PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA Opracwał: Sprawdził: Zatwierdził: INFORMACJI P-03/06/V Pełnmcnik ds. ZSZ i EMAS Bżena Puss Prject Manager Mirsław Rmanik Prject Manager Marcin Biskup Prezes Zarządu Jan Wźniak Pdpisy: Nr wydania V Strna 1 z 22 Data: 06.09.16r Dkument zatwierdzny Zarządzeniem Wewnętrznym Prezesa Zarządu Plityka Bezpieczeństwa Infrmacji Warszawa, wrzesień 2016 r. Rdzaj egzemplarza: Wewnętrzny Infrmacyjny Egzemplarz nadzrwany nr: 1 Adresat: Wszystkie Kmórki Organizacyjne Spółki UWAGA: Wszelkie prawa autrskie zastrzeżne. Zabrania się dknywania zmian treści dkumentu, a także kpiwania i rzpwszechniania bez zgdy Prezesa Zarządu firmy ENGIE Services Sp. z..
Strna 2 z 22 SPIS TREŚCI 1. Terminlgia i skróty 3 2. Wstęp 4 3. Cele Plityki Bezpieczeństwa 5 4. Zakres Plityki Bezpieczeństwa 6 5. Prawa, bwiązki raz dpwiedzialnść sób przetwarzających dane sbwe 6 5.1 Prawa i bwiązki użytkwników 6 5.2 Obwiązki Administratra Danych Osbwych 7 5.3 Obwiązki Administratra Bezpieczeństwa Infrmacji (ABI) 8 5.4 Obwiązki ASI 7 6. Zasady przetwarzania danych sbwych w ENGIE SERVICES Sp. z.. 10 6.1 Wykaz budynków, pmieszczeń twrzących bszar gdzie przetwarzane są dane sbwe 11 6.2 Wykaz zbirów danych sbwych wraz ze wskazaniem prgramów zastswanych d ich przetwarzania 11 6.3 Opis struktury zbiru danych 13 6.4 Spsób przepływu danych pmiędzy systemami 13 6.5 Określenie śrdków technicznych i rganizacyjnych zapewniających pufnść, integralnść i rzliczalnść przetwarzania danych sbwych 13 7. Przetwarzanie danych sbwych sensytywnych 19 8. Udstępnianie danych sbwych 22 9. Pstanwienia kńcwe 22 10. Załączniki 22
Strna 3 z 22 1. Terminlgia i skróty Pniżej przedstawin specyficzne pjęcia, definicje i skróty przywłane w niniejszej Plityce Bezpieczeństwa raz Instrukcji Zarządzania Systemem Infrmatycznym: Adekwatnść danych przetwarzanie danych sbwych, w zakresie niezbędnym ze względu na cel zbierania danych. Administratr Danych Osbwych (ADO) ENGIE Services Sp. z.., ul. Kijwska 1, 03-738 Warszawa Administratr Bezpieczeństwa Infrmacji (ABI) sba, nadzrująca przestrzeganie zasad chrny danych sbwych i dpwiadająca za bezpieczeństw danych sbwych przetwarzanych m.in. w systemie infrmatycznym, jedncześnie sprawuje nadzór i krdynuje prace w zakresie eksplatacji, mnitrwania i praw dstępu d zasbów infrmatycznych grmadznych i przetwarzanych w sieci infrmatycznej. Administratr Sieci Infrmatycznej (ASI) sba lub firma sprawująca nadzór i krdynująca prace w zakresie eksplatacji, mnitrwania i praw dstępu d zasbów infrmatycznych grmadznych i przetwarzanych w sieci infrmatycznej. Bezpieczeństw infrmacji t zapewnienie pufnści, integralnści i dstępnści przetwarzanych danych sbwych. Celwść kreślenie celu przetwarzania danych sbwych i przetwarzanie ich zgdnie z wyznacznym celem. Dane sbwe t wszelkie infrmacje dtyczące zidentyfikwanej lub mżliwej d zidentyfikwania sby fizycznej. Dstępnść gwarancja dstępu d danych sbwych tylk przez sby upważnine. GIODO Generalny Inspektr Ochrny Danych Osbwych. Hasł dstępu ciąg znaków, unikalnych dla każdeg użytkwnika eksplatująceg sprzęt kmputerwy raz krzystająceg z zasbów infrmatycznych przetwarzanych i grmadznych na serwerze lub w prgramie sieci infrmatycznej. Zawiera minimum 8 znaków zawierających duże i małe litery raz cyfry lub znaki specjalne. Incydent t każde zdarzenie lub seria zdarzeń, które nie jest częścią nrmalneg działania systemu i które mgą zakłócić działania bizneswe lub grzić bezpieczeństwu przetwarzania danych. Instrukcja Instrukcja Zarządzania Systemem Infrmatycznym Integralnść t właściwść zapewniająca, że dane sbwe nie zstały zmienine lub zniszczne w spsób nieautryzwany (przez sby nieupważnine). Lgin (identyfikatr) - ciąg znaków alfanumerycznych, unikalnych dla każdeg użytkwnika krzystająceg z zasbów infrmatycznych przetwarzanych i grmadznych na serwerze lub w prgramie sieci infrmatycznej. Pufnść t właściwść zapewniająca, że dane nie są udstępniane nieupważninym sbm. Przetwarzanie danych sbwych jakieklwiek peracje wyknywane na danych sbwych np. zbieranie, utrwalanie, przechwywanie, pracwywanie, zmienianie, udstępnianie, usuwanie, zwłaszcza wyknywane w systemie infrmatycznym. Rzliczalnść t właściwść zapewniająca, że działania pdmitu mgą być przypisane w spsób jednznaczny tylk temu, knkretnemu pdmitwi. Rzprządzenie rzumie się przez t Rzprządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. (Dz. U.2004 nr 100 pz. 1024) w sprawie dkumentacji
Strna 4 z 22 przetwarzania danych sbwych raz warunków technicznych i rganizacyjnych, jakim pwinny dpwiadać urządzenia i systemy infrmatyczne służące d przetwarzania danych sbwych. Sieć infrmatyczna struktura składająca się z serwerów, stacji rbczych, sprzętu sieciweg płącznych ze sbą za pmcą mediów transmisji w celu wymiany danych lub współdzielenia różnych zasbów. Ustawa rzumie się przez t ustawę z dnia 29 sierpnia1997 rku chrnie danych sbwych (tekst jedn. Dz. U. z 2002 r. Nr 101, pz. 926 z późn. zm.). Uwierzytelnianie t działanie, któreg celem jest weryfikacja deklarwanej tżsamści pdmitu, Usuwanie danych sbwych niszczenie danych sbwych lub taka ich mdyfikacja, która nie pzwala na ustalenie tżsamści sby, której dane dtyczą. Użytkwnik - sba bsługująca stanwisk kmputerwe w zakresie udzielnych uprawnień. Zbiór danych sbwych psiadający strukturę zestaw danych charakterze sbwym, dstępnych według kreślnych kryteriów, niezależnie d teg, czy zestaw ten jest rzprszny lub pdzielny funkcjnalnie. 