Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata. Dokument przedstawia opis stosowanych przez Archivodata środków i procedur bezpieczeństwa, służących zabezpieczeniu przekazywanych przez Klienta danych w ramach świadczonej usługi archiwizacji danych ( Usługa ). Stanowi on uzupełnienie postanowień wynikających z umowy zawieranej przez Archivodata z Klientem oraz postanowień umowy o powierzeniu przetwarzania danych osobowych. W zakresie nieuregulowanym w niniejszym dokumencie, stosować należy postanowienia wskazanych umów. 1. Kontrola nad Danymi: 1.1. W ramach świadczonej Usługi, Klient pozostaje właścicielem danych przekazywanych do Archivodata (dalej: Dane ) oraz posiada nad nimi pełną kontrolę. W zakresie objętym Usługą, Klient ma możliwość wyboru jakie Dane są przekazywane, w jaki sposób będą zabezpieczone przed ich przekazaniem, jak długo będą przechowywane oraz kiedy nastąpi ich usunięcie. 1.2. Klient decyduje o tym kto ma dostęp do Danych. Może on upoważnić podmioty z nim powiązane do uzyskania dostępu do Danych, a także zlecić Archivodata przeszukiwanie baz Danych w celu przekazania niezbędnych informacji. Z wyjątkiem wyraźnego zlecenia Klienta, Archivodata nie ma dostępu do przechowywanych Danych, w związku z tym Archivodata nigdy nie będzie wykorzystywać Danych lub pozyskiwać z nich informacji w celach marketingowych. 2. Bezpieczeństwo Danych: 2.1. Zapewnienie bezpieczeństwa przekazywanych Danych oraz budowanie zaufania Klientów to fundamentalne założenia działalności Archivodata. Działając w tym celu, Archivodata wdrożyło procedury i środki bezpieczeństwa w ramach świadczonej Usługi, służące zapewnieniu poufności, integralności oraz dostępności Danych Klienta. Procedury te są na bieżąco monitorowane oraz ulepszane. Archivodata zapewnia bezpieczeństwo Danych zarówno w procesie przesyłania Danych, jak i ich przechowywania na infrastrukturze wykorzystywanej przez Archivodata. W tym celu stosowane są zaawansowane techniczne i fizyczne środki kontroli przed nieuprawnionym dostępem lub ujawnieniem Danych Klienta. 1/
2.2. Szyfrowanie przesyłanych Danych: 2.2.1. Dostęp do Usługi następuje poprzez bezpieczny protokół komunikacji SSL256, udostępniony przez Archivodata, zapewniający poufność i integralność transmisji danych. Archivodata dostarcza zaawansowane funkcjonalności kontroli dostępu, szyfrowania oraz logowania, w celu umożliwienia Klientom nadzorowania sposobu dostępu do ich Danych. 2.3. Środki bezpieczeństwa fizycznego: 2.4. Archivodata zapewnia bezpieczeństwo fizyczne pomieszczeń biurowych w których prowadzi działalność oraz w których przetwarzane są Dane. Przyjęte w tym celu procedury bezpieczeństwa przewidują m.in.: a) ograniczenie dostęp do pomieszczeń biurowych oraz obszarów przetwarzania Danych wyłącznie dla osób posiadających wymaganą autoryzację oraz upoważnienia, b) techniczne zabezpieczenie drzwi, okien oraz szaf teleinformatycznych przed nieuprawnionym dostępem, c) obowiązki osób pracujących w zakresie zamykania pomieszczeń na czas nieobecności, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym d) funkcjonowanie instalacji przeciwwłamaniowej oraz przeciw pożarowej. 2.5. Bezpieczeństwo centrów danych 2.5.1. Przy świadczeniu Usług na rzecz Klientów, Archivodata korzysta infrastruktury s e r w e rowej ( d a l e j : I n f r a s t r u k t u r a ) p rowadzonej p r z e z j e d n o z najnowocześniejszych centrów danych w Polsce. 2.5.2. Dane przechowywane są wyłącznie na Infrastrukturze znajdującej się w Polsce oraz nie są przenoszone lub kopiowane na serwery znajdujące się w innych krajach, dzięki czemu nie dochodzi do transmisji danych do państw trzecich w rozumieniu przepisów o ochronie danych osobowych. 2.5.3. Infrastruktura wykorzystywana przez Archivodata zapewnia bezpieczeństwo Danych Klientów dzięki wykorzystaniu najnowocześniejszych rozwiązań technicznych. Serwerownie znajdują się w budynkach specjalnie zaprojektowanych dla zapewnienia maksymalnego bezpieczeństwa, dzięki wzmocnionym ścianom, drzwiom i oknom, nowoczesnym systemom przeciwpożarowym, chłodzącym oraz zasilającym oraz systemom łączności. 2/
