Rodo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

I. Informacje ogólne

Głównym  celem  wprowadzenia  Polityki  Bezpieczeństwa  jest  zapewnienie zgodności działania Talex Spółka z ograniczoną odpowiedzialnością jako Administratora Danych Osobowych z przepisami prawa regulującymi kwestię administrowania i przetwarzania danych osobowych. Niniejsza Polityka Bezpieczeństwa opisuje w szczególności zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.

  1. Dokument Polityki Bezpieczeństwa został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych:
  1. Obszarem przetwarzania danych osobowych przez Talex Spółka z ograniczoną odpowiedzialnością jest adres jej siedziby.

    a) ochrona danych osobowych realizowana jest poprzez stosowanie zabezpieczeń w postaci:
  1. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów:

    a. Poufność danych – zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,

    b. Integralność danych – zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

    c. Dostępność   danych   –   zapewnienie   osiągalności   danych   i możliwości ich wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot,

    d. Rozliczalność danych – zapewnienie, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,

    e. Autentyczność danych – zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana,

    f. Integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;

    g. Zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

4. Administrator Danych Osobowych gromadzi, przetwarza dane osobowe w następujących celach:

II. Definicje

1. Przez użyte w Polityce Bezpieczeństwa określenia należy rozumieć:

a. Polityka Bezpieczeństwa – rozumie się przez to Politykę Bezpieczeństwa Ochrony Danych Osobowych w Talex Spółka z ograniczoną odpowiedzialnością

b. Administrator   Danych   Osobowych –  Administratorem   Danych Osobowych  w rozumieniu  niniejszej  Polityki  Bezpieczeństwa jest Talex Spółka z ograniczoną odpowiedzialnością,

c. Administrator Bezpieczeństwa Informacji – osoba, która dba o należyte zabezpieczenie danych osobowych oraz o kompleksowe zapewnianie u danego administratora danych przestrzegania przepisów o ochronie danych osobowych Administratora Bezpieczeństwa informacji powołuje Administrator Danych osobowych;

d. Biuro – Biuro Talex Spółka z ograniczoną odpowiedzialnością

e. Ustawa – Ustawa o ochronie danych osobowych  z dnia 10 maja 2018 r. ( Dz.U. 2018 poz. 1000)

f. RODO – Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie  ochrony osób  fizycznych  w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [rozporządzenie ogólne o ochronie danych]

g. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

h. Zbiór danych osobowych  – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;

i. Baza danych osobowych – zbiór uporządkowanych powiązanych ze sobą tematycznie zapisanych np. w pamięci wewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisywane dane osobowe;

j. Usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą.

k. Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

l. System informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;

m. Bezpieczeństwo   systemu   informatycznego   –   wdrożenie  stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed nieuprawnionym przetwarzaniem danych;

n. Administrator Systemu Informatycznego – osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych (może to być administrator sieci lokalnej, systemu operacyjnego, bazy danych itp.).

o. Użytkownik – rozumie się przez to osobę wyznaczoną i upoważnioną przez Administratora danych do przetwarzania danych osobowych, przeszkoloną w zakresie ochrony tych danych.

p. Stacja robocza – stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie.


III. Cel i zakres polityki

1. Ustawa o ochronie danych osobowych nakłada na Administratora danych obowiązek stosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz zabezpieczenie ich m.in. przed udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem ustawy, a także zmianą, utratą uszkodzeniem lub zniszczeniem. Celem niniejszej polityki bezpieczeństwa przetwarzania danych osobowych jest opracowanie optymalnych i zgodnych z wymogami prawa zasad przetwarzania danych, których zbieranie i przetwarzanie jest niezbędne dla realizacji celów Spółki.

2. W Talex Spółka z ograniczoną odpowiedzialnością przetwarzane są przede wszystkim dane osobowe pracowników spółki, podmiotów współpracujących, klientów- osób prawnych i fizycznych.

3. Dane osobowe podmiotów określonych w ust. III pkt. 2 są przetwarzane i składowane zarówno w postaci dokumentacji tradycyjnej jak i elektronicznej.

4. Politykę bezpieczeństwa stosuję się przede wszystkim do:

5. Zakres ochrony danych osobowych określony w Polityce Bezpieczeństwa ma zastosowanie do systemów informatycznych Talex Spółka z ograniczoną odpowiedzialnością, w których są przetwarzane dane osobowe, a w szczególności do:

6. Do stosowania zasad określonych w Polityce Bezpieczeństwa zobowiązani są wszyscy użytkownicy danych, w tym w szczególności pracownicy biurowi Talex Spółka z ograniczoną odpowiedzialnością, zleceniobiorcy, stażyści, oraz wszelkie inne osoby mając dostęp do informacji podlegających ochronie.

