POLITYKA BEZPIECZEŃSTWA Danych Osobowych w MAD Sp. z o. o.

30.06.2021 Rzeszów
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w
celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie
wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w
przedsiębiorstwie, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady
(UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

Definicje:

  1. Administrator Danych MAD Sp. z o. o., ul. Stefana Batorego 26, 35-005 Rzeszów,
    NIP; 517 041 74 05.
  2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej
    do zidentyfikowania osoby fizycznej.
  3. System informatyczny – zespół współpracujących ze sobą urządzeń,
    programów, procedur przetwarzania informacji narzędzi programowych
    zastosowanych w celu przetwarzania danych.
  4. Użytkownik – osoba upoważniona przez Administratora Danych do
    Przetwarzania danych osobowych.
  5. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym,
    dostępny według określonych kryteriów.
  6. Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych
    osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
    zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach
    informatycznych.
  7. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych
    jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych
    osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania
    danych osobowych w takim systemie.
  8. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie
    uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie
    przetwarzania danych osobowych w takim systemie.
  9. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej
    tożsamości podmiotu (Użytkownika).
    Polityka bezpieczeństwa danych osobowych
    I. Postanowienia ogólne
  10. Polityka dotyczy wszystkich Danych osobowych przetwarzanych w MAD Sp. z o.
    o., ul. Stefana Batorego 26, 35-005 Rzeszów, NIP; 517 041 74 05, niezależnie od
    formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy
    informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach
    danych.
  11. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w
    siedzibie Administratora.
  12. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do
    przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma
    zostać nadane upoważnienie do przetwarzania danych osobowych, celem
    zapoznania się z jej treścią.
  13. Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
    a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki
    techniczne i rozwiązania organizacyjne,
    b) kontrolę i nadzór nad Przetwarzaniem danych osobowych,
    c) monitorowanie zastosowanych środków ochrony.
  14. Monitorowanie przez Administratora Danych zastosowanych środków ochrony
    obejmuje m.in. działania Użytkowników, naruszenie zasad dostępu do danych,
    zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz
    wewnętrznymi.
  15. Administrator Danych zapewnia, że czynności wykonywane w związku z
    przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą
    polityką oraz odpowiednimi przepisami prawa.
    II. Dane osobowe przetwarzane u administratora danych
  16. Dane osobowe przetwarzane przez Administratora Danych gromadzone są w
    zbiorach danych.
  17. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby
    się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla
    praw i wolności osób. W przypadku planowania takiego działania Administrator
    wykona czynności określone w art. 35 i nast. RODO.
  18. W przypadku planowania nowych czynności przetwarzania Administrator
    dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia
    kwestie ochrony danych w fazie ich projektowania.
  19. Administrator danych prowadzi rejestr czynności przetwarzania. Wzór rejestru
    czynności przetwarzania stanowi Załącznik nr 1 do niniejszej polityki.
    III. Obowiązki i odpowiedzialność w zakresie zarządzania
    bezpieczeństwem
  20. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z
    obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych
    Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a
    także innymi dokumentami wewnętrznymi i procedurami związanymi z
    Przetwarzaniem danych osobowych w MAD Sp. z o. o., ul. Stefana Batorego 26,
    35-005 Rzeszów, NIP; 517 041 74 05.
  21. Wszystkie dane osobowe w Kancelarii są przetwarzane z poszanowaniem zasad
    przetwarzania przewidzianych przez przepisy prawa:
    a) W każdym wypadku występuje chociaż jedna z przewidzianych przepisami
    prawa podstaw dla przetwarzania danych.
