POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH 1 Informacje ogólne 1. Polityka bezpieczeństwa przetwarzania danych osobowych przez Hemet Sp. z o.o. z siedzibą w Warszawie, ul. Połczyńska 89, KRS (dalej zwana Spółką ) zwana dalej Polityką, została wydana w związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej RODO. 2. Celem Polityki jest zapewnienie ochrony danych osobowych przetwarzanych w celach określonych w RODO przez Spółkę przed wszelkiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi. 3. Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz wprowadzonych zabezpieczeń technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych. 4. Przetwarzanie danych osobowych przez Spółkę odbywa się za pomocą systemów informatycznych. 2 Definicje 1. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; 2. Zbiór danych osobowych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; 3. Przetwarzanie danych wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; 4. System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych; 5. Usuwanie danych zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą; 6. Użytkownik danych osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym, która posiada ustalony login i hasło; 3 Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe 1. Przetwarzanie danych osobowych odbywa się w siedzibie Spółki. 2. Dane osobowe są przechowywane w następujących pomieszczeniach:

2 a. Pokój administracji i działu operacyjnego w siedzibie Spółki w trybie roboczym, w zależności od potrzeb; b. Pomieszczenie Zarządu w trybie roboczym, w zależności od potrzeb; c. Pomieszczenie Archiwum przechowywanie dostęp zabezpieczony zamkiem. 3. Kopie danych osobowych przechowywane są na dyskach komputerowych lub innych nośnikach danych, które przechowywane są w siedzibie Spółki, na komputerach pracowniczych, częściowo także na serwerach firmowych. 4. Szafa w której znajdują się kopie zapasowe znajduje się w pomieszczeniu Archiwum. 5. Osoby nieupoważnione mogą przebywać w pomieszczeniach, w których przechowuje się dane osobowe za zgodą Administratora lub w obecności osoby upoważnionej do przetwarzania danych osobowych. 6. Dostęp do pomieszczeń, w których znajduje się sprzęt komputerowy, podlega kontroli, w celu zabezpieczenia sprzętu oraz danych osobowych i oprogramowania przed ich wykorzystaniem lub zniszczeniem przez osoby trzecie. 7. Pomieszczenia, w których znajduje się sprzęt komputerowy służący do przetwarzania danych osobowych wyposażone są w zamki. Ostatni z użytkowników danych, który opuszcza pomieszczenie ma obowiązek zamknąć drzwi na klucz. 8. Administrator Biura prowadzi pisemną ewidencję wydawania kluczy do pomieszczeń w których przechowywane są dane osobowe. 4 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 1. Zbiory danych osobowych składają się z: a. danych osobowych pracowników oraz osób współpracujących w oparciu o umowy cywilne; b. danych osobowych klientów w tym przede wszystkim jednoosobowe działalności gospodarcze, spółki 2. Dane w zbiorach mają formę elektroniczną i są przetwarzane w zasobach systemu informatycznego oraz formę papierową i są przetwarzane w siedzibie Spółki. 3. Do zasobów systemu informatycznego służącego do przetwarzania danych osobowych zalicza się: a. System SAGE SYMFONIA w którym przetwarzane są zbiory danych osobowych klientów b. System SAGE SYMFONIA - w którym przetwarzane są zbiory danych osób zatrudnionych w Spółce na podstawie umów o pracę oraz osób współpracujących w oparciu o umowy cywilne; c. Pliki Word i Excel na komputerach tworzone ad hoc oddzielnie dla każdego kontrahenta. Dane powinny być usuwane odpowiednio do potrzeb realizacji usługi, z zastrzeżeniem odpowiednich przepisów podatkowych, ubezpieczeniowych, okresu rękojmi i gwarancji. 5. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi 1. W zbiorze danych przetwarzane są dane osobowe:

3 a. pracowników oraz osób współpracujących w oparciu o umowy cywilne; b. klientów. 2. Dane pracowników oraz osób współpracujących w oparciu o umowy cywilne zawierają: i. Imię i nazwisko; ii. adres zamieszkania/zameldowania; iii. PESEL; iv. NIP; v. Datę urodzenia; vi. Numer rachunku bankowego; vii. Numer telefonu; viii. Adres Dane Klientów i kontrahentów zawierają: ix. Imię i nazwisko; x. adres zamieszkania; xi. adres siedziby xii. PESEL; xiii. NIP; xiv. Numer rachunku bankowego; xv. Numer telefonu; xvi. Adres Sposób przepływu danych pomiędzy systemami 1. Obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi Spółki powinien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych. W tym celu wykorzystuje się certyfikowane programy pocztowe oraz szyfrowane połączenia. 2. Nie jest dozwolone kopiowanie danych niezaszyfrowanych, w szczególności ich przechowywanie lub przenoszenie na niezabezpieczonych hasłem nośnikach (pendrive, CD, DVD, ). 3. Przekazywanie danych w systemie informatycznym odbywa się w sposób szyfrowany. 7. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych 1. Do zastosowanych przez Administratora Danych i osoby przez niego upoważnione, środków organizacyjnych służących zapewnieniu poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych należy: a. Opracowanie i wdrożenie niniejszej Polityki; b. Zarządzanie systemami informatycznymi Spółki w sposób zapewniający odpowiednie bezpieczeństwo, szyfrowanie, back-up danych zabezpieczające przed nieautoryzowanym dostępem osób trzecich; c. Nadanie przez Spółkę członkom organów Spółki, pracownikom, osobom współpracującym upoważnienia do przetwarzania danych osobowych;