2. Wstęp Celem niniejszej Plityki jest zapewnienie zgdnści przetwarzania danych sbwych z: - art. 47 i 51 Knstytucji Rzeczypsplitej Plskiej, - ustawą z dnia 29 sierpnia 1997 r. chrnie danych sbwych (Dz. U. z 2016 r., pz. 922 z późń. zm.), - rzprządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dkumentacji przetwarzania danych sbwych raz warunków technicznych i rganizacyjnych, jakim pwinny dpwiadać urządzenia i systemy infrmatyczne służące d przetwarzania danych sbwych (Dz. U. z 2004 r., Nr 100, pz. 1024). Plityka bezpieczeństwa bwiązująca jest zintegrwanym zbirem gólnych zasad, prcedur, praw wewnętrznych i praktycznych dświadczeń regulujących spsób zarządzania, chrny, użytkwania i przechwywania danych sbwych grmadznych przez ADO w pstaci elektrnicznej raz w dkumentach w wersji papierwej. Uszczegółwieniem niniejszej Plityki Bezpieczeństwa jest Instrukcja Zarządzania Systemem Infrmatycznym, która zawiera wytyczne dtyczące bezpieczneg przetwarzania danych sbwych przy użyciu systemów infrmatycznych. Opisane prcedury, zastswane w nich standardy, reguły raz zasady, pwinny ulegać zmianm wraz ze zmianami struktur rganizacyjnych i technlgii infrmatycznych. Plityka Bezpieczeństwa bwiązująca, ma charakter bligatryjny - dtyczy wszystkich sób, które przetwarzają dane sbwe. Żadna sba, przetwarzająca dane sbwe, bez względu na frmę zatrudnienia (umwa pracę, umwa zlecenie, umwa dzieł, itp.), nie mże działać inaczej, niż jest t ustalne w niniejszej Plityce i Instrukcji. Opisane reguły i zasady kreślają dpuszczalne zachwania wszystkich użytkwników przetwarzających dane sbwe. Dkument zwraca uwagę na knsekwencje, jakie mgą pnsić sby przekraczające przyznane im uprawnienia lub działające niezgdnie z niniejszą Plityką raz Instrukcją Zarządzania Systemem Infrmatycznym bądź naruszające zapisy ustawy chrnie danych sbwych. ADO realizując niniejszą Plitykę Bezpieczeństwa, dkłada najwyższej starannści w celu chrny interesów sób, których dane dtyczą, a w szczególnści zapewnia, aby dane te były:
Strna 5 z 22 - przetwarzane zgdnie z prawem, - zbierane dla znacznych, zgdnych z prawem celów i nie pddawane dalszemu przetwarzaniu niezgdnemu z tymi celami, - merytrycznie pprawne i adekwatne w stsunku d celów, w jakich są przetwarzane, - przechwywane nie dłużej niż jest t niezbędne d realizacji celów, w których zstały zebrane. Przetwarzanie danych sbwych mże mieć miejsce: - przy przetwarzaniu w związku z zatrudnianiem, świadczeniem usług na pdstawie umów cywiln prawnych, - ze względu na wyknywanie zadań administratra danych dnszących się d zatrudnienia pracwników i innych sób, a zakres przetwarzanych danych jest kreślny w ustawie, - przy przetwarzaniu w celu wystawiania faktur, rachunku lub prwadzenia sprawzdawczści finanswej. 3. Oświadczenie Zarządu Engie Services Sp. z.. Zarząd Engie Services Sp. z.. w celu realizacji niniejszej plityki bezpieczeństwa: - Deklaruje zaangażwanie w prawidłwym zarządzaniu bezpieczeństwem danych sbwych. - Oświadcza, iż dkłada wszelkich starań celem zapewnienia bezpieczeństwa przetwarzanych danych sbwych. - Deklaruje zamiar stałeg pdnszenia świadmści sób przetwarzających dane sbwe w zakresie prblematyki bezpieczeństwa tych danych. - Deklaruje zamiar traktwania bwiązków sób zatrudninych przy przetwarzaniu danych sbwych jak należących d kategrii pdstawwych bwiązków pracwniczych raz stanwczeg egzekwwania ich wyknania przez zatrudnine sby. Naruszanie przez zatrudnine, w ramach stsunku pracy, sby upważnine d przetwarzania danych sbwych prcedur kreślnych w niniejszej Plityce i Instrukcji traktwane będzie, jak ciężkie naruszenie pdstawwych bwiązków pracwniczych z wszystkimi wynikającym stąd knsekwencjami, z rzwiązaniem stsunku pracy włącznie. - Deklaruje zamiar pdejmwania, w niezbędnym zakresie, współpracy z instytucjami pwłanymi d chrny danych sbwych. - Dąży d systematyczneg unwcześniania stswanych na jeg terenie infrmatycznych, technicznych i rganizacyjnych śrdków chrny tych danych. 4. Cele Plityki Bezpieczeństwa Niniejsza Plityka zstała pracwana dla stwrzenia i utrzymania wyskieg pzimu bezpieczeństwa zbiru danych sbwych, rzumianeg jak zapewnienie pufnści, integralnści i dstępnści zasbów raz zapewnienia rzliczalnści pdejmwanych działań. Celem pracwania i wdrżenia niniejszej Plityki jest: - maksymalne graniczenie ryzyka związaneg z nieuprawninym przetwarzaniem lub utratą danych sbwych, - zagwarantwanie pełnej chrny danych sbwych psiadanych przez ENGIE Services
Strna 6 z 22 Sp. z.. zbirów bez względu na frmę w jakiej zbiór jest przetwarzany, - pracwanie zasad pstępwania w sytuacjach kryzyswych, - wdrżenie reguł, praw i prcedur zapewniających dpwiedni pzim bezpieczeństwa zarządzania danymi sbwymi będącymi w psiadaniu ADO. Cele wyznaczne w Plityce Bezpieczeństwa, realizwane są pprzez: - stałe dsknalenie raz rzwijanie rganizacyjnych i technicznych śrdków chrny danych sbwych przetwarzanych zarówn w frmie tradycyjnej jak i elektrnicznej, - pdejmwanie wszelkich działań niezbędnych dla chrny praw jednstki związanych z bezpieczeństwem danych sbwych, - staranny dbór, cenę i kwalifikację dstawców usług, - stswanie dpwiednich urządzeń i prgramwania wykrzystywanych d przetwarzania i zabezpieczania danych sbwych. Ze względu na zmieniający się charakter zagrżeń, a także pjawianie się nwych, dtąd niesptykanych, ENGIE Services Sp. z.. traktuje zabezpieczenie danych sbwych nie jak stan a prces, wymagający ciągłeg dsknalenia, mdyfikwania i dstswywania rzwiązań technicznych i rganizacyjnych d mżliwści pjawiania się nwych kategrii niebezpieczeństw i zagrżeń. 5. Zakres Plityki Bezpieczeństwa Plityka Bezpieczeństwa dnsi się d danych sbwych przetwarzanych: - w spsób tradycyjny, w szczególnści w karttekach, rejestrach, skrwidzach, księgach, wykazach i w innych zbirach ewidencyjnych, - w systemach infrmatycznych. Ochrnie pdlegają wszystkie dane sbwe przetwarzane również te, które zstały pwierzne d przetwarzania innym pdmitm. W celu zapewnienia maksymalnej chrny danych sbwych, wyznaczn bszary mające isttny wpływ na bezpieczeństw zasbó, są t: - bezpieczeństw systemów i sieci infrmatycznych, - bezpieczeństw danych sbwych grmadznych w wersji papierwej, - bezpieczeństw zarządzania dstępem d infrmacji, - bezpieczeństw fizyczne pmieszczeń, gdzie przetwarzane są dane sbwe. 6. Prawa, bwiązki raz dpwiedzialnść sób przetwarzających dane sbwe 6.1 Prawa i bwiązki użytkwników Warunkiem udzielenia upważnienia d przetwarzania danych sbwych jest zaznajmienie użytkwnika przetwarzająceg dane sbwe z: - wymaganiami ustawy z dnia 29 sierpnia 1997r. Ochrnie Danych Osbwych, - niniejszą Plityką Bezpieczeństwa, - Instrukcją Zarządzania Systemem Infrmatycznym, - ewentualnymi innymi dkumentami i prcedurami dtyczącymi przetwarzania danych sbwych bwiązującymi
