Polityka bezpieczeństwa przetwarzania danych osobowych w Sklepie Wulkanex Na podstawie art. 36 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 101, poz.926 ze zm.) oraz 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024) ustala się następujące wytyczne polityki bezpieczeństwa danych osobowych przetwarzanych w Sklepie Wulkanex. Celem polityki bezpieczeństwa jest ustanowienie zasad i reguł postepowania, które stosuje Sklep Wulkanex, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych. Spis treści I. Definicje... 3 II. Postanowienia ogólne... 4 III. Budynki, pomieszczenia i części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe... 7 IV. Obowiązki Administratora Danych i Administratora Bezpieczeństwa Informacji... 8 V. Upoważnienie do przetwarzania danych osobowych i dostępu do nich... 9 VI. Dostęp do danych osobowych przez inne podmioty... 11 VII. Procedura usuwania danych osobowych... 11 VIII. Załączniki... 13 Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 1
Spis treści 1. Wykaz zbiorów danych osobowych wraz z określeniem ich struktury, zawartości poszczególnych pól informacyjnych i powiązań miedzy nimi oraz programów zastosowanych do przetwarzania tych danych... 13 2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe... 16 3. Instrukcja określająca formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych w Sklepie Wulkanex... 17 4. Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Sklepie Wulkanex... 21 5. Rejestr osób upoważnionych do przetwarzania danych osobowych w Sklepie Wulkanex..... 23 6. Wzór oświadczenia o zapoznaniu się z obowiązującymi przepisami prawa oraz dokumentacją związaną z wdrożeniem zasad ochrony danych osobowych w Sklepie Wulkanex wraz z zobowiązaniem się do przestrzegania tych zasad... 24 7. Wzór upoważnienia do przetwarzania danych osobowych... 25 Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 2
I. DEFINICJE 1) bezpieczeństwo przetwarzania danych osobowych podjęte przez Administratora Danych działania mające na celu ochronę danych przed udostępnieniem ich nieupoważnionym podmiotom, w szczególności poprzez zastosowanie środków, które zapewniają, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 2) zbiór danych zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 3) przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 4) system informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 5) zabezpieczenie danych w systemie informatycznym wdrożenie i eksploatacja odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 6) usuwanie danych zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 7) Administrator Danych - podmiot decydujący o celach i środkach przetwarzania danych osobowych. Administratorem Danych w Sklepie Wulkanex jest Jerzy Krzyżagórski prowadzący działalność gospodarczą pod firmą: Jerzy Krzyżagórski Markgum Sport z siedzibą w: ul. Kościańska 19, 62-060 Stęszew, REGON 630824816. Podmiot został wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej prowadzonej przez Ministra Gospodarki, NIP 7771790357, zwana dalej: Sklep Wulkanex, 8) Administrator Bezpieczeństwa Informacji osoba nadzorująca przestrzeganie zasad ochrony danych osobowych w zbiorach danych przetwarzanych w systemie tradycyjnym i systemie informatycznym. W Sklepie Wulkanex Administrator Danych sam wykonuje obowiązki Administratora Bezpieczeństwa Informacji, 9) osoba upoważniona do przetwarzania danych - osoba dopuszczona do przetwarzania danych osobowych przez Administratora Danych na podstawie wewnętrznych uregulowań, 10) identyfikator użytkownika ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (login). Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 3
II. POSTANOWIENIA OGÓLNE 1 1. Dane osobowe w Sklepie Wulkanex przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności: a) przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 101,poz.926 ze zm.) oraz przepisów wykonawczych z nią związanych, b) przepisów szczególnych, co należy rozumieć jako: innych przepisów ustaw i rozporządzeń normujących przetwarzanie danych osobowych określonych kategorii. 2. Dane osobowe w Sklepie Wulkanex przetwarzane są w następujących celach: a) właściwe wykonanie przez Wulkanex zobowiązań wynikających z zawartych umów (realizacja zamówień), b) prawidłowe wykonanie innych niezbędnych czynności w ramach realizacji umowy (księgowanie, kontakt z klientami). c) przesyłanie podmiotom powierzającym dane osobowe informacji o produktach dostępnych w Sklepie Wulkanex oraz o aktualnych promocjach, d) wypełnienie prawnie usprawiedliwionych celów, tj. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. 2 1. Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Sklepie Wulkanex odnosi się do danych osobowych przetwarzanych w systemie informatycznym, także w przypadku przetwarzania danych poza zbiorem danych osobowych. 2. Sklep Wulkanex sprawuje nadzór nad rodzajami oraz zawartością zbiorów danych osobowych tworzonych w jego siedzibie. 3. Wykaz zbiorów danych osobowych wraz z określeniem ich struktury, zawartości poszczególnych pól informacyjnych i powiązań miedzy nimi, programów zastosowanych do przetwarzania tych danych określa Załącznik nr 1. 4. Sklep Wulkanex nie tworzy zbiorów danych osobowych i nie gromadzi danych osobowych innych niż niezbędne dla realizacji celów określonych w 1 ust. 2. 5. W sprawach nieuregulowanych w polityce bezpieczeństwa mają zastosowanie przepisy powszechnie obowiązującego prawa. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 4
3 1. Sklep Wulkanex dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, c) merytorycznie poprawne i zgodne z celami, w jakich są przetwarzane, d) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 2. Sklep Wulkanex nie przetwarza danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, chyba że ich przetwarzanie uzasadnione jest okolicznościami wskazanymi w art. 27 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 4 1. Sklep Wulkanex, realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych, prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki ochrony tych danych. W skład tej dokumentacji wchodzą: 1.1. Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Sklepie Wulkanex, 1.2. Wykaz zbiorów danych osobowych wraz z określeniem ich struktury, zawartości poszczególnych pól informacyjnych i powiązań miedzy nimi, programów zastosowanych do przetwarzania tych danych, 1.3. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, 1.4 Instrukcja określająca formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych w Sklepie Wulkanex, 1.5 Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Sklepie Wulkanex, Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 5
1.6 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 1.7. Ewidencja osób upoważnionych do przetwarzania danych osobowych; Oświadczenie o zapoznaniu się z obowiązującymi przepisami prawa oraz dokumentacją związaną z wdrożeniem zasad ochrony danych osobowych w Sklepie Wulkanex wraz z zobowiązaniem się do przestrzegania tych zasad; Upoważnienie do przetwarzania danych osobowych. 2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera: 2.1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2.2. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 2.3 Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 2.4. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 2.5. Sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, 2.6. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, 2.7. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 5 Ze względu na połączenie z siecią publiczną urządzeń systemów służących do przetwarzania danych osobowych stosowany jest wysoki poziom bezpieczeństwa w rozumieniu 6 ust. 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024). Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 6
III. BUDYNKI, POMIESZCZENIA I CZĘŚCI POMIESZCZEŃ, TWORZĄCE OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE 1 1. Sklep Wulkanex wyznacza budynki, pomieszczenia i części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe. 2. W przypadku, gdy budynek składa się z części ogólnodostępnej oraz części, w której przetwarzane są dane osobowe, wówczas pomieszczenie, w którym są przetwarzane dane osobowe zostanie wyraźnie oddzielone od części ogólnodostępnej. 2 W budynku, w którym przetwarzane są dane osobowe znajdują się pomieszczenia biurowe, magazynowe i socjalne. 3 1. W budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe mogą przebywać wyłącznie osoby upoważnione do dostępu i przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrolę nad bezpieczeństwem przetwarzania tych danych. 2. Osoby nieupoważnione do przetwarzania danych osobowych, ale mające interes prawny w uzyskaniu dostępu do danych mogą przebywać w budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wyłącznie w obecności osoby upoważnionej do przetwarzania danych osobowych. 4 1. W przypadku, gdy osoba upoważniona opuszcza całkowicie pomieszczenie, w którym przetwarzane są dane osobowe, zobowiązana jest do zastosowania środków zabezpieczających to pomieszczenie przed wejściem osób nieupoważnionych. 2. Osoba opuszczająca pomieszczenie, w którym przetwarzane są dane osobowe powinna zabezpieczyć również używany aktualnie zbiór danych osobowych. 3. Wskazane w ust. 1 i 2 czynności powinny być stosowane także w razie chwilowej nieobecności osoby upoważnionej do przetwarzana danych osobowych. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 7