IV. Obowiązki i odpowiedzialność

1. Do najważniejszych obowiązków Administratora Danych realizowanych przez Administratora Bezpieczeństwa Informacji należy:

a. Organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami ustawy o ochronie danych osobowych oraz innych przepisów regulujących zasady bezpieczeństwa i ochrony danych osobowych;

b. Zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki Bezpieczeństwa;

c. Wydawanie i anulowanie upoważnień do przetwarzania danych osobowych;

d. Przeprowadzanie szkoleń użytkowników przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe;

e. Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;

f. Prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych;

g. Nadzór nad bezpieczeństwem danych osobowych;

h. Kontrola działań pracowników pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

i. Inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;

j. Bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych;

k. Konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem;

l. Zapewnienie zapisów dotyczących ochrony danych osobowych;

m. Przeciwdziałanie próbom naruszenia bezpieczeństwa informacji;

n. Prowadzenie profilaktyki antywirusowej.

2. Do najważniejszych obowiązków osób upoważnionych do przetwarzania danych osobowych należy:

a. Znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej;

  1. Przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami;
  2. Postępowania zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych;

b. Zachowania w tajemnicy danych osobowych, do których uzyskały dostęp oraz informacji o sposobach ich zabezpieczenia;
c. Ochrony  danych  osobowych  oraz  środków  przetwarzających  dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
d. Informowania Administratora Danych Osobowych o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe;
e. Zapoznanie się z Polityką Bezpieczeństwa przetwarzania danych osobowych oraz informacją dotyczącą przetwarzania danych osobowych – polityką prywatności.

V.  Zarządzanie ochroną danych osobowych

1. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z upoważnieniem oraz rolą sprawowaną w procesie przetwarzania danych. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z upoważnieniem oraz rolą sprawowaną w procesie przetwarzania danych.

2. Dostęp do danych osobowych powinien być przyznawany zgodnie z zasadą wiedzy koniecznej.

3. Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia.

4. Należy zapewnić poufność, integralność przetwarzanych danych osobowych,

5. Należy stosować adekwatny do zmieniających się warunków i technologii poziom bezpieczeństwa przetwarzania danych osobowych.

6. Dane osobowe powinny być chronione przed nieuprawnionym dostępem i modyfikacją.

7. Dane osobowe należy przetwarzać wyłącznie za pomocą autoryzowanych urządzeń służbowych.

8. Do   przetwarzania   danych   osobowych   mogą   być   dopuszczone wyłącznie osoby posiadające upoważnienie. Upoważnienia wydawane są indywidualnie przez Administratora Danych Osobowych.

VI. Szkolenia użytkowników

1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej lub elektronicznej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.

2. Za przeprowadzenie szkolenia odpowiada Administrator Danych Osobowych.

3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką Bezpieczeństwa danych. Po zaznajomieniu się z powyższymi regulacjami użytkownik, przed dopuszczeniem do przetwarzania danych powinien zobowiązać się do ich przestrzegania przez podpisanie oświadczenia użytkownika, stanowiącego załącznik nr 1 do polityki bezpieczeństwa.

VII. Upoważnienie do przetwarzania danych osobowych

1. Do przetwarzania danych osobowych upoważnione są osoby działające z upoważnienia Administratora.

2. Upoważnienia są wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez Administratora Danych Osobowych.

3. W celu otrzymania przez Użytkownika upoważnienia do przetwarzania danych osobowych, należy dostarczyć do Administratora Danych podpisane oświadczenie użytkownika.

4. Na podstawie otrzymanego oświadczenia Administrator Danych Osobowych upoważnia Użytkownika do przetwarzania danych osobowych.

5. Upoważnienia, o których mowa powyżej przechowywane są w siedzibie spółki- biurowcu.

6. Upoważnienie może być w każdym czasie odwołane przez Administratora Danych Osobowych. Oświadczenie o odwołaniu upoważnienia do przetwarzania danych osobowych powinno być sporządzone na piśmie. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą ustania przesłanki będącej podstawą wydania upoważnienia, w tym     w szczególności wygaśnięcia stosunku pracy lub umowy cywilnoprawnej łączącej Użytkownika z Administratorem Danych Osobowych.

VIII. Ewidencja osób upoważnionych

Ewidencja osób upoważnionych do przetwarzania danych osobowych w Talex Spółka z ograniczoną odpowiedzialnością jest prowadzona przez Administratora Danych.

IX. Udostępnianie danych osobowych

1. Dane osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa oraz osobom, których dotyczą.

2. Udostępnianie danych osobowych może nastąpić wyłącznie za zgodą Administratora Danych Osobowych.

3. Informacje zawierające dane osobowe powinny być przekazywane uprawnionym podmiotom lub osobom za potwierdzeniem odbioru listem poleconym za pokwitowaniem odbioru lub innym bezpiecznym sposobem, określonym wymogiem prawnym lub umową.

4. Udostępniając   dane   osobowe,   należy   zaznaczyć,   że   można   je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

X. Dokonanie obowiązku informacyjnego

W przypadku zbierania danych osobowych od osoby, której one dotyczą, w wypadkach przewidzianych Ustawą należy poinformować tę osobę o:

a. Pełnej nazwie Spółki i adresie siedziby;

b. Celu zbierania danych, a w szczególności o znanych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;

c. Prawie dostępu do swoich danych oraz ich poprawiania;

d. Dobrowolności lub obowiązku podania danych – jeżeli taki obowiązek istnieje, o jego podstawie prawnej;

XI. Przetwarzanie danych osobowych. Wymagania bezpieczeństwa.

1. Dane osobowe mogą być przetwarzane wyłącznie w obszarze przetwarzania danych osobowych, na które składają się pomieszczenia biurowe w siedzibie Talex Spółka z ograniczoną odpowiedzialnością, z wyjątkiem udostępnienia danych osobowych lub powierzenia przetwarzania danych osobowych.