4 d. Sprawowanie przez Spółkę kontroli i nadzoru nad procesem wprowadzenia danych osobowych do zbioru oraz ich udostępnienia. e. Prowadzenie rejestru czynności związanych z przetwarzaniem danych. 2. Dostęp do danych wprowadzonych przez użytkowników danych mają jedynie Administrator Danych, osoby upoważnione oraz Spółkę. 3. Każdy komputer oraz nośnik danych, na którym znajdują się dane osobowe posiada aktualne oprogramowanie antywirusowe. 4. Kopie danych zawartych w systemie tworzy się jeden raz miesiącu. 5. Kopia danych oraz systemu informatycznego tworzona jest przez każdego użytkownika, który po sporządzeniu kopii jest zobowiązany do jej zabezpieczenia jej. 6. Kopia zapasowa danych zabezpieczana jest hasłem przekazanym przełożonemu. 7. Dostęp do danych osobowych przetwarzanych w systemach informatycznych chroniony jest poprzez zastosowanie loginów i haseł uniemożliwiających nieuprawnione korzystanie osobom nieuprawnionym. 8. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą zgodnie z RODO. 9. Każda osoba zobowiązana jest niezwłocznie informować przełożonego o każdym stwierdzonym przypadku naruszenia zasad przetwarzania danych, wraz z podaniem wszystkich okoliczności zdarzenia. W szczególności zobowiązana jest do zawiadomienia o każdym przypadku zgłoszenia zastrzeżeń, roszczeń przez osoby trzecie. 8. Nadawanie i zmiana uprawnień do przetwarzania danych osobowych 1. Tylko osoby, posiadające upoważnienie udzielone przez Spółkę mają dostęp i mogą przetwarzać dane osobowe. 2. Przed przystąpieniem do przetwarzania danych osobowych, każdy użytkownik danych musi zapoznać się z następującymi dokumentami: i. RODO; ii. niniejszą Polityką bezpieczeństwa; 3. Zapoznanie się z powyższymi dokumentacji użytkownik danych potwierdza własnoręcznym podpisem. 4. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na wprowadzeniu do systemu dla każdego użytkownika danych unikalnego identyfikatora (loginu) oraz hasła ze wskazaniem zakresu dostępnych danych i operacji. 5. Użytkownik danych zobowiązany jest do zmiany hasła przynajmniej co 30 dni i przekazać je przełożonemu. 6. Użytkownik danych ponosi wszelką odpowiedzialność za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła dostępu. 7. Wszelkie przekroczenia lub jakiekolwiek próby przekroczenia przyznanych uprawnień, traktowane będą jako naruszenie podstawowych obowiązków pracowniczych. 8. Użytkownik danych zobowiązany jest do zachowania ich w poufności oraz dołożenia wszelkich starań, aby dane osobowe nie zostały przekazane osobom nieuprawnionym. 9. Spółka jest zobowiązana do prowadzenia i ochrony rejestru użytkowników danych i ich uprawnień w systemie informatycznym. 10 Postanowienia końcowe

5 1. Osoby, które zapoznały się z niniejszym dokumentem zobowiązują się do stosowania zasad w nim zawartych. 2. Spółka prowadzi ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych. 3. Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce może być podstawą rozwiązania stosunku pracy bez wypowiedzenia, lub wypowiedzenia umowy cywilnoprawnej z osobą, która dopuściła się naruszenia. 4. Wdrożenie Polityki bezpieczeństwa odbywa się poprzez zapoznanie osób wchodzących w skład organów organizacji, pracowników, osób współpracujących na podstawie umów cywilnych z jej treścią. 5. Polityka bezpieczeństwa wchodzi w życie z dniem 25 maja 2018 roku. 6. Zmiany w Polityce bezpieczeństwa będą wchodzić w życie w terminach określonych w odpowiednim zawiadomieniu przesyłanym za pośrednictwem poczty W sprawach nieobjętych niniejszą Polityką bezpieczeństwa mają zastosowanie przepisy RODO i odpowiednich ustaw wydanych na podstawie RODO. Daniel Tuszko Prezes Zarządu