4. Przed opuszczeniem pomieszczenia, w którym przetwarzane są dane osobowe znajdujące się w systemie informatycznym zabezpiecza się je przez dokonanie takich operacji w systemie, które uniemożliwią dostęp do danych osobowych osobom nieupoważnionym. 5. Opuszczenie przez osobę przetwarzającą dane osobowe obszaru ich przetwarzania bez zabezpieczenia budynku lub pomieszczenia i znajdujących się w nim zbiorów danych skutkować będzie wszczęciem właściwego postępowania wobec tej osoby. 6. W przypadku osób zatrudnionych w ramach stosunku pracy w Sklepie Wulkanex naruszenie, o którym mowa w ust. 5, będzie traktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych. 5 Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe określa Załącznik nr 2. IV. OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH I ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI 1 1. Sklep Wulkanex stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, która jest odpowiednia do zagrożeń oraz kategorii danych objętych ochroną. 2. Sklep Wulkanex zapewnia w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 3. Administrator Danych sam wykonuje obowiązki Administratora Bezpieczeństwa Informacji w zakresie nadzorowania przestrzegania zasad ochrony, o których mowa w ust. 1 i 2. 4. Sklep Wulkanex dąży do unowocześniania stosowanych środków informatycznych, technicznych i organizacyjnych ochrony tych danych poprzez ich aktualizacje, zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz innymi zagrożeniami związanymi z funkcjonowaniem systemu informatycznego oraz sieci telekomunikacyjnych. Do obowiązków Administratora Bezpieczeństwa Informacji należy: a) określenie wymagań bezpieczeństwa przetwarzania danych osobowych; 2 Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 8
b) nadzór nad wdrożeniem stosownych środków organizacyjnych i technicznych w celu ochrony przetwarzanych danych osobowych; c) prowadzenie dokumentacji opisującej zastosowaną politykę bezpieczeństwa przetwarzania danych osobowych; d) analiza sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych. 3 Osobami odpowiedzialnymi za bieżącą realizację polityki bezpieczeństwa są Administrator Bezpieczeństwa Informacji oraz osoby wykonujące zadania z zakresu ochrony danych osobowych (administratorzy systemów informatycznych). V. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH I DOSTĘPU DO NICH 1 1. Do przetwarzania danych dopuszczone są wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych. 2. Upoważnienie, o którym mowa w 1 ust. 1, wynikać może w szczególności: a) z charakteru pracy wykonywanej na danym stanowisku pracy, lub b) z dokumentu określającego zakres obowiązków wykonywanych na danym stanowisku pracy, lub c) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych. 2.Sklep Wulkanex kontroluje, jakie dane osobowe, kiedy i przez kogo zostaną do zbioru wprowadzone oraz komu będą przekazywane. 3. Sklep Wulkanex prowadzi ewidencję osób upoważnionych do ich przetwarzania, która zawiera: a) imię i nazwisko osoby upoważnionej, b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, c) identyfikator (wymagany przy przetwarzaniu danych w systemie informatycznym). Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 9
4. Rejestr osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 6. 2 Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. 3 1. Administrator Danych zapewnia, że osoby upoważnione do dostępu i przetwarzania danych osobowych zostały zapoznane z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w Sklepie Wulkanex. 2. Przygotowanie osoby, której mają być powierzone obowiązki z zakresu przetwarzania danych osobowych bądź której udzielony zostanie dostęp do tych danych, następuje przed dopuszczeniem tej osoby do pracy na stanowisku związanym z przetwarzaniem danych osobowych. 3. W przypadku zmian w obowiązujących przepisach prawa lub technikach i środkach ochrony danych stosowanych przez Sklep Wulkanex osoba, o której mowa w 3 ust. 2 zostanie zapoznana ze zmianami w trakcie trwania zatrudnienia. 4. Zakres przygotowań, o którym mowa w ust. 2, może obejmować instruktaż na stanowisku pracy lub szkolenie wewnętrzne realizowane w siedzibie Sklepu Wulkanex bądź szkolenie zewnętrzne. 