2. Dane osobowe w Talex Spółka z ograniczoną odpowiedzialnością przetwarzane są przy zastosowaniu środków organizacyjnych, technicznych.

3. Dla zapewnienia poufności, integralności przetwarzanych danych stosuję się następujące środki:

A. Środki organizacyjne

  1. wdrożenie Polityki bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Spółce;
  2. ustalona, indywidualna procedura udzielania upoważnień przez Administratora Danych poprzedzonego szkoleniem z zakresu przepisów i zasad ochrony danych osobowych
  3. prowadzenie ewidencji osób uprawnionych do przetwarzania danych osobowych, procedura postępowania w sytuacji naruszenia ochrony danych osobowych; konieczność składania deklaracji poufności przez użytkowników danych; procedury przechowywania zbiorów danych;

B. Środki techniczne:

  1. Dane osobowe  przetwarzane  są  wyłącznie  na  autoryzowanym sprzęcie służbowym;
  2. Stacje robocze wyposażone są w indywidualną ochronę antywirusową;
  3. Dostęp  do  systemu  operacyjnego  komputera,  w  którym  przetwarzane  są dane  osobowe  zabezpieczony  jest  za  pomocą  procesu  uwierzytelnienia  z wykorzystaniem identyfikatora użytkownika oraz hasła.

C. Środki ochrony fizycznej:

  1. Szafy,   w   których   znajdują   się   zbiory   danych   osobowych,   są zamykane  na  klucz;
  2. Pomieszczenia,   w   których   przetwarzany   jest   zbiór   danych   osobowych wyposażone są w system alarmowy przeciwwłamaniowy;
  3. Drzwi  zwykłe  (niewzmacniane,  nie  przeciwpożarowe)  do  pomieszczeń,  w których  przetwarzane  są  dane  osobowe  znajdują  się  wewnątrz  budynku  w strefie ograniczonego dostępu;
  4. Zbiór   danych   osobowych   w   formie   papierowej   przechowywany   jest   w zamkniętej drewnianej szafie, w monitorowanym pomieszczeniu.
  5. Kopie  zapasowe/archiwalne  zbioru  danych  osobowych  przechowywane  są w zamkniętej drewnianej szafie, w monitorowanym pomieszczeniu.
  6. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek.

XII.  Sprawdzenie stanu systemu ochrony danych osobowych

  1. Administrator Bezpieczeństwa Informacji raz w roku sprawdza zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
  2. Okresowy  przegląd  Polityki  Bezpieczeństwa  powinien  mieć  na  celu  stwierdzenie,  czy postanowienia  Polityki  odpowiadają  aktualnej  i  planowanej  działalności Spółki oraz stanowi prawnemu aktualnemu w momencie dokonywania przeglądu

XIII. Postępowanie w sytuacji naruszenia bezpieczeństwa danych osobowych  

1. Każdy użytkownik w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest o tym poinformować Administratora Danych.

a) Do typowych zagrożeń bezpieczeństwa danych osobowych należą:

b) Do typowych incydentów bezpieczeństwa danych osobowych należą:

  1. W   przypadku  stwierdzenia  wystąpienia  zagrożenia,  Administrator   Danych  prowadzi postępowanie wyjaśniające w toku którego:
  1. W   przypadku   stwierdzenia   incydentu   (naruszenia),   Administrator   Danych   prowadzi postępowanie wyjaśniające, w toku którego:

XIV.  Zgodność

Niniejsza   Polityka   powinna   być   aktualizowana   wraz   ze   zmieniającymi   się   przepisami prawnymi    o ochronie    danych    osobowych    oraz    zmianami    faktycznymi    w    Talex Spółka z ograniczoną odpowiedzialnością, które  mogą  powodować,  że  zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.

XV.   Postanowienia końcowe  

1. Administrator Danych ma obowiązek zapoznać z treścią Polityki każdego użytkownika.

2. Wszystkie regulacje dotyczące systemów informatycznych, określone w Polityce dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.

3. Użytkownicy  zobowiązani  są  do  stosowania  przy  przetwarzaniu  danych  osobowych postanowień zawartych w Polityce.

4. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego  domniemania  takiego  naruszenia  nie  podjęła  działania  określonego  w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z   określonymi   zasadami,   a   także,   gdy   nie   zrealizowała   stosownego   działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne. 

5. Kara  dyscyplinarna  orzeczona  wobec  osoby  uchylającej  się  od  powiadomienia  nie wyklucza   odpowiedzialności   karnej   tej   osoby,   zgodnie   z ustawą   oraz   możliwości wniesienia    wobec    niej    sprawy    z    powództwa    cywilnego    przez    pracodawcę o zrekompensowanie poniesionych strat.

6. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy Ustawy oraz aktów wykonawczych.