Dodatkowo bezpieczeństwo obiektów jest zapewniane poprzez: system telewizji przemysłowej (CCTV) wewnątrz i na zewnątrz obiektów, strefową kontrolę dostępu do obiektów w oparciu o mechanizmy autoryzujące, system sygnalizacji włamań oraz całodobowy nadzór ochrony. Dostęp do obiektów mają wyłącznie osoby upoważnione. 2.5.4.Wykorzystywana Infrastruktura zapewnia ciągłość świadczenia Usługi nawet w przypadku występowania incydentów energetycznych, dzięki wykorzystywaniu dodatkowych źródeł zasilających. 3. Ujawnianie Danych Klienta: 3.1. Dostęp do Danych ma wyłącznie Klient oraz podmioty którym udzielił on autoryzacji. O ile co innego nie wynika ze zlecenia Klienta, Archivodata nie ma dostępu do zawartości przechowywanych Danych, wobec tego nie posiada wiedzy jakiego rodzaju dane są przechowywane przez Klienta. Dzięki temu Archivodata zapewnia równie wysoki poziom ochrony dla wszystkich Danych przekazywanych przez Klienta. 3.2. Archivodata będzie miało dostęp do Danych Klienta jedynie w przypadkach, gdy będzie to niezbędne dla realizacji Usługi na rzecz Klienta. Obejmuje to usługę wyszukiwania danych na życzenie Klienta, przy czym dostęp Archivodata do Danych jest w tym przypadku ograniczony jedynie do Danych niezbędnych dla prawidłowej realizacji Usługi. W takim przypadku dostęp do danych Klienta mogą mieć jedynie osoby, które zostały upoważnione przez Archivodata do dostępu do Danych, jedynie w zakresie niezbędnym dla prawidłowej realizacji zleconej Usługi. Zmiana osób upoważnionych wymaga powiadomienia Klienta. 3.3. Każda z osób pracujących dla Archivodata posiada imienne upoważnienie do przetwarzania danych, w tym danych osobowych, a także identyfikator umożliwiający przypisanie konkretnych operacji na Danych do konkretnej osoby. Każda z osób pracujących dla Archivodata jest również zobowiązana do zachowania poufności informacji jakie uzyskała w trakcie realizacji Usług na rzecz Klienta. Minimalizacja ryzyka ujawnienia danych następuje również dzięki szkoleniom osób pracujących dla Archivodata w zakresie zapewnienia poufności i bezpieczeństwa Danych. 3.4. Poza osobami pracującymi dla Archivodata, oraz osobami upoważnionymi przez Klienta, Archivodata może ujawniać dane jedynie wówczas, gdy jest do tego zobowiązana na podstawie obowiązujących przepisów lub wiążących nakazów pochodzących od uprawnionych organów państwowych. Każdy nakaz i wniosek o ujawnienie Danych jest przez Archivodata wszechstronnie weryfikowany, a w przypadku niespełniania wymogów prawnych, nie jest przez Archivodata realizowany. W przypadku zamiaru ujawnienia Danych w powyższych przypadkach, Archivodata powiadamia Klienta przed ujawnieniem, celem umożliwienia mu zajęcia stanowiska. 3/
3.5. Archivodata ma prawo do usunięcia ze swoich zasobów Danych Klienta, w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o ich bezprawnym charakterze, a także powzięcia takiej informacji we własnym zakresie w toku świadczenia Usługi. Przed usunięciem Danych, Archivodata niezwłocznie zawiadamia o tym zamiarze Klienta, umożliwiając mu zajęcie stanowiska oraz odzyskanie Danych przed ich usunięciem z Infrastruktury. 