Strna 7 z 22 Użytkwnik składa świadczenie zgdnie ze wzrem kreślnym w Instrukcji, w którym ptwierdza zapznanie się z zapisami ustawy, Plityką Bezpieczeństwa raz Instrukcją zarządzania systemem infrmatycznym. Oświadczenie t przechwywane jest w aktach sbwych pracwnika. Obwiązki użytkwnika: - przetwarzanie danych zgdnie z prcedurami kreślnymi w niniejszej Plityce i Instrukcji. - przestrzeganie bezwzględneg zakazu przekazywania haseł innym użytkwnikm, a także udstępniania kmputera sbm nieupważninym przez ADO, - chrna przed zniszczeniem, utratą lub nieautryzwaną mdyfikacją danych sbwych zgrmadznych na dwlnym nśniku np. dysk twardy kmputera, pendrive, dysk zewnętrzny czy kartka papieru. - chrna wszelkich infrmacji dtyczących funkcjnwania systemów lub urządzeń służących d przetwarzania danych sbwych raz spsbów ich zabezpieczania w trakcie jak i p ustaniu zatrudnienia - wskazywanie kniecznści wprwadzenia zmian w funkcjnalnści systemu infrmatyczneg służąceg d przetwarzania danych sbwych w celu pprawy bezpieczeństwa przetwarzanych danych sbwych. Wbec sób, które nie stsują się d zapisów niniejszej Plityki Bezpieczeństwa, Instrukcji raz ustawy chrnie danych sbwych, ENGIE SERVICES Sp. z.. mże wyciągnąć knsekwencje przewidziane w Kdeksie Pracy i innych aktach prawnych w zależnści d rdzaju skutków naruszeń. 6.2 Obwiązki Administratra Danych Osbwych D bwiązków ADO m.in. należy: - Zapewnienie śrdków rganizacyjnych i technicznych zapewniających zabezpieczenie danych przed dstępem sób nieupważninych - Wyznaczenie Administratra Bezpieczeństwa Infrmacji, który nadzruje przestrzeganie zasad chrny danych sbwych (zastswanie dpwiednich śrdków technicznych i rganizacyjnych zapewniających chrnę przetwarzanych danych sbwych). - Wystawianie upważnień d przetwarzania danych sbwych. - Pinfrmwanie rganów uprawninych d ścigania przestępstw w przypadku celweg naruszenia bezpieczeństwa przetwarzanych danych sbwych. ADO realizując niniejszą Plitykę Bezpieczeństwa, dkłada najwyższej starannści w celu chrny interesów sób, których dane dtyczą, a w szczególnści zapewnia, aby dane te były: - przetwarzane zgdnie z prawem (zasada legalnści), - zbierane dla znacznych, zgdnych z prawem celów i nie pddawane dalszemu przetwarzaniu niezgdnemu z tymi celami (zasada celwści), - zgdne z prawdą, pełne i aktualne (zasada merytrycznej pprawnści), - przetwarzane tylk i wyłącznie w zakresie niezbędnym d wypełnienia celu ich przetwarzania (zasada adekwatnści),
Strna 8 z 22 - przechwywane nie dłużej niż jest t niezbędne d realizacji celów, w których zstały zebrane (zasada graniczenia czasweg). - 6.3 Obwiązki Administratra Bezpieczeństwa Infrmacji (ABI) Funkcję ABI mże pełnić sba, która: - ma pełną zdlnść d czynnści prawnych raz krzysta z pełni praw publicznych, - psiada dpwiednią wiedzę w zakresie chrny danych sbwych, - nie była karana za umyślne przestępstw. Zgdnie z bwiązującymi przepisami bwiązkiem ABI jest: - sprawdzanie zgdnści przetwarzania danych sbwych z przepisami chrnie danych sbwych raz pracwanie w tym zakresie sprawzdania dla administratra danych zgdnie z załącznikiem nr 4 d niniejszej Plityki. Sprawzdanie t musi zstać przedstawine ADO nie później niż d dnia 31 marca rku następująceg p rku, któreg dtyczy. - nadzrwanie pracwania i aktualizwania dkumentacji pisującej spsób przetwarzania danych raz śrdki techniczne i rganizacyjne zapewniające chrnę przetwarzanych danych sbwych dpwiednią d zagrżeń raz kategrii danych bjętych chrną raz przestrzegania zasad w niej kreślnych, - zapewnianie zapznania sób upważninych d przetwarzania danych sbwych z przepisami chrnie danych sbwych, - prwadzenie rejestru zbirów danych sbwych przetwarzanych przez ADO. - sprawwanie nadzru nad niszczeniem zbędnych danych sbwych i/lub ich zbirów szczególnści na: trwałym, fizycznym zniszczeniu danych sbwych i/lub ich zbirów wraz z ich nśnikami w stpniu uniemżliwiającym ich późniejsze dtwrzenie przez sby niepwłane przy zastswaniu pwszechnie dstępnych metd. annimizacji danych sbwych i/lub ich zbirów plegającej na pzbawieniu danych sbwych i/lub ich zbirów cech pzwalających na identyfikacje sób fizycznych, których annimizwane dane dtyczą. - weryfikacja zakresu przetwarzanych danych pd kątem adekwatnści i aktualnści. - Prwadzenie kntrli w zakresie zgdnści przetwarzania danych sbwych z bwiązującymi przepisami prawa raz przepisami wewnętrznymi ENGIE Services Sp. z.. ABI jest dpwiedzialny za bezpieczne przetwarzanie danych sbwych, w tym w szczególnści za przeciwdziałanie dstępwi sób niepwłanych d systemu, w którym przetwarzane są dane sbwe, raz za pdejmwanie dpwiednich działań w przypadku wykrycia naruszeń w systemie. D bwiązków szczegółwych ABI m.in. należy: - Prwadzenie i aktualizacja dkumentacji pisującej spsób przetwarzania danych. - Nadzór nad zidentyfikwaniem i przeanalizwaniem zagrżenia i ryzyka, na które mże być narażne przetwarzanie danych sbwych,
Strna 9 z 22 - Określenie zakresu uprawnień daneg użytkwnika d zasbów infrmatycznych na pdstawie upważnienia wystawineg przez ADO, - Prwadzenie ewidencji sób zatrudninych przy przetwarzaniu danych sbwych. - Nadzrwanie dstępu i przetwarzania treści pdpisanych umów (w zakresie dtyczącym chrny danych sbwych), w przypadku przekazywania danych sbwych pdmitm realizującym zlecenia ADO. - Zapewnienie kntrli nad tym jakie dane, kiedy i przez kg zstały wprwadzne d systemu raz kmu zstały przekazane. - Analiza ptencjalnych zagrżeń mgących wpłynąć na bezpieczeństw przetwarzanych danych sbwych - Wykrywanie i właściwe reagwanie na przypadki naruszenia bezpieczeństwa danych sbwych. - Weryfikacja zakresu przetwarzanych danych pd kątem ich adekwatnści. Przetwarzanie danych w celu innym niż ten, dla któreg zstały zebrane, jest niedpuszczalne. - Nadzór nad biegiem raz przechwywaniem dkumentów zawierających dane sbwe. - Nadzór nad prawidłwścią archiwizacji dkumentów zawierających dane sbwe raz zapewnienie nadzru nad właściwym usuwaniem bądź niszczeniem dkumentów z danymi sbwymi. ABI ma praw d: - Wstępu d pmieszczeń, w których zlkalizwane są zbiry danych sbwych i przeprwadzenia niezbędnych badań lub innych czynnści kntrlnych w celu ceny zgdnści przetwarzania danych z ustawą. - Przeprwadzania draźnych kntrli pprawnści przetwarzania danych sbwych przez sby upważnine. O wynikach kntrli ABI infrmuje bezpśrednieg przełżneg sby kntrlwanej. Z każdej przeprwadznej kntrli sprządzany raprt z kntrli zgdnie z załącznikiem nr 3 d niniejszej Plityki. W ciągu rku kalendarzweg bwiązkiem ABI jest przeprwadzenie nie mniej niż 5 kntrli w wybranych jednstkach rganizacyjnych, w których dane sbwe są przetwarzane. - Żądania składania wyjaśnień dtyczących przetwarzania danych sbwych przez sby upważnine. - Wniskwania d przełżneg sby upważninej d przetwarzania danych sbwych wyciągnięcie knsekwencji służbwych w przypadku, gdy dane sbwe są przetwarzane niewłaściwie. - Wglądu w dkumenty związane z przetwarzaniem danych sbwych. 6.4 Obwiązki ASI D bwiązków ASI m.in. należy: - Zapewnienie ciągłści działania systemu infrmatyczneg. - Nadzór nad działalnścią firm świadczących usługi dla Spółki. - Nadanie, zmiana i blkwanie uprawnień danemu Użytkwnikwi d zasbów infrmatycznych zgdnie z prcedurą kreślną w Instrukcji Zarządzania Systemem
