Polityka prywatności wraz z instrukcją

Transkrypt

1 Profitta sp. z o.o. Polityka prywatności wraz z instrukcją Na podstawie art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. (Dz.U.1997 Nr 133 poz. 883 ze zm.) oraz Rozdziału VIII ust. 2 Regulaminu Partnera i Rozdziału VII ust. 2 Regulaminu Użytkownika na podstawie Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Profitta sp. z o.o. oświadcza, iż stosuje wskazane poniżej środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Rozdział I [Definicje] Dokumentacja na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". Dokumentację prowadzi się w formie pisemnej. Dokumentację wdraża administrator danych. Polityka bezpieczeństwa - środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych, sposób przepływu danych pomiędzy poszczególnymi systemami, zawiera wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych oraz opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, a także tryb postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych w systemach teleinformatycznych lub kartotekach, albo w sytuacji powzięcia podejrzenia o takim naruszeniu. kontakt@profitta.net ~ 1 ~

2 Instrukcja procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności. Zawiera stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem oraz procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, a także procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Zawiera ponadto, procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. Wskazuje sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych. Określa sposób zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. Zawiera Sposób realizacji wymogów w zakresie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych. Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Kartoteka - zewidencjonowany, usystematyzowany zbiór wykazów, skoroszytów, wydruków komputerowych i innej dokumentacji gromadzonej w formie papierowej, zawierającej dane osobowe. Administrator danych Profitta sp. z o.o. z siedzibą w Krakowie. Zarząd - prezes zarządu lub członek zarządu Profitta sp. z o.o. działający w imieniu Administratora Danych. Użytkownik lub osoba upoważniona osoba wskazana i umocowana przez członka Zarządu Profitta sp. z o.o. lub osobę przez niego wyznaczoną lub upoważnioną bądź uprawnioną do przetwarzania oraz bezpośredniego dostępu do danych osobowych przetwarzanych w systemie teleinformatycznym lub kartotekach, posiadającą ustalony identyfikator i hasło. Obszar - budynki, pomieszczenia lub części pomieszczeń określone przez Administratora Danych, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego lub gromadzone w kartotekach. kontakt@profitta.net ~ 2 ~

3 Rozdział II [Polityka bezpieczeństwa] [ WYKAZ BUDYNKÓW ] 1. Przetwarzanie danych osobowych, w szczególności ich zbieranie, utrwalanie, przechowywanie, opracowywanie lub zmienianie w ramach prowadzenia działalności gospodarczej Profitta sp. z o.o. odbywa się lokalu mieszczącym się w Krakowie przy ul. Litewskiej 19/6, Kraków, w pomieszczeniach biurowych znajdujących się na drugim piętrze w/w lokalu, chyba, że potrzeba przetwarzania danych osobowych poza w/w pomieszczeniami wynika z wykonywania obowiązków służbowych. 2. Administrator Danych nie udostępnia zbiorów danych osobowych, które znajdują się w jego posiadaniu podmiotom trzecim, nieposiadającym odpowiedniego upoważnienia. [ WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA DANYCH ] 3. Administrator Danych gromadzi dane osobowe wyłącznie w zbiorze w formie elektronicznej, stosując następujące programy komputerowe; a. Profitta.net b. Microsoft SQL Server [ OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI ] 4. Elektroniczny zbiór danych osobowych posiada strukturę relacyjnej bazy danych. 5. W zbiorze danych przetwarzane są dane podmiotów Profitta sp. z o.o. w zakresie wskazanym w Rozdziale VIII ust. 6 Regulaminu Partnera i w Rozdziale VII ust. 7 Regulaminu Użytkownika. 6. [ SPOSÓB PRZEPŁYWU DANYCH ] 7. Dane osobowe gromadzone się w obrębie systemu informatycznego Administratora Danych oraz na zewnętrznych systemach informatycznych, które są systemami zintegrowanymi, do których dostęp mają jedynie osoby upoważnione. 7. Przepływ informacji w zależności od sytuacji oraz potrzeb użytkowników systemu może odbywać się w następujący sposób; a. półautomatycznie za pomocą teletransmisji jednokierunkowej, albo dwukierunkowej, b. manualnie, za pomocą zewnętrznych nośników, w szczególności dysków CD/DVD oraz pamięci USB, c. za pomocą poczty elektronicznej, innych środków przekazywania danych na odległość w ramach platform typu ASP, SAAS. kontakt@profitta.net ~ 3 ~

