Warszawa, 11 marca 2019 r.
Niniejsza Polityka bezpieczeństwa informacji została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych osobowych oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Polityka bezpieczeństwa informacji stanowi jeden ze środków organizacyjnych, mających na celu wykazanie, że przetwarzanie danych osobowych odbywa się zgodnie z ww. rozporządzeniem, a także usprawnienie i usystematyzowanie organizacji pracy Administratora Danych.
Firma TuszTusz.pl gromadzi dane o użytkownikach w sposób opisany w niniejszym dokumencie. W momencie wchodzenia na naszą stronę internetową www.tusztusz.pl zakładamy, że zgadzają się Państwo z opisywanymi tutaj zasadami Polityki Prywatności. Jeśli jednak nie zgadzasz się z nimi, prosimy o nie korzystanie z naszej strony.
I. Definicje
Niniejszym ustala się następujące definicje użyte w Polityce bezpieczeństwa informacji:
- Administrator Danych – Jan Ambroziński prowadzący działalność gospodarczą pod firmą TUSZTUSZ.PL Jan Ambroziński z siedzibą w Warszawie (02 ? 791), ul. Meander 2, wpisany do CEiDG pod numerem NIP: 9512181794, adres e ? mail: j.ambrozinski@tusztusz.pl, telefon: (+48) 22 208 00 00 w. 202, który decyduje o celach i sposobach Przetwarzania Danych osobowych,
- Dane osobowe ? wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, osoba jest uznawana za osobę bezpośrednio lub pośrednio identyfikowalną przez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznego, fizjologicznego, genetycznego, umysłowego, ekonomicznego, kulturowego lub społecznego (tożsamość tej osoby fizycznej),
- Hasło ? ciąg znaków literowych, cyfrowych lub innych, znany jedynie Osobie upoważnionej uprawnionej do wykonywania czynności w systemie informatycznym, w przypadku Przetwarzania Danych osobowych w takim systemie, definicja ta obejmuje również wszelkiego rodzaju hasła dostępów do innych systemów,
- Osoba upoważniona ? osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, której ustawa nadaje osobowość prawną, upoważniona przez Administratora Danych do Przetwarzania Danych osobowych,
- Polityka ? niniejsza “Polityka bezpieczeństwa informacji TuszTusz.pl”,
- Przetwarzanie ? dowolna zautomatyzowana (np. poprzez profilowanie) lub niezautomatyzowana operacja lub zestaw operacji wykonywanych na Danych osobowych lub w zbiorach Danych osobowych, realizowane poprzez zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację lub zmianę, wyszukiwanie, konsultacje, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie danych osobowych,
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
II. Postanowienia ogólne
- Celem niniejszej Polityki jest określenie kierunków działań, jakie należy wykonać, wykonywać i podejmować w związku z odpowiednim zabezpieczeniem Danych osobowych oraz ustanowienie zasad, reguł postępowania i wsparcia dla zapewnienia bezpieczeństwa Danych osobowych administrowanych przez Administratora Danych, w szczególności:
a) określenie zasad zarządzania, ochrony i dystrybucji Danych osobowych Przetwarzanych w formie papierowej i/lub w formie elektronicznej, w tym w systemach informatycznych,
b) określenie standardów zapewniających bezpieczeństwo Przetwarzania Danych osobowych w formie papierowej i/lub w formie elektronicznej, w tym w systemach informatycznych,
c) określenie procedury postępowania podczas incydentu, który będzie związany z Danymi osobowymi.
- Polityka dotyczy wszystkich Danych osobowych administrowanych przez Administratora Danych, niezależnie od formy ich Przetwarzania (przetwarzane tradycyjne, zbiory ewidencyjne, systemy informatyczne) oraz niezależnie od tego, czy Dane osobowe są lub mogą być Przetwarzane w zbiorach danych.
- Zawarte w Polityce postanowienia, w tym obowiązek ochrony informacji stanowiących Dane osobowe obejmuje wszystkich pracowników oraz inne osoby wykonujące usługi, na podstawie innego stosunku prawnego, przy pomocy których Administrator Danych wykonuje swoje czynności, mające dostęp do Danych osobowych, bez względu na sposób pozyskania informacji stanowiących Dane osobowe.