    b) Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
    c) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych
    celach i nie przetwarzane dalej w sposób niezgodny z tymi celami.
    d) Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny
    dla osiągnięcia celu przetwarzania danych.
    e) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane. Polityka
    bezpieczeństwa informacji
    f) Czas przechowywania danych jest ograniczony do okresu ich przydatności do
    celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź
    usuwane.
    g) Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny
    zgodnie z treścią art. 13 i 14 RODO.
    h) Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
  22. Administrator danych nie przekazuje osobom, których dane dotyczą, informacji
    w sytuacji, w której dane te muszą pozostać poufne zgodnie z obowiązkiem
    zachowania tajemnicy zawodowej (art. 14 ust 5 pkt d RODO).
  23. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych
    osobowych uważa się w szczególności:
    a) naruszenie bezpieczeństwa Systemów informatycznych, w których
    przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
    b) udostępnianie lub umożliwienie udostępniania danych osobom lub
    podmiotom do tego nieupoważnionym;
    c) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym
    osobowym ochrony;
    d) niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz
    sposobów ich zabezpieczenia;
    e) przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem
    ich zbierania;
    f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub
    nieuprawnione kopiowanie Danych osobowych;
    g) naruszenie praw osób, których dane są przetwarzane.
  24. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych
    osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych
    kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego
    powiadomienia Administratora Danych,
  25. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia
    lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób
    podejmujących czynności na rzecz Administratora Danych na podstawie innych
    umów cywilnoprawnych) należy dopilnowanie, by:
    a) pracownicy byli odpowiednio przygotowani do wykonywania swoich
    obowiązków,
    b) każdy z przetwarzających Dane osobowe był pisemnie upoważniony do
    przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych” –
    wzór Upoważnienia stanowi Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa,
    Polityka bezpieczeństwa informacji
    c) każdy pracownik zobowiązał się do zachowania danych osobowych
    przetwarzanych w MAD Sp. z o. o., ul. Stefana Batorego 26, 35-005 Rzeszów, NIP;
    517 041 74 05 w tajemnicy. „Oświadczenie i zobowiązanie osoby przetwarzającej
    dane osobowe do zachowania tajemnicy” stanowi element „Upoważnienia do
    przetwarzania danych osobowych”.
  26. Pracownicy zobowiązani są do:
    a) ścisłego przestrzegania zakresu nadanego upoważnienia;
    b) przetwarzania i ochrony danych osobowych zgodnie z przepisami;
    c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
    d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz
    niewłaściwym funkcjonowaniem systemu.
    IV. Obszar przetwarzania danych osobowych
  27. Obszar, w którym przetwarzane są Dane osobowe na terenie MAD Sp. z o. o., ul.
    Stefana Batorego 26, 35-005 Rzeszów, NIP; 517 041 74 05, obejmuje pomieszczenie
    biurowe kancelarii zlokalizowane w Rzeszowie, przy ul. Stefana Batorego 26.
  28. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią
    wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza
    obszarem wskazanym powyżej.
    V. Określenie środków technicznych i organizacyjnych
    niezbędnych dla zapewnienia poufności, integralności i
    rozliczalności przetwarzanych danych
  29. Administrator Danych zapewnia zastosowanie środków technicznych i
    organizacyjnych niezbędnych dla zapewnienia poufności, integralności,
    rozliczalności i ciągłości Przetwarzanych danych.
  30. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być
    adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów,
    rodzajów zbiorów i kategorii danych, Środki obejmują:
    a) Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane
    osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą
    przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych
    jedynie w towarzystwie osoby upoważnionej. Polityka bezpieczeństwa informacji
    b) Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych
