności do lat 2 lub 3;
  • Odpowiedzialność cywilna – z tytułu naruszenia dóbr osobistych, postępowanie przed sądem cywilnym; możliwość zasądzenia od pracownika na rzecz poszkodowanego odszkodowania lub zadośćuczynienia za doznaną krzywdę;
  • Odpowiedzialność administracyjna – naruszenie przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 € lub 20 000 000 €, a w przypadku przedsiębiorstwa – w wysokości do 2% lub 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa;
  • Odpowiedzialność dyscyplinarna – Naruszenie zasad ochrony danych osobowych określonych w RODO lub wewnętrznych procedurach może skutkować ciężkim naruszeniem obowiązków pracowniczych w rozumieniu art. 52 Kodeksu pracy
    i skutkować rozwiązaniem umowy o pracę bez wypowiedzenia z winy pracownika, oraz zasądzeniem kar dyscyplinarnych wyodrębnionych w Kodeksie pracy.

III. OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

II. Finnotech Sp. z o. o.
ul. Kolista 25, 40-486 Katowice

    1. Biuro – pokój nr 201

II. ul. Rudna 14, 41-214 Sosnowiec

    1. Magazyn

IV. WYKAZ ZBIORÓW DANYCH OSOBOWYCH  

Nazwa/opis kategorii

Cel przetwarzania

Podstawa prawna

Zakres przetwarzanych danych w zbiorze

Systemy informatyczne,
w których dokonywane jest przetwarzanie

 

Pracownicy

 

Prowadzenie dokumentacji kadrowo-płacowej

 

Kodeks pracy

Strona w umowie

 

Imiona i nazwisko, Nazwisko rodowe, Adres do korespondencji,  Adres zamieszkania, Miejsce urodzenia, Seria i nr dowodu osobistego, Stopień/tytuł naukowy/zawodowy, Płeć, Imiona rodziców, Nr konta bankowego, Adres e-mail, Pesel, Data urodzenia, Historia zatrudnienia, Adres zameldowania, Numer telefonu, Obywatelstwo, Status emeryta/rencisty, NIP, Imię i nazwisko osoby, którą trzeba zawiadomić w razie wypadku, Stan rodzinny (imiona, nazwiska, daty urodzenia, PESEL dzieci), Wysokość wynagrodzenia, Stosunek do powszechnego obowiązku obrony(nr książeczki, stopień wojskowy)

 

MS Office dla celów doraźnych

Kontrahenci i zleceniobiorcy

Realizacja umów

Art. 6 ust. 1 lit. b: Strona w umowie

Art. 6 ust. 1 lit. a: Zgoda osoby, której dane dotyczą.

 

Imiona i nazwisko, Adres zamieszkania, Adres do korespondencji, Numer telefonu, Adres firmy,  REGON, Seria i nr dowodu osobistego, Adres e-mail, Nazwa firmy, NIP, Nr konta bankowego, Pesel, Dane osoby kontaktowej

Optima

Księga korespondencji

Ewidencja korespondencji

Art.6 ust.1 lit. a: Prawnie uzasadniony interes Administratora

 

Imię i nazwisko, Adres zamieszkania lub pobytu, Adres do korespondencji

Systemy elektroniczne firm kurierskich

Zarejestrowani Klienci sklepu internetowego

Realizacja zamówień

 

Art. 6 ust. 1 lit. a: Zgoda osoby, której dane dotyczą.

Akceptacja Regulaminu Sklepu internetowego

 

Imię i Nazwisko, płeć, data urodzenia,  nazwa firmy, NIP, REGON, adres pocztowy, Numer  telefonu, numer telefonu komórkowego, Adres e-mail, Adres do wysyłki, historia zamówień, adres dostawy, adres rozliczeniowy, numer faksu, szczegóły dotyczące płatności, kart płatniczych,  numer rachunku bankowego, adresy,

Excel

Newsletter

wysyłka informacji marketingowych

 

Art. 6 ust. 1 lit. a: Zgoda osoby, której dane dotyczą.

 

 

Imię, nazwisko, adres e-mail,

www.f3dfilament.com

 

 

V. WYKAZ ODBIORCÓW DANYCH OSOBOWYCH

Szczegółowy wykaz umów powierzenia znajduje się w Załączniku nr 5 Ewidencja umów powierzenia.