5. Osoby upoważnione do przetwarzania lub dostępu do danych osobowych zostają pouczone przez Administratora Danych o obowiązku wskazanym w 2 niniejszego działu oraz zobowiązane są do podpisania oświadczenia o zapoznaniu się z przepisami ustawy o ochronie danych osobowych oraz dokumentami wydanymi przez Sklep Wulkanex w związku z przetwarzaniem danych osobowych. 4 1. Z zastrzeżeniem ust. 2, naruszanie przez osoby upoważnione do dostępu lub przetwarzania danych osobowych zasad bezpiecznego i zgodnego z prawem ich przetwarzania, prowadzić będzie w konsekwencji do wszczęcia właściwego postępowania wobec tej osoby. 2. W przypadku osób zatrudnionych w ramach stosunku pracy w Sklepie Wulkanex naruszenie, o którym mowa w ust. 1, będzie traktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 10
VI. DOSTĘP DO DANYCH OSOBOWYCH PRZEZ INNE PODMIOTY 1 1. Sklep Wulkanex zapewnia każdej osobie, będącej dysponentem danych osobowych, prawo do kontroli sposobu przetwarzania tych danych, zgodnie z art. 32 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz realizacji pozostałych uprawnień wynikających z art. 33 35 tej ustawy. 2. Dysponentami danych osobowych są osoby, które powierzyły swoje dane Administratorowi Danych w związku z realizacją celów, o których mowa w II 1 pkt. 2. 2 1. Dysponenci danych osobowych oraz osoby nieupoważnione do ich przetwarzania, ale mające interes prawny w uzyskaniu do nich dostępu, mogą mieć wgląd do tych danych wyłącznie w obecności osoby upoważnionej do ich przetwarzania. 2. Dostęp do danych osobowych i ich przetwarzanie bez wyraźnego upoważnienia nadanego przez Sklep Wulkanex jest możliwy w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii. VII. PROCEDURA USUWANIA DANYCH OSOBOWYCH 1 1. Sklep Wulkanex sprawuje kontrolę i nadzór nad niszczeniem zbędnych danych osobowych. 2. Niszczenie zbędnych danych osobowych polega w szczególności na: a) fizycznym, trwałym ich zniszczeniu wraz z nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie, b) pozbawieniu ich cech pozwalających na identyfikacje osób fizycznych (anonimizacja danych). 2 Realizacja prawidłowego usunięcia danych osobowych odbywa się za pomocą narzędzi oraz technik udostępnionych przez Sklep Wulkanex. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 11
3 1. Z zastrzeżeniem ust. 2, naruszanie przez osoby upoważnione do przetwarzania danych osobowych, procedur niszczenia zbędnych danych osobowych i ich zbiorów, prowadzić będzie do wszczęcia właściwego postępowania wobec tej osoby. 2. W przypadku osób zatrudnionych w ramach stosunku pracy w Sklepie Wulkanex naruszenie, o którym mowa w ust. 1, będzie traktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 12
VIII. ZAŁĄCZNIKI Załącznik nr 1 Wykaz zbiorów danych osobowych wraz z określeniem ich struktury, zawartości poszczególnych pól informacyjnych i powiązań miedzy nimi oraz programów zastosowanych do przetwarzania tych danych 1. Dokumentacja zbioru danych osobowych jest prowadzona przez Administratora Bezpieczeństwa Informacji. 2. Struktura zbioru danych osobowych zależna jest od kategorii danych, które są w nich gromadzone. Zakres danych osobowych ustalany jest w oparciu o strukturę zbioru oraz powiązania pól informacyjnych utworzonych w systemach informatycznych. 3. Zawartość pól informacyjnych jest zgodna z obowiązującymi przepisami prawa. 4. Dokumentacja systemów informatycznych służących do przetwarzania danych osobowych aktualizowana jest przez administratora systemów informatycznych. Wykaz zbiorów danych osobowych: * (1) Zbiór o nazwie: Klienci Wulkanex MARKGUM * (2) Zbiór o nazwie: Newsletter Wulkanex MARKGUM. Zakresy danych w zbiorze 1: * Dane personalne dotyczące klientów (imię, nazwisko, NIP), * Dane adresowe klientów (kod pocztowy, miejscowość, ulica, nr domu), * Dane kontaktowe klientów (nr telefonu, adres e mail), * Adresy IP, * Dane powiązane z dokonanymi zamówieniami przez klientów (nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia), Zakresy danych w zbiorze 2: * Adresy e-mail użytkowników korzystających z newsletter a. * Imiona i nazwiska. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 13