Strna 10 z 22 Infrmatycznym. - Określenie minimalnych zabezpieczeń adekwatnych d zagrżeń i istniejąceg ryzyka, - Mnitrwanie działania zabezpieczeń wdrżnych w celu chrny danych sbwych i ich przetwarzania, - Określenie ptrzeb w zakresie zabezpieczenia zbirów danych sbwych i systemów infrmatycznych, z uwzględnieniem ptrzeby kryptgraficznej chrny danych sbwych, w szczególnści pdczas ich przesyłania za pmcą urządzeń teletransmisji danych, - Właściwa knfiguracja systemu infrmatyczneg zapewniająca jeg bezpieczeństw. - Nadanie uprawnień danemu Użytkwnikwi d zasbów infrmatycznych zgdnie z wniskiem ABI. - Nadzór nad prawidłwym funkcjnwaniem mechanizmów uwierzytelnienia użytkwników systemu raz kntrli dstępu d danych. - Nadzór nad naprawami, knserwacją raz likwidacją urządzeń kmputerwych, które zawierają dane sbwe. - Okreswe wyknywanie kpii bezpieczeństwa danych raz nadzór nad ich zabezpieczeniem. - Wykrywanie i pdejmwanie działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub pdejrzenia naruszenia np. pjawienie się wirusa w systemie. - Okreswa analiza przyczyn i skutków sytuacji, które naruszyły bezpieczeństw danych raz infrmwanie ABI wynikach tej analizy. 6.5 Prawa sób, których dane są przetwarzane Zgdnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. chrnie danych sbwych każda sba, której dane są przetwarzane ma praw d dstępu d swich danych raz ich pprawiania. Każdej sbie przysługuje praw d kntrli przetwarzania danych, które jej dtyczą, zawartych w zbirach danych, a zwłaszcza praw d: - uzyskania wyczerpującej infrmacji, czy zbiór istnieje, - uzyskania infrmacji administratrze danych, adresu jeg siedziby i pełnej nazwy, a w przypadku gdy administratrem danych jest sba fizyczna - jej miejsca zamieszkania raz imienia i nazwiska; - uzyskania infrmacji celu, zakresie i spsbie przetwarzania danych zawartych w takim zbirze; - uzyskania infrmacji, d kiedy przetwarza się w zbirze dane jej dtyczące, raz pdania w pwszechnie zrzumiałej frmie treści tych danych; - uzyskania infrmacji źródle, z któreg pchdzą dane jej dtyczące, chyba że administratr danych jest zbwiązany d zachwania w tym zakresie w tajemnicy infrmacji niejawnych lub zachwania tajemnicy zawdwej; - uzyskania infrmacji spsbie udstępniania danych, a w szczególnści infrmacji dbircach lub kategriach dbirców, którym dane te są udstępniane; - żądania uzupełnienia, uaktualnienia, sprstwania danych sbwych, czasweg lub
Strna 11 z 22 stałeg wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są ne niekmpletne, nieaktualne, nieprawdziwe lub zstały zebrane z naruszeniem ustawy alb są już zbędne d realizacji celu, dla któreg zstały zebrane; - wniesienia uzasadnineg żądania zaprzestania przetwarzania danych; - wniesienia sprzeciwu wbec przekazywania danych innym pdmitm. W przypadku trzymania wnisku udstępnienie infrmacji, których mwa pwyżej, ABI w terminie d 30 dni przygtwuje i wysyła dpwiedź. 7. Zasady przetwarzania danych sbwych w ENGIE SERVICES Sp. z.. 7.1 Wykaz budynków, pmieszczeń twrzących bszar gdzie przetwarzane są dane sbwe Dane sbwe przetwarzane są w siedzibie, ddziałach Spółki raz w lkalizacjach, w których Spółka prwadzi swją działalnść. Aktualny wykaz lkalizacji, w których przetwarzane są dane sbwe jest w psiadaniu Prezesa Zarządu, jest t tzw. Lista kntraktów. Charakterystyka siedziby Spółki raz ddziałów przedstawina zstała w załączniku nr 1 d niniejszej Plityki. W przypadku przetwarzania danych sbwych w innych lkalizacjach sby przetwarzające dane sbwe zbligwane są d przestrzegania n/w zasad: - Osby nieupważnine, znajdujące się w pmieszczeniach, gdzie przetwarza się dane sbwe, mgą przebywać tylk w becnści sby psiadającej upważnienie d przetwarzania danych sbwych. - W pmieszczeniach, gdzie mgą znajdwać się sby nie psiadające upważnienia d przetwarzania danych sbwych, mnitry kmputerów należy tak ustawić, aby uniemżliwić wgląd w dane sbwe wyświetlane na mnitrze. - Należy zamykać na klucz pmieszczenia, w których przetwarzane są dane sbwe w sytuacjach niebecnści sób upważninych d przetwarzania danych sbwych. - Odchdząc d stanwiska w ciągu gdzin pracy należy pzstawić działający system w stanie uniemżliwiającym dstęp d danych dla sób trzecich, pprzez wylgwanie ręczne lub autmatyczne (np. wylgwanie z systemu, autmatyczny wygaszacz ekranu, d któreg dstęp zabezpieczny jest hasłem). Ze względu na charakter prwadznej działalnści ADO w wybranych sytuacjach dpuszcza mżliwść przetwarzania przez użytkwników danych przy użyciu kmputerów przenśnych. Serwerwnia ENGIE Services zstała zlkalizwana w budynku przy ul. Kijwskiej 1 w Warszawie. Pmieszczenie serwerwni znajduje się na 1 piętrze w pkju z jednym nietwieralnym knem. W pbliżu pmieszczenia serwerwni znajduje się gaśnica. Pmieszczenie serwerwni wypsażne jest w metalwą zamykana na klucz szafę, w której znajdują się elementy serwera. Klucz d szafy serwerwej przechwywany jest w sekretariacie Spółki, dstęp ewidencjnwany jest wpisem d zeszytu pbrań klucza. Osbami upważninymi d dbiru klucza są ADO, ABI, ASI. 7.2 Wykaz zbirów danych sbwych wraz ze wskazaniem prgramów zastswanych d ich przetwarzania Wykaz zbirów danych sbwych ujęty zastał w załączniku nr 5 d niniejszej Plityki. Wszelkie dkumenty charakterze pmcniczym (dkumenty rbcze) przechwywane są w wydzielnych katalgach serwera. Pracwnicy ENGIE SERVICES Sp. z.., którzy mają płączenie z serwerem mają wydzielny katalg, w którym ma mżliwść zapisu bądź usuwania
Strna 12 z 22 plików pmcniczych. Dane te są archiwizwane zgdnie z prcedurami kreślnymi w Instrukcji. Nie zaleca się pracwnikm zapisywania danych na stacjach lkalnych nie dtyczy kmputerów przenśnych. Obwiązkiem każdeg użytkwnika jest regularne przeglądanie zawartści swjeg katalgu i usuwanie nieptrzebnych plików i flderów.