4. Ochrona danych osobowych 4.1. Jeżeli Dane przekazywane przez Klienta w ramach świadczonej Usługi zawierają dane osobowe, do ich przetwarzania przez Archivodata znajdą zastosowanie odpowiednie przepisy w zakresie ochrony danych osobowych. Ponieważ w ramach świadczonej Usługi Klient zachowuje pełną kontrolę nad celem i środkami przetwarzania Danych, pozostaje on administratorem danych osobowych, podczas gdy Archivodata jest podmiotem przetwarzającym te dane, zgodnie z celami określonymi przez Klienta. Archivodata przetwarza Dane dostarczone przez Klienta jedynie w zakresie i celu niezbędnym do realizacji Usługi. 4.2. Archivodata wspiera Klienta w realizacji jego obowiązków, jako administratora danych osobowych, poprzez dostarczanie rozwiązań umożliwiających przetwarzanie danych osobowych zgodnie obowiązującymi wymogami. Archivodata umożliwia zawarcie umowy powierzenia przetwarzania danych osobowych, która jest warunkiem zgodnego z prawiem powierzenia przez administratora danych. Umowa powierzenia stanowi załącznik do Umowy o świadczenie Usługi. 4.3. Archivodata realizuje wszystkie obowiązki jakie nakładają na nią obowiązujące przepisy w zakresie przetwarzania danych osobowych dostarczanych przez Klientów. W szczególności Archivodata stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz zabezpiecza je przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W tym celu Archivodata prowadzi stosowną dokumentację opisującą sposób przetwarzania danych oraz środki bezpieczeństwa danych. 4.4. Wdrożone przez Archivodata środki techniczne i organizacyjne przewidują m.in., iż osoby pracujące dla Archivodata, mające dostęp do danych osobowych w ramach świadczenia Usługi na rzecz Klienta, posiadają stosowne upoważnienie do przetwarzania danych osobowych. Archivodata prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych. Każda z osób upoważnionych do dostępu do Danych jest zobowiązana do zachowania ich poufności. 4/
4.5. System informatyczny Archivodata (dalej: System ), wykorzystywany do przetwarzania danych osobowych dostarczonych przez Klientów, wykorzystuje środki techniczne oraz organizacyjne adekwatne do wysokiego poziomu bezpieczeństwa. Przyjęte w tym zakresie procedury przewidują m.in. że: a) System zawiera mechanizmy kontroli dostępu do danych oraz odrębne identyfikatory dla każdego użytkownika; b) System jest zabezpieczony przed działaniem szkodliwego oprogramowania oraz przez utratą danych spowodowaną awarią lub zakłóceniami sieci zasilania; c) zarówno Dane przetwarzane w Systemie jak i programy służące do ich przetwarzania są systematycznie zabezpieczane przez sporządzanie bieżącego dziennika zdarzeń oraz kopii zapasowych, które są następnie przechowywane w miejscach uniemożliwiających ich nieuprawnione przejęcie, modyfikację lub uszkodzenie; d) System zapewnia ochronę przed zagrożeniami pochodzącymi z sieci publicznej, w tym kontrolę przepływu informacji pomiędzy Systemem a siecią publiczną (firewall) oraz kontrolę działań inicjowanych z sieci publicznej i Systemu; e) System wyposażony jest w oprogramowanie wykrywające wirusy, próby włamań do systemu, a także jest okresowo testowany pod kątem penetracji sieci wewnętrznych i zewnętrznych; f) System wykorzystuje profile bezpieczeństwa w celu zapewnienia bezpiecznego dostępu do baz Danych, a także mechanizmy szyfrowania, kontroli dostępu oraz planów odzyskiwania danych. 4.6. Archivodata wspiera Klienta przy wywiązywaniu się przez niego z obowiązków jakie na administratorów danych nakłada rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/69 z dnia 2 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych ( RODO ): 4.6.1. Proces przetwarzania danych osobowych w zbiorach udostępnianych Archivodata przez Klientów już w fazie projektowania uwzględniał konieczność zapewnienia ochrony bezpieczeństwa i poufności tych Danych (privacy by design). Mechanizm dostępu do Danych jedynie osób upoważnionych przez Klienta oraz przez Archivodata, na życzenie Klienta, umożliwia ponadto realizację zasady privacy by default. 4.6.2.Archivodata umożliwia wykazanie przez Klienta, zgodnie z wymogami RODO, iż powierzenie przetwarzania Danych nastąpiło na rzecz podmiotu, który zapewnia 5/