4 [ OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH ] 8. Administrator Danych celem zapewnienia poufności, integralności i rozdzielności przetwarzanych danych osobowych stosuje środki techniczne i organizacyjne polegające na; a. zabezpieczenia obszaru przetwarzania danych osobowych przed dostępem osób nieuprawnionych. Czas wejścia oraz wyjścia osób nieuprawnionych jest rejestrowany przez osoby upoważnione przebywające w obszarze przetwarzania danych, b. Pobyt osób nieuprawnionych w obszarze przetwarzania danych osobowych jest dopuszczalny za zgodą Administratora Danych lub osoby przez niego upoważnionej, c. zabezpieczenia dostępu do systemu informatycznego poprzez wprowadzenia i przydzielenie upoważnionemu użytkownikowi indywidualnego loginu i hasła dostępu. Hasło użytkownika jest zmieniane nie rzadziej, niż co 30 dni. Hasło składa się co najmniej z 8 znaków i zawiera małe oraz duże litery oraz cyfry i znaki specjalne. 9. Administrator Danych zabezpiecza system informatyczny, służący do przetwarzania danych osobowych przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego m.in. przez stosowanie programów antywirusowych lub autoryzacyjnych. 10. Administrator Danych zabezpiecza system informatyczny przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. W tym celu wykorzystuje system UPS. Rozdział III [Instrukcja] [ PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH ORAZ ICH REJESTROWANIE ] 1. Do obsługi systemu informatycznego/serwera służącego do przetwarzania danych osobowych, może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania danych osobowych, wydane przez Administratora Danych. 2. Ewidencje upoważnień do przetwarzania danych osobowych, o których mowa w punkcie 1, prowadzi Administrator Danych. 3. Rejestracji użytkownika systemu informatycznego dokonuje Administratora Danych. 4. Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe, Administratora Danych ustala niepowtarzalny login i hasło dostępu. 5. Administratora Danych każdemu użytkownikowi przeprowadza szkolenie z zakresu bezpieczeństwa przetwarzanych danych. kontakt@profitta.net ~ 4 ~

5 [METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM ] 6. Dane osobowe mogą być przetwarzane przy użyciu komputerów stacjonarnych i przenośnych. 7. Hasło użytkownika oraz hasło dostępu do serwera powinno posiadać minimum 8 znaków i być zmieniane co 30 dni. 8. Hasło oprócz znaków małych i dużych liter może zawierać ciąg znaków alfanumerycznych i specjalnych. 9. Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów w formie jawnej. 10. Hasło nie może zawierać żadnych informacji, które można kojarzyć z użytkownikiem komputera. 11. Hasło nie może być zapisywane w miejscu dostępnym dla osób nieuprawnionych. Użytkownik nie może udostępnić swojego loginu oraz hasła jak również dostępu do stanowiska roboczego po uwierzytelnieniu w systemie osobom nieuprawnionym. 12. Hasło użytkownika oraz hasło dostępu do serwera, umożliwiające dostęp do systemu informatycznego, należy utrzymywać w tajemnicy. 13. Raz użyty login nie może być przydzielony innemu użytkownikowi. 14. Użytkownik otrzymuje hasło początkowe przy przystąpieniu do pracy w systemie i jest zobowiązany zmienić je natychmiast po rozpoczęciu pracy na tylko sobie znany ciąg znaków. 15. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do poinformowania o tym fakcie Administratora Danych i natychmiastowej zmiany hasła. 16. W przypadku przetwarzania danych na komputerach przenośnych, dyski twarde oraz inne wykorzystywane nośniki informacji mają być zabezpieczone w sposób uniemożliwiający dostęp do tych danych osobom postronnym. [ PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMU ] 17. Rozpoczęcie pracy użytkownika w systemie informatycznym i serwerze następuje po poprawnym zalogowaniu się do systemu. 18. Zakończenie pracy użytkownika następuje po poprawnym wylogowaniu się z systemu. 19. Niedopuszczalne jest zakończenie pracy w systemie bez wylogowania się. 20. Monitory ekranowe stanowisk, na których przetwarzane są dane osobowe po 3 minutach nieaktywności użytkownika, powinny przejść automatycznie w stan nieaktywny, a powrót do stanu aktywności musi wymagać podania hasła. 21. Monitory stanowisk komputerowych znajdujące się w pomieszczeniach, gdzie przebywają osoby, które nie posiadają upoważnień do przetwarzania danych osobowych należy ustawić w taki sposób, aby uniemożliwić osobom postronnym wgląd w te dane. 22. Użytkownik ma obowiązek wylogowania się lub zablokowania systemu w przypadku dłuższej, zaplanowanej nieobecności na stanowisku pracy lub w przypadku zakończenia pracy. 23. Przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w którym są przetwarzane dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do ich przetwarzania. kontakt@profitta.net ~ 5 ~