VI. WYKAZ POWIERZONYCH DANYCH OSOBOWYCH PRZEZ INNYCH ADMINISTRATORÓW

Szczegółowy wykaz umów powierzenia znajduje się w Załączniku nr 5 Ewidencja umów powierzenia.

VII. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI
I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

1. Zapewnienie poufności, rozliczalności i integralności danych oraz bezpieczeństwo przetwarzania danych osobowych

ADO stosuje i utrzymuje system ochrony danych osobowych oraz dba o to, by przetwarzanie danych było zgodnie z prawem.

Na każdym etapie procesu przetwarzania danych stosuje się zasadę domyślnej ochrony danych, to jest domyślne przetwarzanie wyłącznie tych danych osobowych, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania oraz domyślnie dane osobowe nie są udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych. Ponad to stosuje się zasadę uwzględniania ochrony danych w fazie projektowania, to jest podczas planowania sposobów przetwarzania lub w czasie samego przetwarzania Administrator wdraża odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia danych osobowych stosownie do charakteru, zakresu, kontekstu i celów przetwarzania oraz do ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczą.  

Procesy przetwarzania danych podlegają kontroli i zapewniona jest ich pełna rozliczalność zarówno w systemach tradycyjnych jak i informatycznych.

Szczególnie ważną rolę odgrywa bezpieczeństwo danych osobowych powierzonych do przetwarzania przez innych Administratorów.

2. Powierzenie przetwarzania

ADO dopuszcza możliwość powierzania przetwarzania danych osobowych, których jest Administratorem, podmiotom trzecim. Może się to odbywać wyłącznie na mocy pisemnej umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 28 ust. 3 RODO.

Każdorazowe powierzenie przetwarzania danych osobowych musi uzyskać akceptację ADO
i być odnotowane w ewidencji umów powierzenia przetwarzania danych osobowych. ADO, przed powierzeniem danych osobowych, ma obowiązek sprawdzić poziom bezpieczeństwa podmiotu, któremu dane będą powierzane oraz określa sposób oraz zakres przekazywania danych osobowych.

Dla danych powierzonych do przetwarzania przez podmioty trzecie należy stosować się szczegółowo do wytycznych dotyczących danych osobowych zawartych w zapisach umów zawsze z uwzględnieniem przepisów prawa. Dla nowych podmiotów należy zapewnić ADO podstawę prawną przetwarzania w postaci umowy o powierzenie do przetwarzania dla ADO.

3. Bezpieczeństwo osobowe

Osoby upoważnione, mające dostęp do danych osobowych, dobierane są z uwzględnieniem ich wysokich kwalifikacji. Zwraca się uwagą na takie cechy jak uczciwość, odpowiedzialność oraz przewidywalność zachowań. Każda osoba upoważniona zobowiązana jest do zachowania poufności oraz do zapoznania się i stosowanie obowiązujących w zakresie ochrony danych osobowych przepisów prawa oraz wewnętrznych regulacji, w szczególności Polityki bezpieczeństwa i Instrukcji.

4. Upoważnienia do przetwarzania danych osobowych

Do przetwarzania danych dopuszczone zostają wyłącznie osoby upoważnione zgodnie
z zakresem swoich obowiązków oraz realizowanymi zadaniami. Każdorazowe upoważnienie przyznawane jest przez ADO zgodnie z zasadą minimalnego, niezbędnego dostępu. Upoważnienia wydawane są w formie papierowej. Osoby upoważnione podpisują jednocześnie oświadczenie o zachowaniu poufności danych. (Wzór upoważnienia
w załączniku nr 1 „Wzory dokumentów”
).

Zasady zmieniania/odwołania upoważnienia:

  • Każde nowe upoważnienie zastępuje stare, bez konieczności jego odwołania.
  • Upoważnienie obowiązuje aż do momentu nadania nowego, jego odwołania lub wygaśnięcia.
  • Upoważnienie wygasa automatycznie w dniu zakończenia umowy/współpracy.