odpowiednie gwarancje wdrożenia środków technicznych i organizacyjnych spełniających wymogi rozporządzenia. 4.6.3.Biorąc pod uwagę charakter świadczonej Usługi, Archivodata w miarę możliwości pomaga Klientowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z jego obowiązków w zakresie realizacji praw osób, których dane są przetwarzane, zgodnie z przepisami RODO. 4.6.4.Archivodata, zgodnie z wymogami RODO, wdrożyło odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa Danych stosowny do ryzyka naruszenia praw lub wolności osób fizycznych i wagi zagrożenia, obejmujące m.in. a) środki zapewniające poufność, integralność, dostępność i odporność systemów i usług przetwarzania, b) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, c) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 4.6.5.Uwzględniając charakter świadczonej Usługi oraz dostępne informacje, Archivodata wspiera Klienta w wywiązywaniu się z obowiązków: a) zapewnienia wdrożenia odpowiednich środków technicznych i organizacyjnych, koniecznych dla zapewnienia przez Klienta bezpieczeństwa danych osobowych, b) obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, c) obowiązku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, d) obowiązku sporządzenia oceny skutków dla ochrony danych osobowych oraz związanych z tym konsultacjach z organem nadzorczym 4.6.6.Po zakończeniu świadczenia Usługi, zależnie od decyzji Klienta, Archivodata usuwa lub zwraca wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że stosowne przepisy zobowiązują Archivodata do ich przechowywania. Usunięcie Danych przez Archivodata potwierdzane jest protokołem otrzymywanym przez Klienta. 4.6..Archivodata udostępnia Klientowi wszelkie informacje niezbędne do wykazania spełnienia przez niego obowiązków administratora danych oraz umożliwia 6/
Klientowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów i inspekcji w zakresie warunków przetwarzania danych osobowych. 5. Podział odpowiedzialności: 5.1. Archivodata jest zobowiązane do zapewnienia bezpieczeństwa Infrastruktury wykorzystywanej do przechowywania Danych Klienta, obejmującej urządzenia komputerowe, łączności, oprogramowanie, oraz pomieszczenia w których następuje przetwarzanie Danych. 5.2. Ponieważ pewne czynności związane z przekazywaniem Danych przez Klienta oraz dostępem do nich są niezależne od Archivodata, odpowiedzialność za zapewnienie bezpieczeństwa w tym zakresie ponosi Klient. W szczególności Klient zobowiązany jest do: a) wdrożenia własnego systemu bezpieczeństwa i procedur zabezpieczania Danych, stosownie do istniejących ryzyk i wymogów biznesowych; b) zapewnienia kompatybilności aplikacji, w tym przeglądarek internetowych, ze świadczoną Usługą na urządzeniach końcowych; c) zapewnienia bezpieczeństwa urządzeń końcowych, w szczególności kontroli antywirusowych Danych oraz ich należytego zabezpieczenia przed ich przesłaniem na Infrastrukturę; d) zarządzania kontami i hasłami dostępowymi Klienta, w celu uniemożliwienia dostępu do Danych przez osoby nieupoważnione. 5.3. Archivodata ponosi odpowiedzialność za naruszenie zasad bezpieczeństwa określonych w umowie oraz niniejszym dokumencie. Odpowiedzialność obejmuje kary umowne szczegółowo opisane w treści umowy. Powyższy tekst stanowi własność 16E sp. z o.o. Kopiowanie, powielanie lub rozpowszechnianie podlega naruszeniom prawa własności intelektualnej. /