Struktura zbioru 1: * Dane adresowe klientów: [identyfikator klienta (login), imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu, nr mieszkania)]; * Dane kontaktowe klientów: [telefon, e-mail]; * Informacje dotyczące zamówień dokonanych przez klientów: [identyfikator zamówienia (numer), identyfikator klienta (login), nazwa produktu, ilość, wartość zamówienia, data zamówienia, sposób płatności]; * Informacje na temat produktów: [nazwa produktu, nazwa producenta]. Struktura zbioru 2: * Dane identyfikujące użytkowników [e-mail]. W adresach e-mail podawane są również w niektórych przypadkach imiona i nazwiska użytkowników. Wskazanie zawartości poszczególnych pól informacyjnych i powiazania miedzy nimi: W zbiorze danych (1) przetwarzane są następujące dane: a) dane dotyczące klientów (imię, nazwisko, kod pocztowy, miejscowość, ulica, nr domu, NIP, numer telefonu, adres e mail, adres IP), b) dane dotyczące wszystkich składanych przez danego klienta zamówieniach (nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia), c) informacje w zakresie wyrażenia zgody przez klientów na otrzymywanie przez nich na wskazany adres e - mail informacji handlowych (wybór odpowiedniego pola). W zbiorze danych (2) przetwarzane są następujące dane: a) dane identyfikujące użytkowników (e-mail), b) informacje w zakresie wyrażenia zgody przez użytkowników na otrzymywanie przez nich na wskazany adres e - mail informacji handlowych (podanie adresu poczty elektronicznej zapis na newsletter). Sposób przepływu danych * Dane przenoszone w sposób manualny (ręczne wprowadzenie). * Dane osobowe zawarte w systemie informatycznym (w zbiorze danych) mogą być modyfikowane ręcznie przez osobę upoważnioną do przetwarzania danych osobowych. Oprogramowanie oraz platformy zastosowane do przetwarzania danych osobowych: * (I) Panel administracyjny Sklepu Wulkanex, oprogramowanie Trol InterMedia (platforma 2click) - obsługa zamówień, statusy zamówień, dane do wysyłki, * (II) Program Comarch CDN XL program wspomagający prowadzenie działalności e-sklepu, Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 14
* (III) Platforma kurierów służąca do generowania listów przewozowych (DPD, Siódemka, GLS, OPEK). Pomiędzy (I) i (II) dane przekazywane są manualnie (imię, nazwisko, kod pocztowy, miejscowość, ulica, nr domu, numer telefonu, adres e mail, NIP, informacja o sposobie płatności, dane dotyczące zamówień). Za pośrednictwem (I) do (III) oraz (II) do (III) przekazywane są manualnie dane: imię, nazwisko, kod pocztowy, miejscowość, ulica, nr domu. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 15
Załącznik nr 2 Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe 1. Lokalizacja: ul. Kościańska 19, 62-060 Stęszew. 2. Opis budynku: budynek składa się z części ogólnodostępnej oraz części, w której przetwarzane są dane osobowe. Pomieszczenie, w którym są przetwarzane dane osobowe jest wyraźnie oddzielone od części ogólnodostępnej. 3. W budynku, w którym przetwarzane są dane osobowe znajdują się pomieszczenia biurowe, magazynowe i socjalne.. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 16
Załącznik nr 3 Instrukcja określająca formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych w Sklepie Wulkanex Niniejszy załącznik określa środki techniczne i organizacyjne, które są niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Dane osobowe są chronione przy zastosowaniu następujących zabezpieczeń: 1. Budynki i pomieszczenia, w których przetwarzane są dane osobowe zabezpieczone są przed dostępem osób nieuprawnionych. Osoby nieuprawnione mogą przebywać w obszarze przetwarzania danych wyłącznie w obecności osoby upoważnionej. 1.1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi. 1.2. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych, w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym. 1.3. Nośniki elektroniczne zawierające dane osobowe należy przechowywać w miejscu niedostępnym dla osób nieupoważnionych do przetwarzania danych osobowych. W przypadku nośników przeznaczonych do likwidacji pozbawia się je wcześniej zapisu danych, a gdy nie jest to możliwe - uszkadza się je w sposób uniemożliwiający ich odczytanie. 1.4. Przebywanie osób nieuprawnionych w pomieszczeniach przeznaczonych do przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby upoważnionej. 1.5. Użytkownik ma obowiązek zamykać system informatyczny (program) po zakończeniu pracy. 1.6. Ekrany monitorów powinny być usytuowane w sposób uniemożliwiający odczyt wyświetlanych na nich danych osobowych przez osoby nieupoważnione. 1.7. Dostęp do pomieszczeń, w którym przetwarzane są zbiory danych osobowych objęty jest kontrolą dostępu (listy obecności). 1.8. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. 1.9. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 17