Strna 13 z 22 7.3 Opis struktury zbiru danych Opis struktury zbiru danych sbwych zawarty zstał w załączniku nr 1 d niniejszej Plityki. 7.4 Spsób przepływu danych pmiędzy systemami Schemat płączeń prgramwania w ENGIE SERVICES Sp. z.. 7.5 Określenie śrdków technicznych i rganizacyjnych zapewniających pufnść, integralnść i rzliczalnść przetwarzania danych sbwych 7.5.1 Analiza ptencjalnych zagrżeń dla bezpieczeństwa przetwarzanych danych sbwych Źródł zagrżeń dla przetwarzania danych sbwych stanwi przede wszystkim płączenie systemu infrmatyczneg, w którym przetwarzane są dane sbwe z gólndstępną siecią Internet. Zagrżenia te związane są z prgramwaniem szpiegującym czy mnitrującym pracę kmputera (wirusy kmputerwe, knie trjańskie, rtkity itp.). Klejnym źródłem zagrżeń są czynniki zewnętrzne, niezależne d ADO np. - pżar, - włamanie, - kradzież danych, - błędy ludzkie, m.in.: ujawnienie hasła i lginu, udstępnianie stanwisk pracy sbm nieuprawninym,
Strna 14 z 22 nieautryzwane kpiwanie danych sbwych, używanie nśników danych udstępninych przez sby pstrnne, samwlne instalwanie przez użytkwników prgramwania nieznaneg pchdzenia, pzstawienie nśników zewnętrznych w kmputerze np. pendrive, niedpwiednie niszczenie dkumentów w wersji papierwej lub ich wyrzucenie bez zniszczenia, niewłaściwe ustawienie mnitra kmputerweg, umżliwiające sbm nieupważninym wgląd w przetwarzane dane sbwe, pzstawienie dkumentów w gólndstępnych miejscach np. w drukarce, pzstawienie kluczy w drzwiach d pmieszczeń stanwiących bszar przetwarzania danych sbwych lub w szafkach, gdzie znajdują się dane sbwe. 7.5.2 Zastswane śrdki techniczne Dstęp d danych sbwych graniczny jest autryzacją użytkwnika pprzez wpisanie lginu i hasła. Każdemu użytkwnikwi uprawninemu d przetwarzania danych sbwych, przydzieln indywidualny lgin i hasł. Hasł jest znane tylk przez użytkwnika c pzwala na zachwanie zasady niezaprzeczalnści zdarzeń. Wymgi dtyczące haseł zstały zawarte Instrukcji Zarządzania Systemem Infrmatycznym. - Od chwili trzymania lginu użytkwnik dpwiedzialny jest za wszystkie czynnści, które zstały wyknane przy jeg użyciu. - Pracwnicy, bez zezwlenia ADO, nie mgą wynsić pza pmieszczenia stanwiące bszar przetwarzania danych sbwych elektrnicznych nśników infrmacji zawierających dane sbwe lub kpie tych danych (nie dtyczy przetwarzania danych sbwych na kmputerach przenśnych), - Serwer, na którym zlkalizwane są dane sbwe zstały wypsażne w UPS. - System infrmatyczny, w którym przetwarzane są dane sbwe, ma wbudwany mechanizm definiwania pzimów dstępu i kntrli dstępów d pszczególnych bszarów infrmacji. Dstęp d systemu jest indywidualnie zdefiniwany dla każdeg użytkwnika, który ma dstęp d kreślnych zasbów niezbędnych d wyknania bwiązków służbwych. - W celu chrny zbiru danych sbwych przed utratą lub celwym zniszczeniem, wszystkie bazy zawierające dane sbwe są kpiwane zgdnie z prcedurami pisanymi w Instrukcji. - W przypadku wynszenia kpii danych pza bszar, w którym przetwarzane są dane sbwe, ABI zbwiązany jest d ich zabezpieczenia pprzez zaszyfrwanie. Nie zaleca się wynszenia nśników zawierających dane sbwe lub kpie tych danych, pza bszar przetwarzania danych sbwych (nie dtyczy przetwarzania danych sbwych zlkalizwanych na kmputerach przenśnych). - W pmieszczeniu, gdzie zlkalizwany jest serwer, nie wln używać sprzętu ftgraficzneg, vide, lub innych urządzeń d rejestracji bez zgdy ADO. W pmieszczeniu tym bwiązuje całkwity zakaz palenia tytniu. - Stacje rbcze użytkwników zstały wypsażne w system peracyjny raz pakiet biurwy z autmatyczną aktualizacją. Stsuje się aktywną chrnę antywiruswą w czasie rzeczywistym na każdym kmputerze pdłącznym d sieci. Oprgramwanie zstał tak sknfigurwane,
Strna 15 z 22 że aktualizacje baz wirusów pbierane są autmatycznie, a żaden z użytkwników nie ma mżliwści wyłączenia prgramu antywirusweg. - Dla każdej sby, której dane sbwe są przetwarzane w systemie infrmatycznym z wyjątkiem systemów służących d przetwarzania danych sbwych granicznych wyłącznie d edycji tekstu w celu udstępnienia g na piśmie system ten zapewnia dntwanie: daty pierwszeg wprwadzenia danych d systemu, lginu użytkwnika, który dane wprwadził, źródła danych w przypadku, gdy dane pzyskiwane są nie d sby, której ne dtyczą, infrmacji dbircach danych, ile dane są przekazywane (data i zakres udstępnienia), infrmacji braku zgdy sby na przetwarzanie danych sbwych w celach marketingwych. W przypadku, gdy wykrzystywane prgramwanie nie zezwala na dntwanie w/w danych (np. pakiet biurwy), sba wprwadzające dane d systemu zbligwana jest d umieszczenia w pliku infrmacji, której mwa pwyżej (np. pprzez ddanie klumny w arkuszu kalkulacyjnym). W przypadku, gdy dstęp d danych w arkuszach kalkulacyjnych lub edytrach tekstu ma tylk i wyłącznie jeden użytkwnik bwiązek ten nie jest wymagany. 