- Polityka jest przechowywana w wersji elektronicznej w pamięci komputera będącego do wyłącznej dyspozycji Administratora Danych lub osoby wskazanej przez Administratora Danych oraz w wersji papierowej w siedzibie Administratora Danych i jest dostępna do wglądu dla Osoby upoważnionej w sposób nieograniczony, w każdym czasie.
- Polityka jest udostępniana do wglądu Osobie upoważnionej na jej wniosek, a także osobie, której ma zostać nadane upoważnienie do Przetwarzania Danych osobowych, przed nadaniem jej upoważnienia przez Administratora Danych, celem zapoznania się z jej treścią. Wgląd do Polityki może nastąpić poprzez okazanie wersji papierowej Polityki lub poprzez przesłanie przez Administratora Danych Polityki w postaci pliku w formacie .pdf na adres poczty e ? mail osoby wnioskującej o zapoznanie się z Polityką.
- Osoba upoważniona lub osoba, której ma zostać nadane upoważnienie do Przetwarzania Danych osobowych może skierować do Administratora Danych zapytanie w przypadku, gdyby treść Polityki była dla niej niezrozumiała lub, gdyby pojawiły się wątpliwości co do interpretacji zapisów Polityki.
- Osoba upoważniona może w każdym czasie zgłosić swój wniosek do Administratora Danych, zawierający propozycję zmian w treści Polityki.
- Kontakt z Administratorem Danych, o którym mowa w ust. 6 i 7 powyżej, może nastąpić osobiście lub za pomocą kanałów kontaktu wskazanych w pkt. I ust. 1 powyżej, to jest w formie pisemnej przesłanej listem zwykłym lub poleconym, wiadomości e ? mail lub przy pomocy kontaktu telefonicznego.
- Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
a) odpowiednie do zagrożeń i kategorii Danych osobowych objętych ochroną, środki techniczne i rozwiązania organizacyjne,
b) kontrolę i nadzór nad Przetwarzaniem Danych osobowych,
c) monitorowanie zastosowanych środków ochrony Danych osobowych.
- Monitorowanie zastosowanych środków ochrony przez Administratora Danych obejmuje m.in. badanie działania Osoby upoważnionej, badanie naruszania zasad dostępu do Danych osobowych, zapewnienie integralności plików, ochrona przed atakami zewnętrznymi oraz wewnętrznymi.
- Administrator Danych na bieżąco będzie analizował ryzyko związane z naruszeniem ochrony Danych osobowych, w szczególności będzie badał potencjalne elementy mogące stworzyć zagrożenie naruszenia ochrony Danych osobowych.
- Administrator Danych zapewnia, że czynności wykonywane w związku z Przetwarzaniem i zabezpieczeniem Danych osobowych są zgodne z Polityką oraz odpowiednimi przepisami prawa.
III. Dane osobowe Przetwarzane przez Administratora Danych
- Administrator Danych nie podejmuje czynności Przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób, których Dane osobowe Przetwarza. W przypadku planowania takiego działania Administrator Danych wykona czynności określone w art. 35 i nast. RODO.
- W przypadku planowania nowych czynności Przetwarzania, Administrator Danych dokona analizy ich skutków dla ochrony Danych osobowych oraz uwzględni kwestie ochrony Danych osobowych w fazie ich projektowania.
- Administrator Danych prowadzi rejestr czynności Przetwarzania Danych osobowych.
- Administrator Danych będzie regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo Przetwarzania Danych osobowych, w częstotliwości nie mniejszej niż raz na rok.
IV. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
- Administrator odpowiada za nadawanie/anulowanie upoważnień do Przetwarzania Danych osobowych w zbiorach papierowych czy też w systemach informatycznych.
- Każda Osoba upoważniona może Przetwarzać Dane osobowe wyłącznie na polecenie Administratora Danych lub na podstawie przepisów obowiązującego prawa.
