30.06.2021 Rzeszów
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w
celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie
wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w
przedsiębiorstwie, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady
(UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
Definicje:
- Administrator Danych MAD Sp. z o. o., ul. Stefana Batorego 26, 35-005 Rzeszów,
NIP; 517 041 74 05. - Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej
do zidentyfikowania osoby fizycznej. - System informatyczny – zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji narzędzi programowych
zastosowanych w celu przetwarzania danych. - Użytkownik – osoba upoważniona przez Administratora Danych do
Przetwarzania danych osobowych. - Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym,
dostępny według określonych kryteriów. - Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach
informatycznych. - Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych
jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym (Użytkownika) w razie Przetwarzania
danych osobowych w takim systemie. - Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie
uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie
przetwarzania danych osobowych w takim systemie. - Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej
tożsamości podmiotu (Użytkownika).
Polityka bezpieczeństwa danych osobowych
I. Postanowienia ogólne - Polityka dotyczy wszystkich Danych osobowych przetwarzanych w MAD Sp. z o.
o., ul. Stefana Batorego 26, 35-005 Rzeszów, NIP; 517 041 74 05, niezależnie od
formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy
informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach
danych. - Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w
siedzibie Administratora. - Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do
przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma
zostać nadane upoważnienie do przetwarzania danych osobowych, celem
zapoznania się z jej treścią. - Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki
techniczne i rozwiązania organizacyjne,
b) kontrolę i nadzór nad Przetwarzaniem danych osobowych,
c) monitorowanie zastosowanych środków ochrony. - Monitorowanie przez Administratora Danych zastosowanych środków ochrony
obejmuje m.in. działania Użytkowników, naruszenie zasad dostępu do danych,
zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz
wewnętrznymi. - Administrator Danych zapewnia, że czynności wykonywane w związku z
przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą
polityką oraz odpowiednimi przepisami prawa.
II. Dane osobowe przetwarzane u administratora danych - Dane osobowe przetwarzane przez Administratora Danych gromadzone są w
zbiorach danych. - Administrator danych nie podejmuje czynności przetwarzania, które mogłyby
się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla
praw i wolności osób. W przypadku planowania takiego działania Administrator
wykona czynności określone w art. 35 i nast. RODO. - W przypadku planowania nowych czynności przetwarzania Administrator
dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia
kwestie ochrony danych w fazie ich projektowania. - Administrator danych prowadzi rejestr czynności przetwarzania. Wzór rejestru
czynności przetwarzania stanowi Załącznik nr 1 do niniejszej polityki.
III. Obowiązki i odpowiedzialność w zakresie zarządzania
bezpieczeństwem - Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z
obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych
Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a
także innymi dokumentami wewnętrznymi i procedurami związanymi z
Przetwarzaniem danych osobowych w MAD Sp. z o. o., ul. Stefana Batorego 26,
35-005 Rzeszów, NIP; 517 041 74 05. - Wszystkie dane osobowe w Kancelarii są przetwarzane z poszanowaniem zasad
przetwarzania przewidzianych przez przepisy prawa:
a) W każdym wypadku występuje chociaż jedna z przewidzianych przepisami
prawa podstaw dla przetwarzania danych.
b) Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
c) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych
celach i nie przetwarzane dalej w sposób niezgodny z tymi celami.
d) Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny
dla osiągnięcia celu przetwarzania danych.
e) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane. Polityka
bezpieczeństwa informacji
f) Czas przechowywania danych jest ograniczony do okresu ich przydatności do
celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź
usuwane.
g) Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny
zgodnie z treścią art. 13 i 14 RODO.
h) Dane są zabezpieczone przed naruszeniami zasad ich ochrony. - Administrator danych nie przekazuje osobom, których dane dotyczą, informacji
w sytuacji, w której dane te muszą pozostać poufne zgodnie z obowiązkiem
zachowania tajemnicy zawodowej (art. 14 ust 5 pkt d RODO). - Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych
osobowych uważa się w szczególności:
a) naruszenie bezpieczeństwa Systemów informatycznych, w których
przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
b) udostępnianie lub umożliwienie udostępniania danych osobom lub
podmiotom do tego nieupoważnionym;
c) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym
osobowym ochrony;
d) niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz
sposobów ich zabezpieczenia;
e) przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem
ich zbierania;
f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub
nieuprawnione kopiowanie Danych osobowych;
g) naruszenie praw osób, których dane są przetwarzane. - W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych
osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych
kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego
powiadomienia Administratora Danych, - Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia
lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób
podejmujących czynności na rzecz Administratora Danych na podstawie innych
umów cywilnoprawnych) należy dopilnowanie, by:
a) pracownicy byli odpowiednio przygotowani do wykonywania swoich
obowiązków,
b) każdy z przetwarzających Dane osobowe był pisemnie upoważniony do
przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych” –
wzór Upoważnienia stanowi Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa,
Polityka bezpieczeństwa informacji
c) każdy pracownik zobowiązał się do zachowania danych osobowych
przetwarzanych w MAD Sp. z o. o., ul. Stefana Batorego 26, 35-005 Rzeszów, NIP;
517 041 74 05 w tajemnicy. „Oświadczenie i zobowiązanie osoby przetwarzającej
dane osobowe do zachowania tajemnicy” stanowi element „Upoważnienia do
przetwarzania danych osobowych”. - Pracownicy zobowiązani są do:
a) ścisłego przestrzegania zakresu nadanego upoważnienia;
b) przetwarzania i ochrony danych osobowych zgodnie z przepisami;
c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz
niewłaściwym funkcjonowaniem systemu.