5. Zabezpieczeniem sprzętu.

Wszystkie urządzenia służące do przetwarzania danych znajdują się w strefach bezpiecznych ADO. Urządzenia mobilne służące do przetwarzania danych osobowych do wykonywania czynności pracowniczych mogą być dopuszczone do użytku wyłącznie za zgodą ADO oraz
z zastosowaniem koniecznych zabezpieczeń poza obszarem przetwarzania. Zakazane jest podłączanie do sieci informatycznej wewnętrznej jakichkolwiek urządzeń bez zgody ADO.

Dane na nośnikach poza obszarem przetwarzania, muszą być zapisywane na szyfrowanych partycjach lub w katalogach nośnika. Sposób szyfrowania określa ADO.

6. Polityka czystego biurka i ekranu.

  • Zasada indywidualnych kont w systemie. Każdy pracownik zobowiązany jest do pracy w systemach teleinformatycznych na przypisanych mu kontach. Zabronione jest udostępnianie kont osobom trzecim.
  • Zasada poufności haseł i kodów dostępu. Każdy pracownik zobowiązany jest do zachowania poufności i nie przekazywania osobom nieuprawnionym udostępnionych jemu haseł. Zasada ta w szczególności dotyczy osobistych haseł dostępu pracownika do systemów teleinformatycznych i stref chronionych.
  • Zasada zamkniętego pomieszczenia. Niedopuszczalne jest pozostawianie niezabezpieczonego pomieszczenia służbowego, zarówno w godzinach pracy, jak i po jej zakończeniu, jeśli nie pozostaje w nim osoba uprawniona. Zasada nie dotyczy pomieszczeń ogólnie dostępnych. Po zakończeniu dnia pracy, ostatnia wychodząca
    z pomieszczenia osoba jest zobowiązana zamknąć wszystkie okna i drzwi oraz zgodnie z obowiązującymi ustaleniami, zabezpieczyć klucze do pomieszczenia.
  • Zasada nadzorowania dokumentów. Po godzinach pracy wszystkie dokumenty zawierające informacje istotne z punktu widzenia interesów Spółki powinny być przechowywane w zamkniętych szafach lub szufladach, zabezpieczonych przed dostępem do osób nieuprawnionych.
  • Zasada czystego biurka. Należy unikać pozostawionych bez nadzoru dokumentów na biurku. Po zakończeniu pracy należy uprzątnąć biurko z dokumentów papierowych oraz innych nośników informacji (płyt CD, DVD, itp.).
  • Zasada czystej tablicy. Po zakończeniu zajęć, spotkań, dyskusji itp. należy uprzątnąć wszystkie materiały oraz oczyścić tablice.
  • Zasada czystego ekranu. Każdy komputer musi mieć ustawiony wygaszasz ekranu po podaniu hasła lub włączający się automatycznie po określonym czasie bezczynności użytkownika. Dodatkowo przed pozostawieniem włączonego komputera bez opieki użytkownicy powinni zablokować go (włączając wygaszasz ekranu) lub
    w przypadku dłuższej nieobecności wylogować się z systemu.
  • Zasada czystego pulpitu. Na pulpicie komputera mogą znajdować się jedynie ikony standardowego oprogramowania i aplikacji służbowych oraz skróty folderów pod warunkiem, że w nazwie nie zawierają informacji o realizowanych projektach lub klientach.
  • Zasada czystych drukarek. Informacje drukowane powinny być zabierane
    z drukarek niezwłocznie po wydrukowaniu. W przypadku nieudanej próby drukowania, użytkownik powinien skontaktować się z serwisantem odpowiedzialnym za poprawne funkcjonowanie urządzenia. Samodzielnie lub według instrukcji serwisanta usunąć informację z pamięci drukarki.
  • Zasada czystego kosza. Dokumenty papierowe z wyjątkiem materiałów promocyjnych, marketingowych i informacyjnych powinny być niszczone w sposób uniemożliwiający ich odczytanie, (najlepiej w niszczarce), umieszczane w specjalnie przeznaczonych do tego pojemnikach itp.
  • Zasada odpowiedzialności za zasoby. Każdy użytkownik odpowiada za udostępnione jemu zasoby (komputery, oprogramowanie, systemy, konta itp.). Zasoby te przeznaczone są do realizacji celów służbowych. Wykorzystanie ich do celów prywatnych możliwe jest jedynie w ograniczonym wewnętrznymi przepisami zakresie. Nieuprawnione instalowanie nielegalnego oprogramowania jest bezwzględnie zabronione.