- Upoważnienia nadawane są do zbiorów Danych osobowych.
- Upoważnienia mogą być nadawane w formie poleceń, np. upoważnienia do przeprowadzenia kontroli, audytów, wykonania czynności służbowych, udokumentowanego polecenia Administratora Danych w postaci umowy powierzenia.
- Wszystkie Osoby upoważnione zobowiązane są do Przetwarzania Danych osobowych zgodnie z nadanym im upoważnieniem, z obowiązującymi przepisami prawa i zgodnie z ustaloną przez Administratora Danych Polityką, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem Danych osobowych dostępnych u Administratora Danych.
- Wszystkie Dane osobowe są Przetwarzane z poszanowaniem zasad Przetwarzania przewidzianych przez przepisy prawa, to jest:
a) w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla Przetwarzania Danych osobowych,
b) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
c) Dane osobowe są Przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu Przetwarzania Danych osobowych,
d) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane,
e) czas przechowywania Danych osobowych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie będą one zanonimizowane bądź usuwane,
f) wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,?
g) Dane osobowe są zabezpieczone przed naruszeniami zasad ich ochrony.
- Za naruszenie lub próbę naruszenia zasad Przetwarzania i ochrony Danych osobowych uważa się przypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, w szczególności:
a) naruszenie bezpieczeństwa systemów informatycznych, w których Przetwarzane są Dane osobowe, w razie ich Przetwarzania w takich systemach,
b) udostępnianie lub umożliwienie udostępniania Danych osobowych osobom lub podmiotom do tego nieupoważnionym,
c) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia Danym osobowym ochrony,
d) niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia,
e) przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania,
f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych,
g) naruszenie praw osób, których Dane osobowe są Przetwarzane.
- Osoba upoważniona zobowiązana jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia ochrony Danych osobowych i do niezwłocznego powiadomienia o tym Administratora Danych.
- Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków współpracy pracowników lub współpracowników (osób wykonujących usługi na podstawie innego stosunku prawnego, przy pomocy których Administrator Danych wykonuje swoje czynności) należy dopilnowanie, by osoby te:
a) były odpowiednio przygotowane do wykonywania swoich obowiązków,
b) były pisemnie upoważnione do Przetwarzania Danych osobowych, w wypadkach, gdy faktycznie dokonują Przetwarzania,
c) zobowiązały się do zachowania Danych osobowych w tajemnicy.
- Osoby upoważnione zobowiązane są do:
a) ścisłego przestrzegania zakresu nadanego upoważnienia,
b) Przetwarzania i ochrony Danych osobowych zgodnie z przepisami,
c) zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia,
d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa Danych osobowych oraz niewłaściwym funkcjonowaniem systemów zabezpieczających.
- Uwzględniając konieczność wykonywania czynności w miejscu, w którym znajdują się nośniki zawierające Dane osobowe przez osoby z tzw. “personelu technicznego” (w tym np. osoby z serwisu sprzątającego) niemające upoważnienia do Przetwarzania Danych osobowych, Osoby upoważnione obowiązane są w należyty sposób zabezpieczać prowadzoną dokumentację zawierającą Dane osobowe, tak w formie papierowej, jak i elektronicznej, aby osoby nieupoważnione nie miały dostępu do treści Danych osobowych.
- Administrator Danych niezwłocznie odwoła udzielone upoważnienie do Przetwarzania Danych osobowych, w przypadku zakończenia obowiązywania umowy o pracę lub zakończenia obowiązywania innego stosunku prawnego będącego podstawą do nadania upoważnienia.
- Administrator Danych, poza sytuacją wskazaną w ust. 12 powyżej, w każdym czasie może odwołać udzielone upoważnienie, jeżeli Przetwarzanie Danych osobowych przestało być konieczne do realizacji czynności przez Osobę upoważnioną na podstawie zawartych umów z Administratorem Danych lub w przypadku, gdy Osoba upoważniona Przetwarza Dane osobowe niezgodnie z nadanym jej upoważnieniem.