    określony w pkt IV powyżej na czas nieobecności pracowników, w sposób
    uniemożliwiający dostęp do nich osób trzecich.
    c) Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów.
    d) Wykorzystanie niszczarki do skutecznego usuwania dokumentów
    zawierających dane osobowe.
    e) Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu
    sieci fi rewall.
    f) Wykonywanie kopii awaryjnych danych na zabezpieczonych hasłem dyskach
    zewnętrznych.
    g) Ochronę sprzętu komputerowego wykorzystywanego u administratora przed
    złośliwym oprogramowaniem.
    h) Zabezpieczenie dostępu do urządzeń MAD Sp. z o.o. przy pomocy haseł
    dostępu.
    i) Wykorzystanie szyfrowania danych przy ich transmisji.
    j)Kontrolowanie raz na kwartał, zawsze 1ego roboczego dnia miesiąca
    rozpoczynający każdy kwartał tj. styczeń, kwiecień, lipiec, październik praw do
    dostępów do baz danych i dokumentów firmowych.
  31. Zasady odbierania praw dostępów do dokumentów i baz danych:
    a) Prawa do dostępów do baz danych i dokumentów firmowych są odbierane w
    dniu zakończenia przez pracownika umowy o pracę, zakończenia umowy o dzieło
    lub ze skutkiem natychmiastowym w momencie naruszenia zasad ochrony
    danych osobowych.
    VI. Naruszenia zasad ochrony danych osobowych
  32. W przypadku stwierdzenia naruszenia ochrony danych osobowych
    Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować
    ryzyko naruszenia praw lub wolności osób fizycznych.
  33. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko
    naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt
    naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki –
    jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu
    naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszej polityki.
  34. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia
    o incydencie także osobę, której dane dotyczą.
    VII. Powierzenie przetwarzania danych osobowych
  35. Administrator Danych Osobowych może powierzyć przetwarzanie danych
    osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie
    pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO i
    tylko jeżeli są to dane, które może ujawnić bez naruszenia adwokackiej tajemnicy
    zawodowej.
  36. Przed powierzeniem przetwarzania danych osobowych Administrator w miarę
    możliwości uzyskuje informacje o dotychczasowych praktykach procesora
    dotyczących zabezpieczenia danych osobowych. Polityka bezpieczeństwa
    informacji
    VIII. Przekazywanie danych do państwa trzeciego
  37. Administrator Danych Osobowych nie będzie przekazywał danych osobowych
    do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby,
    której dane dotyczą.
    IX. Postanowienia końcowe
  38. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu
    pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o
    ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do danych
    osobowych objętych tajemnicą zawodową.
  39. Odbieranie uprawnień:
    ● Odbieranie uprawnień może nastąpić na podstawie autonomicznej decyzji
    Zarządu MAD Sp. z o. o. lub na wniosek kierownika danego działu (bez
    podania przyczyny, ale wyłącznie względem jego podwładnych).
    ● Wniosek o odebranie uprawnień kieruje się do tych samych osób i na tych
    samych zasadach, co wnioski o nadanie uprawnień.
    ● Okolicznościami, w których musi nastąpić odebranie uprawnień, są:
  40. wygaśnięcie stosunku pracy lub współpracy, w tym
    wypowiedzenie umów ze szczególnym uwzględnieniem
    rozwiązania umów bez zachowania okresu wypowiedzenia;
  41. zakończenie współpracy z danym klientem (zakończenie
    projektu);
  42. ograniczenie zakresu prac realizowanych w ramach danego
    projektu lub zakończenie subprojektu (zakończenie realizacji
    określonego zadania w ramach projektu lub ustalenie z
    klientem, że określone zadania nie będą dalej realizowane);
  43. zmiana celu przetwarzania zasobu (przeniesienie określonego
    zasobu do zasobów archiwalnych lub przechowywanych z
    uwagi na ustalenie, dochodzenie lub obronę roszczeń -
    domyślnie dane powinny zmienić swoją lokalizację zgodnie z
    postanowieniami procedury zarządzania dokumentami i
    zasobami jednak na okres operacyjny dopuszczalne jest
    ograniczenie dostępu do nich przez zarządzanie
    uprawnieniami);
  44. przeszeregowanie pracownika.
  45. Zarząd MAD Sp. z o. o. może na podstawie stosownego pełnomocnictwa
    powierzyć kwestie decyzyjne związane z nadawaniem / odbieraniem uprawnień
    pracownikowi.

RODO

Lorem ipsum dolor sit amet