7.6 Zasady pstępwania w przypadku zaistnienia incydentu - Każdy użytkwnik zbligwany jest d niezwłczneg pinfrmwania ABI lub ASI zaistniałym incydencie w zależnści d rdzaju incydentu. Wszelkie incydenty charakterze infrmatycznym zgłaszane są niezwłcznie d ASI, pzstałe incydenty zgłaszane są d ABI. - P trzymaniu infrmacji wystąpieniu incydentu, który spwdwał zagrżenie bezpieczeństwa przetwarzanych danych w systemie infrmatycznym ASI zbligwany jest d: Oceny sytuacji, w tym ceny stanu pmieszczenia, w którym dszł d przypadku naruszenia bezpieczeństwa przetwarzanych danych sbwych, w tym także d wysłuchania wyjaśnień sby infrmującej incydencie. Fizyczneg dłączenia urządzeń, które umżliwiają nieautryzwany dstęp d zbiru danych sbwych. Wylgwania użytkwnika, który zgłsił pdejrzenie lub naruszenie integralnści zbiru danych sbwych. Pdjęcia działań uniemżliwiających dalsze nielegalne przetwarzanie danych sbwych (np. zastswanie ddatkwych zabezpieczeń, całkwite dłączenie stacji rbczej d zbiru danych sbwych). Usunięcia skutków incydentu. Przywrócenie nrmalneg działania systemu (np. dtwrzenie bazy danych z statniej kpii lub zlecenia firmie zewnętrznej dtwrzenia kpii). Pinfrmwania incydencie ABI, w tym sprządzenia dtycząceg pisu przyczyn i znanych skutków incydentu zgdnie z załącznikiem kreślnym w Instrukcji Zarządzania Systemem Infrmatycznym. Wyjaśnienia przyczyn wystąpienia incydentu i pdjęcia działań zmierzających d graniczenia ryzyka wystąpienia pnwneg incydentu w przyszłści (np. szklenie pracwników, analiza wdrżnych śrdków bezpieczeństwa pd kątem ich skutecznści,
Strna 16 z 22 ustalenie źródła wirusa i zwiększenie zabezpieczeń). Wydania decyzji na pnwne rzpczęcie przetwarzania danych sbwych. Przedstawienia ABI prpzycji pprawy bezpieczeństwa. W przypadku, gdy incydent wywłany był świadmie przez pracwnika zebrania dwdów i przekazania ich ABI. Osba zatrudnina przy przetwarzaniu danych sbwych mże kntynuwać pracę dpier p trzymaniu pzwlenia d ASI. - W przypadku zaistnienia incydentu charakterze nieinfrmatycznym np. kradzież, włamanie itp. bwiązkiem użytkwnika jest pinfrmwanie tym fakcie ABI, który pdejmuje niezbędne działania mające na celu zminimalizwanie szkód pwstałych w wyniku incydentu. ADO ma praw wyciągnięcia knsekwencji dyscyplinarnych wbec sób winnych zaistnienia incydentu. 7.6.1 Zastswane śrdki rganizacyjne - Wszystkie zainstalwane prgramy na stacjach rbczych pchdzą z legalneg źródła, ENGIE SERVICES Sp. z.. psiada wszystkie dkumenty ptwierdzające legalnść używaneg prgramwania. - ADO wyznaczył ABI nadzrująceg przetwarzanie danych sbwych w ENGIE SERVICES Sp. z.. - ADO pracwał i wdrżył niniejszą Plitykę Bezpieczeństwa raz Instrukcję Zarządzania Systemem Infrmatycznym. - Usystematyzwan spsób nadawania uprawnień w systemie infrmatycznym dla wszystkich użytkwników. - Mnitry użytkwników zstały ustawine w taki spsób, że sby nieupważnine nie mają mżliwści wglądu w treść wyświetlaną na ekranie. - Zabrania się sbm nieupważninym wglądu w dane wyświetlane na ekranie mnitra lub znajdujące się na stanwisku pracy sby, która dane sbwe przetwarza, raz innych zachwać mgących prwadzić d nieuprawnineg ujawnienia danych sbwych (np. w dziale Kadr). Bezpśrednia strefa przetwarzania danych bejmuje biurk na stanwisku pracy wraz z przestrzenią wkół nie mniejszą niż 1m. Przebywanie i pruszanie się bezpśredniej w strefie przetwarzania danych w szczególnści w dziale Kadr i Księgwści mżliwe jest tylk za zgdą sób tam pracujących. - Na kmputerach, na których przetwarzane są dane sbwe zainstalwan autmatyczne wygaszacze ekranu blkujące p 15 minutach bezczynnści dstęp d stacji rbczej. - Zarządzanie dstępem d biektów i pmieszczeń pisane zstał w załączniku nr 2 d niniejszej Plityki Plityce kluczy. - D przetwarzania danych sbwych mże zstać dpuszczna sba, która trzymała d Administratra Danych Osbwych Upważnienie d Przetwarzania Danych Osbwych. - ABI prwadzi ewidencję sób upważninych d przetwarzania danych sbwych. - Osby nieupważnine, znajdujące się w pmieszczeniach, gdzie przetwarza się dane sbwe, mgą przebywać tylk w becnści sby psiadającej upważnienie d
Strna 17 z 22 przetwarzania danych sbwych, - Pracwnicy, którzy przetwarzają dane sbwe w frmie papierwej zbwiązani są d zabezpieczenia ich przed sbami niemającymi upważnienia d przetwarzania danych pprzez dpwiednie ich przechwywanie i/lub niszczenie. Dane sbwe pracwników przechwywane są w zamykanej metalwej szafie. - Nieptrzebne w danym mmencie dkumenty papierwe i nśniki elektrniczne, należy bezwzględnie chwać w zamykanych szafach. Pd żadnym pzrem dkumenty i nśniki nie pwinny pzstać niezabezpieczne p zakńczeniu pracy. Wszystkie nieptrzebne dkumenty niszczne są autmatycznie przy użyciu niszczarki. Niedpuszczalne jest pzstawianie wydruków w miejscu gólndstępnym, wydruki zawierające dane sbwe p zakńczeniu pracy należy chwać d zamykanej szafy lub szuflady zasada czysteg biurka. - D mmentu zniszczenia dkumenty należy przechwywać w miejscu, d któreg sby nieupważnine nie mają dstępu. - W przypadku naprawy sprzętu kmputerweg zawierająceg dane sbwe dane te są wcześniej usuwane. W przypadku braku mżliwści usunięcia danych naprawa dbywa się pd nadzrem sby upważninej przez ADO. - ADO przewiduje mżliwść pwierzenia przetwarzania danych sbwych zgdnie z art. 31 ustawy. Z wszystkimi pdmitami, którym pwierzne zstanie przetwarzanie danych sbwych, ADO zawarte zstały umwy pwierzenia, w których kreśln zakres przetwarzanych danych sbwych, cel przetwarzania danych sbwych raz wymagane zabezpieczenia zbiru danych sbwych przez pdmit zależny. - Wszelkie dkumenty pracwnicze np. zaświadczenia wyskści zarbków przekazywane są sbm w frmie zabezpiecznej przed dstępem sób nieupważninych (np. kperta). - Pracwnicy działu kadr nie udzielają telefnicznie żadnych infrmacji dtyczących pracwników. - ADO wyznaczył sbę dpwiedzialną za dane archiwalne, która na żądanie pracwników uprawnina jest d kazania dkumentacji archiwalnej pracwnikwi d wglądu