- Administrator Danych będzie prowadził rejestr Osób upoważnionych do Przetwarzania Danych osobowych, zawierający m. in. datę nadania i odwołania udzielonego przez Administratora Danych upoważnienia.
V. Obszar Przetwarzania Danych osobowych
- Obszar, w którym Przetwarzane są Dane osobowe stanowi teren siedziby Administratora Danych i obejmuje pomieszczenia biurowe zlokalizowane w tej siedzibie oraz inne pomieszczenia wskazane przez Administratora Danych.
- Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery, zarówno te stacjonarne jak i przenośne oraz inne nośniki danych znajdujące w obszarze wskazanym w ust. 1 powyżej.
VI. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności Przetwarzanych Danych osobowych
- Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych Danych osobowych.
- Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii Danych osobowych.
- Środki ochrony Danych osobowych obejmują w szczególności:
a) ograniczenie dostępu do pomieszczeń, w których przetwarzane są Dane osobowe jedynie do Osób upoważnionych (inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania Danych osobowych jedynie w towarzystwie Osoby upoważnionej),
b) zamykanie pomieszczeń tworzących obszar Przetwarzania Danych osobowych określony w pkt V powyżej na czas nieobecności Osób upoważnionych, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych,
c) wykorzystanie zamykanych szafek do zabezpieczenia dokumentów i innych nośników zawierających Dane osobowe,
d) wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających Dane osobowe lub podmiotów zajmujących się profesjonalnie niszczeniem dokumentów, posiadających certyfikat bezpieczeństwa,
e) ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall,
f) wykonywanie kopii zapasowych Danych osobowych na przeznaczonych w tym celu przez Administratora Danych nośnikach, takich jak dysk zewnętrzny,
g) ochronę sprzętu komputerowego udostępnionego przez Administratora Danych?przed złośliwym oprogramowaniem,
h) zabezpieczenie dostępu do urządzeń Administratora Danych przy pomocy Haseł,
i) wykorzystanie szyfrowania danych przy ich transmisji.
VII. Naruszenia zasad ochrony danych osobowych
- W przypadku stwierdzenia naruszenia ochrony Danych osobowych Administrator Danych dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
- W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych zgłasza fakt naruszenia zasad ochrony Danych osobowych organowi nadzorczemu bez zbędnej zwłoki ? jeżeli to możliwe, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
- Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator Danych zawiadamia o incydencie także osobę, której dane dotyczą.
VIII. Instrukcja postępowania z incydentami
- Zagrożeniem bezpieczeństwa informacji jest sytuacja, w której występuje zagrożenie zaistnienia incydentu. Przykładowy katalog zagrożeń:
a) nieprzestrzeganie Polityki przez Osoby upoważnione Przetwarzające Dane osobowe, np. niezamykanie pomieszczeń, szaf, biurek, brak stosowania zasad ochrony Haseł,
b) niewłaściwe zabezpieczenie fizyczne dokumentów, urządzeń lub pomieszczeń,
c) niewłaściwe zabezpieczenie oprogramowania lub sprzętu IT przed wyciekiem, kradzieżą lub utratą Danych osobowych.
- Postępowanie Administratora Danych lub Osoby upoważnionej w przypadku stwierdzenia wystąpienia zagrożenia:
a) ustalenie zakresu i przyczyn zagrożenia oraz jego ewentualnych skutków,
b) w miarę możliwości przywrócenie stanu zgodnego z zasadami ochrony Danych osobowych,
c) w razie konieczności, zainicjowanie działań dyscyplinarnych,
d) zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
e) udokumentowanie prowadzonego postępowania w rejestrze naruszeń bezpieczeństwa.