7. Polityka kluczy

  1. Biuro – pierwszy upoważniony pracownik pobiera klucz z recepcji i otwiera biuro.
    Po pracy ostatni pracownik zamyka biuro i oddaje klucz na recepcję.
  2. Magazyn- pierwszy upoważniony pracownik otwiera magazyn, po zakończeniu pracy ostatni upoważniony pracownik wychodzący zamyka magazyn, zabierając klucze ze sobą.

8. Zabezpieczenie danych w kontaktach e-mail

Każdy upoważniony do przetwarzania danych osobowych pracownik przesyłając drogą email dane klientów lub pracowników zobowiązany jest do ich szyfrowania.

Dane szyfrowane są za pomocą programu szyfrującego, który potrafi zakodować dane, że ich odczytanie będzie możliwe tylko i wyłącznie w przypadku posiadania odpowiedniego klucza deszyfrującego.

Hasło do odczytania danych przesłane będzie odbiorcy innym bezpiecznym kanałem komunikacji np. za pomocą SMS lub podane telefonicznie.

9. Zabezpieczenia we własnym zakresie

Każda osoba przetwarzająca dane osobowe zobowiązuje się do:

  • trwałego usuwania danych na elektronicznych nośnikach przenośnych po ich użyciu,
  • nieużywania powtórnie jednostronnie zadrukowanych dokumentów,
  • zachowania w tajemnicy danych i informacji,
  • pilnego strzeżenia akt, teczek, przenośnych nośników pamięci i urządzeń,
  • niepozostawiania dokumentów i urządzeń w samochodach i miejscach publicznych,
  • ustawienia ekranów komputerowych w sposób uniemożliwiający podgląd zawartości osobom niepowołanym,
  • niezapisywania haseł na papierze bądź innym nośniku,
  • niepodłączania do listew podtrzymujących napięcie innych urządzeń niż wymagane,
  • dbania o wentylację komputerów (nie zasłaniania kratek wentylacyjnych komputerów),
  • powstrzymania siebie i osób niepowołanych od samodzielnej ingerencji
    w oprogramowanie i konfigurację sprzętu,
  • przestrzegania swoich uprawnień w systemie,
  • niepozostawiania osób postronnych bez obecności osoby upoważnionej,
  • przesyłania zbiorów danych pocztą elektroniczną wyłącznie w postaci zaszyfrowanej,
  • nie wynoszenia zbiorów danych poza siedzibę administratora,
  • wykonywania kopii roboczych wyłącznie w zakresie realizowanych procedur,
  • zamykania na klucz pomieszczeń, w których przetwarzane są dane osobowe,
  • chowania do szaf zamykanych na klucz wszystkich druków zawierających dane osobowe, w obszarach, w których dopuszcza się przebywanie osób trzecich
    (np. serwis sprzątający)
  • umieszczenia kluczy w ustalonym, przeznaczonym do tego celu miejscu,
  • zamykania okien w przypadku opuszczania pomieszczenia,
  • ochrony dokumentów i urządzeń przed zniszczeniem, zalaniem, zabrudzeniem,
  • przestrzegania procedur instrukcji zarządzania systemem informatycznym,
  • przestrzegania polityki czystego biurka i ekranu,
  • w przypadku drukowania, kopiowania lub skanowania dokumentów poza swoim stanowiskiem pracy, nie dopuścić do pozostawiania kopii poza nadzorem.

10. Szkolenia

ADO przyjmuje plan szkoleń (Załącznik nr 6).  Zgodnie z planem szkoli się każdą osobę, która ma zostać upoważniona do przetwarzania danych osobowych. Szkolenia przeprowadzane są również w wypadku każdej zmiany zasad lub procedur ochrony danych osobowych oraz dla każdej nowozatrudnionej osoby. Szkolenia przeprowadza zewnętrzny podmiot szkolący z zakresu ochrony danych osobowych.