tylk w jej becnści. Dkumentacja z zasady nie jest wydawana pza bszar archiwum. - Szczegółwe zabezpieczenia pmieszczeń zstały pisane w pkt. 6.1 niniejszej Plityki Bezpieczeństwa Wykaz budynków, pmieszczeń twrzących bszar gdzie przetwarzane są dane sbwe. - Wszystkie dkumenty zawierające dane sbwe przekazywane są pmiędzy jednstkami ADO w zabezpiecznych kpertach, tak aby sby nieupważnine nie miały mżliwści wglądu w ich treść. Dkumenty przekazywane są sbiście przez pracwników ENGIE SERVICES Sp. z.., w przypadku braku takiej mżliwści dkumenty przesyłane są pcztą (przesyłka rejestrwana) lub kurierem. Niedpuszczalne jest przesyłanie krespndencji przesyłką nierejestrwaną. - W ramach zabezpieczenia danych sbwych chrnie pdlegają: sprzęt kmputerwy serwer, kmputery sbiste, drukarki i inne urządzenia zewnętrzne, prgramwanie kdy źródłwe, prgramy użytkwe, systemy peracyjne, narzędzia
Strna 18 z 22 wspmagające i prgramy kmunikacyjne, dane zapisane na dyskach raz dane pdlegające przetwarzaniu w systemie, hasła użytkwników, pliki dziennych peracji systemwych i baz danych, kpie zapaswe i archiwa, dkumentacja zawierająca dane systemu, pisująca jeg zastswanie, przetwarzane infrmacje itp., wydruki, związana z przetwarzaniem danych dkumentacja papierwa, z których zawarte w nich dane są wprwadzane d systemu infrmatyczneg lub też funkcjnują niezależnie d nieg. 7.6.2 Zasady przetwarzania danych sbwych przy użyciu urządzeń przenśnych Użytkwnicy przetwarzający dane sbwe na urządzeniach przenśnych zbligwani są d: - Zwrócenia szczególnej strżnści pdczas transprtu, przechwywania i użytkwania urządzenia przenśneg. - Nie zaleca się pbierania aplikacji ze źródeł niezaufanych. - Stswania bezwzględneg zakazu pzstawiania urządzenia przenśneg w samchdzie, przechwalni bagażu itp. - Krzystania z urządzenia przenśneg tak, aby zminimalizwać ryzyk wglądu w wyświetlane na mnitrze dane przez sby nieupważnine. - Bezwzględneg zakazu udstępniania urządzenia sbm nieupważninym. - Zaleca się wypsażenie urządzenia przenśneg w prgramwanie antywiruswe z autmatyczną aktualizacją baz wirusów. - Każde urządzenie przenśne typu smartfn, tablet należy zabezpieczyć pprzez ustawienie blkady ekranu np. blkada numerem pin. - Niezwłczneg pinfrmwania ABI ewentualnej kradzieży lub zagubieniu urządzenia przenśneg. - W przypadku krzystania ze stacji rbczych czasw dłączanych d wewnętrznej sieci np. ntebk, użytkwnik zbwiązany jest aktualizwania baz wirusów. - Ograniczenia sbm pstrnnym mżliwści wglądu w treść wyświetlaną na ekranie urządzenia w przypadku krzystania z urządzenia w miejscu publicznym. - Stswania zakazu krzystania z niezabezpiecznych sieci bezprzewdwych raz zakaz krzystania z publicznych sieci WIFI - Zastswanie prgramwania szyfrująceg w przypadku zapisywania danych sbwych na dyskach urządzeń przenśnych. - W pamięci urządzeń przenśnych zabrania się umieszczania haseł, pinów, danych kart kredytwych lub innych infrmacji stanwiących tajemnicę przedsiębirstwa lub których utrata mże narazić Spółkę na znaczne straty.
Strna 19 z 22 7.6.3 Prcedura wydawania dkumentów pracwnikm Wydawanie zaświadczeń - W celu uzyskania zaświadczenia dtycząceg wyskści zarbków lub innych danych dtyczących zatrudnienia, pracwnik zbwiązany jest wystąpić d działu kadr z pisemnym wniskiem wydanie zaświadczenia (np. email). - Jeżeli zaświadczenie ma być wystawine na specjalnym druku, bwiązkiem pracwnika jest dstarczenie jeg wzru. - We wnisku należy wskazać spsób dbiru zaświadczenia (dbiór sbisty, przesłanie pcztą lub dbiór d bezpśrednieg przełżneg). - W przypadku dbiru zaświadczenia d przełżneg, dział kadr przesyła zaświadczenie w zamkniętej kpercie pisanej tylk i wyłącznie imieniem i nazwiskiem pracwnika wniskująceg zaświadczenie. - Przy dbirze sbistym dkumentu pracwnik na kpii dkumentu ptwierdza pisemnie jeg dbiór (data i pdpis pracwnika). - Kpie wystawinych zaświadczeń przechwywane są w dziale kadr. - Pracwnik, który wyraża zgdę na ptwierdzenie przez pracdawcę danych zawartych w zaświadczeniu przedstawicielwi instytucji, d której zaświadczenie jest dstarczane, ptwierdza taką zgdę pisemnie na kpii wydaneg zaświadczenia składając pdpis pd dpwiednia klauzulą. WYRAŻAM ZGODĘ PRACOWNIKOM BANKU NA TELEFONICZNE LUB PISEMNE POTWIERDZENIE INFORMACJI ZAWARTYCH W NINIEJSZYM ZAŚWIADCZENIU - Na pdstawie tak wyrażnej zgdy uprawnina sba ze strny pracdawcy, mże ptwierdzić zgdnść danych z wystawineg zaświadczenia, jeżeli p kntakcie telefnicznym zstanie przesłane mailw lub pisemnie żądaniem ptwierdzenia instytucji będącej w psiadaniu zaświadczenia dstarczneg przez pracwnika. Przesłane żądanie ptwierdzenia pwinn zawierać kmplet danych d ptwierdzenia, zgdnie z wydanym zaświadczeniem. Pracdawca w dpwiedzi na żądanie ptwierdzenia, mże ptwierdzić mailw lub pisemnie zgdnść danych za pmcą następującej frmuły: POTWIEDZAM/NIE POTWIERDZAM ZGODNOŚĆ PRZESŁANYCH DANYCH Z TREŚCIĄ WYDANEGO ZAŚWIADCZENIA O WYSOKOŚCI ZAROBKÓW PRACOWNIKA WYSTAWIONEGO DNIA... Wydawanie pasków z wynagrdzenia - Pracwnik występuje pisemnie d swjeg bezpśrednieg przełżneg udstępnienie wyliczenia wynagrdzenia. - Pracwnik we wnisku kreśla spsób dbiru dkumentu pcztą czy elektrnicznie. W przypadku wysyłania dkumentu drgą elektrniczną pracwnik pdaje adres email raz nr telefnu, na który wysłane zstanie hasł umżliwiające twarcie zabezpieczneg dkumentu. - SM przekazuje wnisek pracwnika d swjeg PM.