6 24. Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać, na czas nieobecności osób zatrudnionych, w sposób uniemożliwiający dostęp do nich osobom trzecim. 25. Użytkownik niezwłocznie powiadamia Administratora danych osobowych w przypadku braku możliwości zalogowania się na swoje konto oraz w przypadku podejrzenia fizycznej ingerencji w przetwarzane dane osobowe lub użytkowane narzędzia programowe lub sprzętowe. Wówczas, użytkownik jest zobowiązany do natychmiastowego wyłączenia sprzętu. [ PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI SŁUŻĄCYCH DO ICH PRZETWARZANIA ] 26. Zbiory danych w systemie informatycznym są zabezpieczane przed utratą lub uszkodzeniem za pomocą urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej (UPS) oraz sporządzania kopii zapasowych zbiorów danych. 27. Zapewnienie sporządzania kopii zapasowych należy do odpowiedzialności osoby wyznaczonej przez Administratora danych osobowych. 28. Przed aktualizacją lub dokonaniem zmiany w systemie należy bezwarunkowo wykonać pełną kopię zapasową. 29. Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć w sposób uniemożliwiający odczyt danych. [ SPOSÓB, MIEJSCE I OKRES PRZECHOWYWANIA ELEKTRONICZNYCH NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE ORAZ KOPII ZAPASOWYCH ] 30. Kopie zapasowe baz danych zlokalizowanych w systemie wykonywane są w cyklu dobowym w godzinach nocnych. 31. Kopie zapasowe baz danych zlokalizowanych na poszczególnych komputerach wykonywane są w cyklu miesięcznym. 32. Dostęp do kopii zapasowych ma wyłącznie Administrator danych oraz osoba przez niego upoważniona. 33. Kopie zapasowe przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie, modyfikacje, uszkodzenie lub zniszczenie. Kopie zapasowe należy bezzwłocznie usuwać po ustaniu ich użyteczności. 34. Usunięcie danych z systemu powinno zostać zrealizowane przy pomocy oprogramowania przeznaczonego do bezpiecznego usuwania danych z nośnika informacji. [ SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁANIEM OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO ] 35. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony wirusów komputerowych oraz oprogramowania złośliwego, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk komputerowych. kontakt@profitta.net ~ 6 ~