- Incydentem jest sytuacja naruszenia bezpieczeństwa informacji ze względu na dostępność, integralność i poufność. Incydenty powinny być wykrywane, rejestrowane i monitorowane w celu zapobieżenia ich ponownemu wystąpieniu. Przykładowy katalog incydentów:
a) losowe zdarzenie wewnętrzne, np. awaria komputera, serwera, twardego dysku, błąd użytkownika, błąd informatyka, zgubienie Danych osobowych,
b) losowe zdarzenie zewnętrzne, np. klęski żywiołowe, zalanie, awaria zasilania, pożar,
c) incydent umyślny, np. wyciek informacji, ujawnienie Danych osobowych osobom nieupoważnionym, świadome zniszczenie Danych osobowych, działanie wirusów komputerowych, włamanie do pomieszczeń lub systemu informatycznego (wewnętrzne i zewnętrzne).
- Postępowanie Administratora Danych lub Osoby upoważnionej w przypadku stwierdzenia wystąpienia incydentu:
a) ustalenie czasu zdarzenia będącego incydentem,
b) ustalenie zakresu incydentu,
c) określenie przyczyn, skutków oraz szacowanych zaistniałych szkód,
d) zabezpieczenie dowodów,
e) ustalenie osób odpowiedzialnych za naruszenie,
f) usunięcie skutków incydentu,
g) ograniczenie szkód wywołanych incydentem,
h) zainicjowanie działań dyscyplinarnych,
i) zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
j) udokumentowanie prowadzonego postępowania w rejestrze naruszeń.
- Postępowanie Osoby upoważnionej w przypadku stwierdzenia wystąpienia zagrożenia do czasu przybycia Administratora Danych:
a) powstrzymanie się od rozpoczęcia lub kontynuowania wykonywanych czynności, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,
b) zabezpieczenie elementów systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,
c) podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą Danych osobowych.
IX. Powierzenie Przetwarzania Danych osobowych
- Administrator Danych Osobowych może powierzyć Przetwarzanie Danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.
- Przed powierzeniem przetwarzania Danych osobowych Administrator Danych w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia Danych osobowych.
- Przed powierzeniem przetwarzania Danych osobowych Administrator Danych w miarę możliwości, przekaże procesorowi wskazówki odnośnie wprowadzenie dodatkowych zabezpieczeń Danych osobowych powierzonych mu przez Administratora Danych na podstawie umowy powierzenia, o której mowa w ust. 1 powyżej.
X. Przekazywanie Danych osobowych do państwa trzeciego
- Administrator Danych Osobowych nie będzie przekazywał Danych osobowych do państwa trzeciego (poza Europejski Obszar Gospodarczy ? EOG) poza sytuacjami, w których następuje to na wniosek osoby, której Dane osobowe dotyczą lub Dane osobowe mogą być przekazywane za pośrednictwem poczty elektronicznej w sytuacji, gdyby serwer poczty znajdował się poza terytorium Unii Europejskiej.
- W przypadku przekazywania danych poza EOG Administrator Danych Osobowych zapewnia ochronę transgranicznego przetwarzania danych przy zastosowaniu właściwych środków bezpieczeństwa.
XI. Wykaz zabezpieczeń stosowanych przez Administratora Danych
Administrator Danych stosuje następujące zabezpieczenia Danych osobowych:
a) opracowano i wdrożono niniejszą Politykę,
b) opracowano i wdrożono Instrukcję zarządzania systemem informatycznym,
c) do Przetwarzania Danych dopuszczono wyłącznie Osoby upoważnione, posiadające ważne upoważnienia nadane im przez Administratora Danych,
d) prowadzona jest przez Administratora Danych ewidencja Osób upoważnionych do przetwarzania danych,
e) Osoby upoważnione zostały zobowiązane do zapoznania się z przepisami dotyczącymi ochrony Danych osobowych,
f) Osoby upoważnione zostały zobowiązane do zachowania Danych osobowych oraz sposobu ich zabezpieczania w tajemnicy,
g) monitory komputerów, na których Przetwarzane są Dane osobowe w siedzibie Administratora Danych lub w miejscu przez niego wyznaczonym, ustawione są w sposób uniemożliwiający wgląd osobom nieupoważnionym do Danych osobowych,
h) kopie zapasowe zbioru Danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym Dane osobowe Przetwarzane są na bieżąco,
i) Przetwarzanie Danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem do nich osób nieupoważnionych,
j) przebywanie osób nieuprawnionych w pomieszczeniach, gdzie Przetwarzane są Dane osobowe jest dopuszczalne tylko w obecności Osoby upoważnionej oraz w warunkach zapewniających bezpieczeństwo Danych osobowych,
k) stosuje się pisemne umowy powierzenia Przetwarzania Danych osobowych dla współpracy z podwykonawcami Przetwarzającymi Dane osobowe.