Strna 20 z 22 - PM zwraca się z prśbą d działu księgweg wydanie dkumentu, kpia wnisku przesyłana jest d GM. - Za zgdą GM, dział księgwści przygtwuje dkument i wysyła g w wersji elektrnicznej lub pcztą wewnętrzną d bezpśrednieg przełżneg zgdnie z złżnym wniskiem. - W przypadku przesyłania dkumentu w wersji elektrnicznej dział księgwści przesyła g na wskazany we wnisku adres email. Przesyłany plik jest zabezpieczny hasłem jednrazwym, hasł przesyłane jest na numer kmórkwy pracwnika wskazany we wnisku. - W przypadku bezpśredniej przesyłki elektrnicznej ptwierdzeniem trzymania dkumentu jest elektrniczne ptwierdzenie dstarczenia wiadmści na email adresata w prgramie pcztwym, ile pracwnik nie ptwierdzi zwrtnie jeg trzymania. - Wnisek wysłany pcztą wewnętrzną jest zabezpieczny w zamkniętej kpercie, adreswanej imiennie d pracwnika - Przełżny sby wniskującej drukuje listę ptwierdzenia dbiru dkumentu i za pkwitwaniem wydaje paski w zamkniętych kpertach dpwiednim sbm. - Oryginał pkwitwania przełżny dstarcza d księgwści Wydawanie dkumentów RMUA - Dkumenty RMUA przekazywane są raz w miesiącu przez dział kadr wszystkim pracwnikm wewnętrzną pcztą. - Osbami dpwiedzialnymi za dystrybucję RMUA dla techników są SM. - Pzstałe sby trzymują RMUA bezpśredni pcztą na adres biura lub dmwy. - Dkumenty te znajdują się w zamkniętej kpercie pisanej tylk i wyłącznie imieniem i nazwiskiem pracwnika, d któreg dkument jest skierwany. - Pracwnicy ptwierdzają dbiór RMUA na jej kpii. - Pracwnicy techniczni zwracają kpię RMUA w zabezpiecznej kpercie d SM, bwiązkiem SM jest przekazanie kperty d działu kadr. - Pzstali pracwnicy zbwiązani są d niezwłczneg przekazania d działu kadr kpii trzymanych RMUA, pcztą lub sbiście. 7.6.4 Zasady przetwarzania danych sbwych w frmie papierwej - Pracwnicy zbwiązani są d zabezpieczenia wydruków przed sbami niemającymi upważnienia d przetwarzania danych pprzez dpwiednie ich przechwywanie i/lub niszczenie. - Nieptrzebne w danym mmencie dkumenty papierwe należy bezwzględnie chwać w zamykanych szafach. Pd żadnym pzrem dkumenty nie pwinny pzstać niezabezpieczne p zakńczeniu pracy. Wszystkie nieptrzebne dkumenty niszczne są przy użyciu niszczarki. - Zabrania się użytkwnikm pwtórneg używania (w frmie brudnpisów) pism jednstrnnie zadrukwanych jeżeli zawierają ne dane sbwe. - Niedpuszczalne jest pzstawianie wydruków w miejscu gólndstępnym.
Strna 21 z 22 - Wydruki zawierające dane sbwe p zakńczeniu pracy należy chwać d zamykanej szafy lub szuflady zasada czysteg biurka. - D mmentu zniszczenia dkumenty należy przechwywać w miejscu, d któreg sby pstrnne nie mają dstępu. - Wszystkie dkumenty zawierające dane sbwe przekazywane są w zabezpiecznych kpertach, tak aby sby nieupważnine nie miały mżliwści wglądu w ich treść. Dkumenty przekazywane są sbiście przez pracwników, a w przypadku braku takiej mżliwści dkumenty przesyłane są pcztą (przesyłka rejestrwana) lub kurierem. Niedpuszczalne jest przesyłanie krespndencji przesyłką nierejestrwaną. W przypadku przekazywania danych sbiście sba przekazująca sprządza spis dkumentów przekazanych. 8. Przetwarzanie danych sbwych sensytywnych Ze względu na charakter prwadznej działalnści i wymagania Klientów ADO przewiduje mżliwść przetwarzania danych sensytywnych w zakresie infrmacji prawmcnych wyrkach. Przetwarzanie danych wrażliwych jest dpuszczalne, jeżeli: - sba, której dane dtyczą, wyrazi na t zgdę na piśmie, chyba że chdzi usunięcie dtyczących jej danych, - przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgdy sby, której dane dtyczą, i stwarza pełne gwarancje ich chrny, - przetwarzanie takich danych jest niezbędne d chrny żywtnych interesów sby, której dane dtyczą, lub innej sby, gdy sba, której dane dtyczą, nie jest fizycznie lub prawnie zdlna d wyrażenia zgdy, d czasu ustanwienia piekuna prawneg lub kuratra, - jest t niezbędne d wyknania statutwych zadań kściłów i innych związków wyznaniwych, stwarzyszeń, fundacji lub innych niezarbkwych rganizacji lub instytucji celach plitycznych, naukwych, religijnych, filzficznych lub związkwych, pd warunkiem, że przetwarzanie danych dtyczy wyłącznie człnków tych rganizacji lub instytucji alb sób utrzymujących z nimi stałe kntakty w związku z ich działalnścią i zapewnine są pełne gwarancje chrny przetwarzanych danych, - przetwarzanie dtyczy danych, które są niezbędne d dchdzenia praw przed sądem, - przetwarzanie jest niezbędne d wyknania zadań administratra danych dnszących się d zatrudnienia pracwników i innych sób, a zakres przetwarzanych danych jest kreślny w ustawie, - przetwarzanie jest prwadzne w celu chrny stanu zdrwia, świadczenia usług medycznych lub leczenia pacjentów przez sby trudniące się zawdw leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stwrzne pełne gwarancje chrny danych sbwych, - przetwarzanie dtyczy danych, które zstały pdane d wiadmści publicznej przez sbę, której dane dtyczą, - jest t niezbędne d prwadzenia badań naukwych, w tym d przygtwania rzprawy wymaganej d uzyskania dyplmu ukńczenia szkły wyższej lub stpnia naukweg; publikwanie wyników badań naukwych nie mże następwać w spsób umżliwiający
Strna 22 z 22 identyfikację sób, których dane zstały przetwrzne, - przetwarzanie danych jest prwadzne przez strnę w celu realizacji praw i bwiązków wynikających z rzeczenia wydaneg w pstępwaniu sądwym lub administracyjnym. 9. Udstępnianie danych sbwych Zgrmadzne w zbirze ENGIE Services Sp. z.. dane sbwe przekazywane są uprawninym pdmitm na mcy bwiązujących przepisów prawnych. ADO ma bwiązek udstępnienia danych Plicji w celu realizacji jej ustawwych zadań, zgdnie z: - art. 15 ustawy z dnia 06.04.1990 r. Plicji (Dz. U. Nr 30, pz. 179 z późn. zm.), - art. 15 2 ustawy z dnia 06.06.1997 r. Kdeks Pstępwania Karneg (Dz. U. Nr 89, pz. 555 z późn. zm), Administratr Danych Osbwych sprawuje nadzór nad tym jakie dane i w jakim zakresie, a także kmu zstały udstępnine. 10. Pstanwienia kńcwe W sprawach nieuregulwanych niniejsza Plityką mają zastswanie przepisy ustawy z dnia 29 sierpnia 1997 rku chrnie danych sbwych (tekst jednlity Dz. U. z 2002 r. Nr 101, pz. 926), rzprządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dkumentacji przetwarzania danych sbwych raz warunków technicznych i rganizacyjnych, jakim pwinny dpwiadać urządzenia i systemy infrmatyczne służące d przetwarzania danych sbwych (Dz. U. z 2004r., Nr 100, pz. 1024). 11. Załączniki - Załącznik nr 1 Wykaz budynków, pmieszczeń twrzących bszar gdzie przetwarzane są dane sbwe - Załącznik nr 2 Plityka Kluczy - Załącznik nr 3 Raprt z bieżącej kntrli w zakresie chrny danych sbwych - Załącznik nr 4 Sprawzdanie z kntrli stanu bezpieczeństwa w zakresie chrny danych sbwych - Załącznik nr 5 Wykaz zbirów. 12. Histria zmian Wydanie Data wydania Wprwadzna zmiana Kt pracwał I/2013 19.12.2013 Nwy dkument Bżena Puss II/2014 12.06.2014 Aktualizacja d zmiany prawnych Bżena Puss III/2015 1.06.2015 IV/2015 03.08.2015 Aktualizacja d zmian prawnych, rejestracja ABI, pkt 5.3 zmiana zakresu bwiązków ASI, zmiana załączniki nr 3,4,5 Nwe wydanie wynikające z wdrżenia SZŚ wg EN ISO 14001/EMAS i jeg integracji z bwiązującym systemem jakści. Bżena Puss Bżena Puss V/2016 06.09.2016 Zmiana nazwy spółki na ENGIE Services Sp. z.. Bżena Puss