IV. Obszar przetwarzania danych osobowych - Obszar, w którym przetwarzane są Dane osobowe na terenie MAD Sp. z o. o., ul.
Stefana Batorego 26, 35-005 Rzeszów, NIP; 517 041 74 05, obejmuje pomieszczenie
biurowe kancelarii zlokalizowane w Rzeszowie, przy ul. Stefana Batorego 26. - Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią
wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza
obszarem wskazanym powyżej.
V. Określenie środków technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności, integralności i
rozliczalności przetwarzanych danych - Administrator Danych zapewnia zastosowanie środków technicznych i
organizacyjnych niezbędnych dla zapewnienia poufności, integralności,
rozliczalności i ciągłości Przetwarzanych danych. - Zastosowane środki ochrony (techniczne i organizacyjne) powinny być
adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów,
rodzajów zbiorów i kategorii danych, Środki obejmują:
a) Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane
osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą
przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych
jedynie w towarzystwie osoby upoważnionej. Polityka bezpieczeństwa informacji
b) Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych
określony w pkt IV powyżej na czas nieobecności pracowników, w sposób
uniemożliwiający dostęp do nich osób trzecich.
c) Wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów.
d) Wykorzystanie niszczarki do skutecznego usuwania dokumentów
zawierających dane osobowe.
e) Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu
sieci fi rewall.
f) Wykonywanie kopii awaryjnych danych na zabezpieczonych hasłem dyskach
zewnętrznych.
g) Ochronę sprzętu komputerowego wykorzystywanego u administratora przed
złośliwym oprogramowaniem.
h) Zabezpieczenie dostępu do urządzeń MAD Sp. z o.o. przy pomocy haseł
dostępu.
i) Wykorzystanie szyfrowania danych przy ich transmisji.
j)Kontrolowanie raz na kwartał, zawsze 1ego roboczego dnia miesiąca
rozpoczynający każdy kwartał tj. styczeń, kwiecień, lipiec, październik praw do
dostępów do baz danych i dokumentów firmowych. - Zasady odbierania praw dostępów do dokumentów i baz danych:
a) Prawa do dostępów do baz danych i dokumentów firmowych są odbierane w
dniu zakończenia przez pracownika umowy o pracę, zakończenia umowy o dzieło
lub ze skutkiem natychmiastowym w momencie naruszenia zasad ochrony
danych osobowych.
VI. Naruszenia zasad ochrony danych osobowych - W przypadku stwierdzenia naruszenia ochrony danych osobowych
Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować
ryzyko naruszenia praw lub wolności osób fizycznych. - W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko
naruszenia praw lub wolności osób fizycznych, Administrator zgłasza fakt
naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki –
jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu
naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszej polityki. - Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia
o incydencie także osobę, której dane dotyczą.
VII. Powierzenie przetwarzania danych osobowych - Administrator Danych Osobowych może powierzyć przetwarzanie danych
osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie
pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO i
tylko jeżeli są to dane, które może ujawnić bez naruszenia adwokackiej tajemnicy
zawodowej. - Przed powierzeniem przetwarzania danych osobowych Administrator w miarę
możliwości uzyskuje informacje o dotychczasowych praktykach procesora
dotyczących zabezpieczenia danych osobowych. Polityka bezpieczeństwa
informacji
VIII. Przekazywanie danych do państwa trzeciego - Administrator Danych Osobowych nie będzie przekazywał danych osobowych
do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby,
której dane dotyczą.
IX. Postanowienia końcowe - Za niedopełnienie obowiązków wynikających z niniejszego dokumentu
pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o
ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do danych
osobowych objętych tajemnicą zawodową. - Odbieranie uprawnień:
● Odbieranie uprawnień może nastąpić na podstawie autonomicznej decyzji
Zarządu MAD Sp. z o. o. lub na wniosek kierownika danego działu (bez
podania przyczyny, ale wyłącznie względem jego podwładnych).
● Wniosek o odebranie uprawnień kieruje się do tych samych osób i na tych
samych zasadach, co wnioski o nadanie uprawnień.
● Okolicznościami, w których musi nastąpić odebranie uprawnień, są: - wygaśnięcie stosunku pracy lub współpracy, w tym
wypowiedzenie umów ze szczególnym uwzględnieniem
rozwiązania umów bez zachowania okresu wypowiedzenia; - zakończenie współpracy z danym klientem (zakończenie
projektu); - ograniczenie zakresu prac realizowanych w ramach danego
projektu lub zakończenie subprojektu (zakończenie realizacji
określonego zadania w ramach projektu lub ustalenie z
klientem, że określone zadania nie będą dalej realizowane); - zmiana celu przetwarzania zasobu (przeniesienie określonego
zasobu do zasobów archiwalnych lub przechowywanych z
uwagi na ustalenie, dochodzenie lub obronę roszczeń -
domyślnie dane powinny zmienić swoją lokalizację zgodnie z
postanowieniami procedury zarządzania dokumentami i
zasobami jednak na okres operacyjny dopuszczalne jest
ograniczenie dostępu do nich przez zarządzanie
uprawnieniami); - przeszeregowanie pracownika.
- Zarząd MAD Sp. z o. o. może na podstawie stosownego pełnomocnictwa
powierzyć kwestie decyzyjne związane z nadawaniem / odbieraniem uprawnień
pracownikowi.
RODO
Lorem ipsum dolor sit amet