Tematyka szkoleń obejmuje w szczególności:

  • przepisy i instrukcje dotyczące ochrony danych osobowych,
  • sposób ochrony danych przed osobami niepowołanymi,
  • obowiązki osób upoważnionych do przetwarzania,
  • inne zasady określone w polityce bezpieczeństwa.

11. Archiwizacja

Archiwizacja dokumentów papierowych zawierających dane osobowe realizowana jest
w zamkniętym obszarze do tego przeznaczonym oraz w szafie zamykanej na klucz.

12. Dane osobowe otrzymywane drogą mailową niezwiązane z działalnością Administratora

ADO wyklucza celowość otrzymywania jakichkolwiek informacji zawierających zbiory danych osobowych droga mailową, niezwiązane z bieżącą działalnością, w szczególności tych, które nie są stosownie zabezpieczone (szyfrowane). Przychodząca korespondencja zawierająca takie dane, powinna być natychmiast trwale usuwana z magazynu programu pocztowego.

13. Zdalny dostęp

Administrator dopuszcza zdalny dostęp do danych osobowych wyłącznie dla osób upoważnionych, realizowany wyłącznie w protokole szyfrowanym, zapewniającym poufność
i integralność transmisji danych, a także uwierzytelnienie serwera i klienta.

14. Ewidencja osób upoważnionych do przetwarzania danych osobowych

Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych (Załącznik nr 4).

15. Ewidencje udostępnień danych osobowych

ADO prowadzi ewidencję udostępnień danych osobowych odbiorcom danych oraz innym podmiotom. Każdorazowe udostępnienie danych osobowych ze zbiorów danych przetwarzanych przez ADO wymaga podania podstawy prawnej. Wniosek o udostępnienie danych wymagany jest w formie pisemnej.

16. Ewidencja naruszeń i procedura zgłaszania naruszeń do PUODO

Art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli  prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie „wszelkich naruszeń” oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. 4 pkt 12 RODO. W ewidencji powinny się znaleźć  naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałyby one ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja obejmuje skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora.

Raport z naruszenia w Załączniku nr 13

Ewidencja naruszeń w Załączniku nr 14.

Procedura zgłaszania naruszeń do PUODO w Załączniku nr 15

Wzór formularza zgłoszenia naruszeń do PUODO w Załączniku nr 15a

17.Sytuacje nieudokumentowane

W sytuacjach nieopisanych w Polityce, a dotyczących danych osobowych, jak sytuacje sporne lub roszczeniowe, należy niezwłocznie poinformować ADO.

18. Rejestry czynności

Administrator prowadzi rejestr czynności przetwarzania danych osobowych (Załączniki nr 2).

19. Przeglądy dokumentacji

Dokumentacja ochrony danych jest aktualizowana na bieżąco. Osobą odpowiedzialną
za przegląd i aktualizację dokumentacji jest ADO, w szczególności w kwestiach zmian:

  • lokalizacji prowadzenia działalności gospodarczej,
  • zbiorów przetwarzających dane osobowe,
  • podmiotów trzecich, którym dane są powierzane,
  • w zakresie systemu informatycznego, a w szczególności przepływu danych pomiędzy poszczególnymi systemami oraz zmian w warstwie fizycznej i w zakresie systemów przetwarzających dane osobowe;
  • zmian organizacyjnych w siedzibie Administratora, w tym zmian statusu osób upoważnionych oraz zmian środków technicznych i organizacyjnych;
  • zmian przepisów prawa.

ADO może, stosownie do potrzeb, przeprowadzić audyt systemu informatycznego. Audyt dokumentowany jest na piśmie oraz zakończony raportem. W razie konieczności można zlecić przeprowadzenie audytu wewnętrznego przez wyspecjalizowany podmiot.

Wszelkie zmiany odnotowywane są w metryce dokumentu.

 

VI. REALIZACJA PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Poszczególne prawa

Źródło

Sposób realizacji/procedura

Prawo do informacji

Art.13-14

 

Prawo dostępu do danych 

      Art.15

Po przyjściu zgłoszenia kierowane jest ono do ADO. ADO wysyła osobie zainteresowanej wniosek do wypełnienia. Po otrzymaniu wniosku ADO przeprowadza analizę możliwości spełnienia prawa. Następnie ADO informuje o swojej decyzji osobę, która złożyła wniosek.