7 36. Wirusy komputerowe mogą pojawić się systemach Administratora Danych poprzez: Internet, nośniki informacji takie jak: płyty CD, DVD, dyski przenośne, pamięci USB itp. 37. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych i szkodliwemu oprogramowaniu realizowane w następujący sposób; a. komputer z dostępem do Internetu musi być zabezpieczony za pomocą oprogramowania antywirusowego, b. zainstalowany program antywirusowy powinien być tak skonfigurowany, by co najmniej raz w tygodniu dokonywał aktualizacji bazy wirusów oraz co najmniej raz w tygodniu dokonywane było automatycznie sprawdzenie komputera pod kątem obecności wirusów komputerowych oraz oprogramowania złośliwego, c. elektroniczne nośniki informacji takie jak, dyski przenośne, pamięci USB itp. należy każdorazowo sprawdzać programem antywirusowym przed użyciem, po zainstalowaniu ich w systemie, d. komputery muszą mieć zainstalowany program antywirusowy, a w przypadku komputerów z dostępem do Internetu, również posiadać oprogramowanie i mechanizmy zabezpieczające przed nieautoryzowanym dostępem z sieci (firewall). 38. W przypadku, gdy użytkownik komputera zauważy komunikat oprogramowania zabezpieczającego system wskazujący na zaistnienie zagrożenia lub rozpozna tego typu zagrożenie, zobowiązany jest zaprzestać jakichkolwiek czynności w systemie i niezwłocznie poinformować o tym fakcie Administratora Danych. 39. Podczas korzystania z poczty elektronicznej należy zwrócić szczególną uwagę na otrzymywane załączniki dołączane do treści wiadomości. 40. Zabrania się otwierania załączników i wiadomości poczty elektronicznej od niezaufanych nadawców. 41. Zabrania się użytkownikom komputerów, wyłączania, blokowania, odinstalowywania programów zabezpieczających komputer (skaner antywirusowy, firewall) przed oprogramowaniem złośliwym oraz nieautoryzowanym dostępem. [ WYKONYWANIE PRZEGLĄDÓW I KONSERWACJI SYSTEMU ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO PRZETWARZANIA DANYCH ] 42. Umowy dotyczące instalacji i konserwacji sprzętu należy zawierać z podmiotami, których kompetencje nie budzą wątpliwości. 43. Naprawy serwisowe sprzętu objętego umowami serwisowymi odbywać się będą zgodnie z umową. Naprawa sprzętu, na którym mogą znajdować się dane osobowe powinna odbywać się w obecności osoby upoważnionej do przetwarzania danych osobowych. 44. W przypadku konieczności naprawy poza miejscem użytkowania, sprzęt komputerowy, przed oddaniem do serwisu, powinien być odpowiednio przygotowany. Dane należy zarchiwizować na nośnikach informacji, a dyski twarde i inne nośniki wymontować na czas naprawy. 45. Zmiana konfiguracji sprzętu komputerowego, na którym znajdują się dane osobowe lub zmiana jego lokalizacji, może być dokonana tylko za wiedzą i zgodą Administratora Danych. kontakt@profitta.net ~ 7 ~

8 Rozdział IV [Zabezpieczenia systemu teleinformatycznego] 1. System teleinformatyczny Administratora Danych służący do przetwarzania danych osobowych zabezpieczony jest przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, jak również przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 2. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: a. likwidacji Administratora Danych pozbawia wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie, b. przekazania podmiotowi nieuprawnionemu do przetwarzania danych Administratora Danych pozbawia wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie, c. naprawy Administratora Danych pozbawia wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 4. System teleinformatyczny służący do przetwarzania danych osobowych Administratora Danych chroni przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych oraz logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem, tj.; a. zabezpiecza obszar, na którym są przetwarzane dane osobowe poprzez jego zamykanie na klucz podczas nieobecności Administratora Danych lub osoby przez niego upoważnionej, b. stosuje programy antywirusowe i autoryzacyjne, które są na bieżąco aktualizowane, c. stosowanie aplikacji dzięki, którym brak jest możliwości odczytu plików zawierających dane osobowe poza systemem Administratora Danych. Aplikacje te zapewniają kontrolę przepływu informacji pomiędzy systemem informatycznych Administratora Danych a siecią publiczną, a ponadto zapewniają kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego Administratora Danych, d. wprowadza indywidualne hasło i login dostępu dla upoważnionych osób. Hasło zmieniane jest nie rzadziej, niż co 30 dni. Hasło składa się co najmniej z 8 znaków i zawiera małe oraz duże litery oraz cyfry i znaki specjalne. 5. Administrator Danych stosuje środki ochrony kryptograficznej wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane do sieci publicznej za pomocą połączenia szyfrującego Certyfikat SSL. 6. Administrator Danych monitoruje wdrożone zabezpieczenia systemu informatycznego. kontakt@profitta.net ~ 8 ~

9 Rozdział V [Postanowienia końcowe] 1. Profitta sp. z o.o. realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności dba, aby dane te były przetwarzane zgodnie z ustawą o ochronie danych osobowych. 2. Profitta sp. z o.o. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. 3. W/w ewidencji zamieszcza się dane osobowe użytkowania wraz z numerem upoważnienia. 4. Profitta sp. z o.o. może w każdej chwili odwołać udzielone użytkownikowi upoważnienie. kontakt@profitta.net ~ 9 ~