XII. Środki ochrony fizycznej Danych osobowych
- Dane osobowe przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
- Dane osobowe przechowywane są w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
- Pomieszczenia, w którym Przetwarzane są Dane osobowe wyposażone są w system alarmowy przeciwwłamaniowy.
- Dostęp do pomieszczeń, w których Przetwarzane są Dane osobowe kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
- Dostęp do pomieszczeń, w których Przetwarzane są Dane osobowe jest nadzorowany przez całą dobę przez podmiot zajmujący się profesjonalnie ochroną mienia.
- Kopie zapasowe/archiwalne Danych osobowych przechowywane są w zamkniętej, niemetalowej szafie.
- Pomieszczenie, w którym Przetwarzane są Dane osobowe zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
- Dokumenty zawierające Dane osobowe po ustaniu ich przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów lub podmiotów zajmujących się profesjonalnie niszczeniem dokumentów, posiadających certyfikat bezpieczeństwa, chyba że obowiązujące przepisy prawa wymagają przechowywania dokumentów.
XIII. Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej wykorzystywane przez Administratora Danych w celu zapewnienia ochrony Danych osobowych
- Dane osobowe Przetwarzane są przy użyciu komputerów stacjonarnych oraz przenośnych, zabezpieczonych programem antywirusowym.
- Dostęp do systemu operacyjnego komputera, w którym Przetwarzane są Dane osobowe, jest zabezpieczony za pomocą procesu uwierzytelnienia z wykorzystaniem indywidualnego identyfikatora oraz Hasła.
- Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii Danych osobowych Przetwarzanych przy użyciu systemów informatycznych.
- Zastosowano środki ochrony Danych osobowych przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
- Użyto system Firewall do ochrony dostępu do sieci komputerowej.
- Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do Przetwarzania Danych osobowych w przypadku braku aktywności Osoby upoważnionej.
XVI. Postanowienia końcowe
- Polityka jest wewnętrzną regulacją Administratora Danych i jest objęta tajemnicą przedsiębiorstwa. Każda Osoba upoważniona jest zobowiązana do zachowania treści Polityki w poufności i nieudostępniania jej osobom nieupoważnionym bez wyraźnego polecenia Administratora Danych.
- Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie obowiązujących przepisów prawa, m. in. Kodeksu pracy oraz Kodeksu karnego w odniesieniu do Danych osobowych.
- Za niedopełnienie obowiązków wynikających z niniejszego dokumentu osoby wykonujące usługi na podstawie innego stosunku prawnego, przy pomocy których Administrator Danych wykonuje swoje czynności, ponoszą odpowiedzialność na podstawie obowiązujących przepisów prawa, m. in. Kodeksu cywilnego oraz Kodeksu karnego w odniesieniu do Danych osobowych.
- Administrator Danych wskazuje, że w przypadku, gdyby analiza działalności gospodarczej Administratora Danych wymagała zmiany w zakresie bezpieczeństwa Przetwarzanych Danych osobowych lub zmianie uległy okoliczności wpływające na określenie zasad bezpieczeństwa dotyczących Danych osobowych, dokona aktualizacji i dostosowania Polityki, uwzględniając ww. okoliczności. O zmianie Polityki, Administrator Danych powiadomi Osobę upoważnioną na co najmniej 7 dni przed wejściem w życie jej zaktualizowanej treści.
- Osoba upoważniona zobowiązana jest do zapoznania się z zaktualizowaną treścią Polityki oraz do stosowania się do jej zapisów.
- Polityka wchodzi w życie z dniem 11.03.2019 r.