Prawo do sprostowania danych 

Art. 16, Art.19

Po przyjściu zgłoszenia kierowane jest ono do ADO. ADO wysyła osobie zainteresowanej wniosek do wypełnienia. Po otrzymaniu wniosku ADO przeprowadza analizę możliwości spełnienia prawa. Następnie ADO informuje o swojej decyzji osobę, która złożyła wniosek.

Prawo do bycia zapomnianym 

Art. 17, Art. 19

Po przyjściu zgłoszenia kierowane jest ono do ADO. ADO wysyła osobie zainteresowanej wniosek do wypełnienia. Po otrzymaniu wniosku ADO przeprowadza analizę możliwości spełnienia prawa. Następnie ADO informuje o swojej decyzji osobę, która złożyła wniosek.

Prawo do ograniczenia przetwarzania danych

Art.18-19

Po przyjściu zgłoszenia kierowane jest ono do ADO. ADO wysyła osobie zainteresowanej wniosek do wypełnienia. Po otrzymaniu wniosku ADO przeprowadza analizę możliwości spełnienia prawa. Następnie ADO informuje o swojej decyzji osobę, która złożyła wniosek.

Prawo do przenoszenia danych 

Art.20

Po przyjściu zgłoszenia kierowane jest ono do ADO. ADO wysyła osobie zainteresowanej wniosek do wypełnienia. Po otrzymaniu wniosku ADO przeprowadza analizę możliwości spełnienia prawa. Następnie ADO informuje o swojej decyzji osobę, która złożyła wniosek.

Prawo do sprzeciwu oraz do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu

Art. 21

Po przyjściu zgłoszenia kierowane jest ono do ADO. ADO wysyła osobie zainteresowanej wniosek do wypełnienia. Po otrzymaniu wniosku ADO przeprowadza analizę możliwości spełnienia prawa. Następnie ADO informuje o swojej decyzji osobę, która złożyła wniosek.

VII. OCENA SKUTKÓW DLA OCHRONY DANYCH

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii –
ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Analiza oceny skutków dla ochrony danych osobowych wraz z raportem została zawarta w Załączniku nr 7.

VIII. POSTANOWIENIA KOŃCOWE

Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się przed dopuszczeniem do przetwarzania z niniejszym dokumentem oraz złożyć stosowne oświadczenie potwierdzające znajomość jego treści.

Każdej osobie upoważnionej do przetwarzania danych przekazuje się wyciąg z Polityki Bezpieczeństwa, a użytkownikom systemu informatycznego dodatkowo Instrukcję Zarządzania Systemem Informatycznym z uwzględnieniem stanowiska osoby, do której skierowany jest wyciąg.

Wykaz załączników:

Załącznik nr 1 Wzory dokumentów

Załącznik nr 2 Rejestr czynności (Administrator)

Załącznik nr 2a Instrukcja wypełniania rejestru czynności

Załącznik nr 4 Ewidencja osób upoważnionych

Załącznik nr 5 Ewidencja umów powierzenia

Załącznik nr 6 Plan szkoleń

Załącznik nr 7 Ocena skutków dla ochrony danych

Załącznik nr 8 Instrukcja Zarządzania Systemem Informatycznym

Załącznik nr 9 Instrukcja zarządzania kopiami zapasowymi

Załącznik nr 10 Procedura niszczenia nośników informatycznych

Załącznik nr 11 Opis Analizy Ryzyka

Załącznik nr 11a Raport z Analizy Ryzyka

Załącznik nr 11b Lista potencjalnych aktywów

Załącznik nr 11c Lista potencjalnych zagrożeń

Załącznik nr 11d Lista potencjalnych zabezpieczeń

Załącznik nr 12 Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

Załącznik nr 13 Raport z naruszenia bezpieczeństwa systemu ochrony danych

Załącznik nr 14 Ewidencja Naruszeń Ochrony Danych Osobowych

Załącznik nr 15 Procedura zgłaszania naruszeń ochrony danych do PUODO

Załącznik nr 15a Zgłoszenie naruszeń do PUODO –wzór PUODO

Załącznik nr 16 Ewidencja kluczy