1.10. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru. 2. Sprzęt komputerowy zabezpieczony jest przed awarią oraz innymi zakłóceniami w sieci zasilającej, aby zapewnić ciągłość działania systemów informatycznych służących do przetwarzania danych osobowych. Administrator Danych obowiązany jest przedsięwziąć środki w zakresie zapewnienia właściwej temperatury i wilgotności powietrza dla sprzętu komputerowego oraz ochrony serwerów przed zanikiem zasilania. Urządzenia służące do przetwarzania danych osobowych należy przechowywać w bezpieczny i nadzorowany sposób. 3. W celu zabezpieczenia zbioru danych osobowych oraz programów służących do przetwarzania danych osobowych przed przypadkową utratą albo celowym zniszczeniem wykonuje się kopie zapasowe, które zostają usunięte po ustaniu ich użyteczności. 4. Zbiór danych osobowych, który jest przetwarzany przy użyciu komputera przenośnego, zabezpieczony jest przed zagrożeniami pochodzącymi z internetu przez zastosowanie środków kryptograficznej ochrony danych oraz takich, które uniemożliwią dostęp do systemów osobom nieuprawnionym. 4.1. Systemy informatyczne i aplikacje powinny być poddawane ocenie ryzyka pod kątem identyfikacji zagrożeń dla bezpieczeństwa przetwarzania danych osobowych (ocena ryzyka powinna być dokonywana co najmniej raz na 30 dni). 4.2. Narzędzia informatyczne służące do oceny ryzyka bezpieczeństwa przetwarzania danych powinny być chronione przed nieautoryzowanym lub nieuprawnionym dostępem, a ich użycie odpowiednio kontrolowane. 5. Korzystanie z oprogramowania systemów wymaga posiadania przez osoby upoważnione identyfikatora i hasła. Wymogi dotyczące hasła: a) składa się ono z co najmniej 8 znaków i jest skonstruowane w sposób uniemożliwiający jego identyfikację (zawiera małe i wielkie litery oraz cyfry lub znaki specjalne), b) użytkownik powinien je zmieniać co najmniej raz na 30 dni; 6. Ochrona baz danych zlokalizowanych w systemach informatycznych polega na: a) zastosowaniu mechanizmów kontroli dostępu do tych baz; b) automatycznym zapisie w systemie informatycznym informacji o identyfikatorze użytkownika, który dokonywał operacji na danych osobowych c) odnotowaniu daty pierwszego wprowadzenia danych do systemu, źródeł danych i informacji o odbiorcach, d) zapewnieniu przez system informatyczny możliwości wydruku raportu, Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 18
e) stosowaniu oprogramowania umożliwiającego trwałe usunięcie danych osobowych z urządzeń, dysków lub innych nośników informacji, które przeznaczone są do naprawy, przekazania lub likwidacji przez osobę nieupoważnioną. 7. Środki sprzętowe infrastruktury informatycznej oraz środki w ramach narzędzi programowych i baz danych. 7.1. Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych. 7.2. Zastosowano system rejestracji dostępu do systemu, w którym są zbiory danych osobowych. 7.3. Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej. 7.4. Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych. 7.5. Dostęp do zbioru danych wymaga uwierzytelnienia z wykorzystaniem identyfikatora i hasła. 7.6. Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego. 7.7. Zastosowano środki ochrony przed szkodliwym oprogramowaniem. 7.8. Użyto system Firewall do ochrony dostępu do sieci komputerowej. 7.9. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. 7.10. Zastosowano kryptograficzne środki ochrony danych osobowych. 7.11. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. 7. Środki ochrony podejmowane w czasie użytkowania systemu przez osobę upoważnioną do przetwarzania danych osobowych: a) zastosowanie mechanizmów kontroli poprzez ograniczenie dostępu użytkownikom do wybranych funkcji systemów i programów, b) uniemożliwienie użytkownikom instalowania dowolnych programów, pobranych z sieci publicznej, c) zastosowanie oprogramowania antywirusowego w systemie, e) monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom nieupoważnionym w przetwarzane dane, f) dostęp do systemu, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła, Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 19
g) rejestracja przypadków awarii systemu informatycznego. 8. Podjęte środki organizacyjne w celu zabezpieczenia danych osobowych: a) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, b) dostęp do danych osobowych (dostęp do zasobów sieci zawierających dane osobowe) możliwy jest po uzyskaniu upoważnienia do przetwarzania danych osobowych, c) wprowadzono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, d) monitorowanie zabezpieczeń systemów informatycznych, e) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych, f) przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego, g) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. Majątkowe prawa autorskie do niniejszego dokumentu posiada e-alliance (2013) v.1.0 Strona 20