Polityka prywatności
§1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
W celu zapewnienia poufności, integralności, rozliczalności i bezpieczeństwa przetwarzanych danych Administrator Danych Osobowych wprowadza polityki i procedury w zakresie stosowanych środków technicznych i organizacyjnych.
§2. Środki organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
- Administraotrem Danych Osobowych jest P.H. K.A.J Jarosław Krawczyk, ul. Rokicińska 128E lok.9; 95-020 Andrespol NIP:7712281016 Regon: 473173352.
- Administrator Danych Osobowych wdraża Politykę Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym, które będą regularnie przeglądane i aktualizowane zgodnie z sekcją pt. „Przeglądy i aktualizacje dokumentacji ochrony danych osobowych”.
- Administrator Danych Osobowych powołuje Administratora Bezpieczeństwa Informacji.
- Do przetwarzania danych osobowych są dopuszczone wyłącznie osoby, które posiadają odpowiednie upoważnienie.
- Procedura nadawania upoważnień została określona w Instrukcji zarządzania systemem informatycznym w rozdziale pt. „Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności”
- Każda osoba, która otrzymała upoważnienie do przetwarzania danych osobowych zostaje wpisana do ewidencji osób upoważnionych przez osobę uprawnioną do nadawania upoważnień.
- Osoby upoważnione do przetwarzania danych osobowych zostały pisemnie zobowiązane do zachowania w tajemnicy:
- wszelkich danych osobowych i informacji o danych osobowych,
- sposobów zabezpieczenia danych osobowych.
- Osoby upoważnione do przetwarzania danych osobowych zostały zapoznane z:
- przepisami o ochronie danych osobowych, np. w formie szkolenia, które jest merytorycznie adekwatne do kategorii zagrożeń oraz katalogu przetwarzanych danych osobowych na danym stanowisku,
- zasadami zabezpieczeń, które obowiązują w firmie,
- zasadami zgłaszania incydentów oraz podejrzeń naruszeń ochrony danych osobowych,
- zasadami korzystania z urządzeń i systemów informatycznych do przetwarzania danych osobowych.
- Przetwarzanie danych osobowych odbywa się warunkach adekwatnych do skali oraz rodzaju przetwarzanych danych.
- Przebywanie osób nieuprawnionych w obszarze przetwarzania danych osobowych jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
- Administrator Danych Osobowych zawiera umowy powierzenia danych osobowych zgodnie, gdy powstaje taki wymóg prawny.
- Wdrożono zasady korzystania z urządzeń mobilnych w sekcją pt. „Polityka stosowania środków ochrony kryptograficznej oraz bezpieczeństwa urządzeń mobilnych”.
- Monitory osób upoważnionych do przetwarzania są ustawione w taki sposób, aby niemożliwy był wgląd dla osób postronnych.
- Administrator Danych Osobowych wdraża również dodatkowe polityki, procedury i instrukcje, które mają na celu podniesienie poziomu ochrony danych osobowych.
§3. Środki ochrony fizycznej niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
- Budynek i pomieszczenia posiadają właściwe zabezpieczenia fizyczne chroniące przed dostępem osób trzecich.
- W czasie nieobecności pracowników w biurze wszelkie informacje poufne oraz wewnętrzne muszą być zamknięte w szafach zamykanych na klucz.
§4. Środki ochrony informatycznej niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
- Serwery baz danych korzystają z urządzeń typu UPS w celu ochrony przed skutkami awarii zasilania.
- Zastosowano środki kryptograficznej ochrony danych dla:
- danych osobowych przekazywanych drogą teletransmisji,
- wszelkich urządzeń, które przetwarzają dane osobowe.
- Wykonywane są automatyczne kopie zapasowe zbiorów danych.
- Dostęp do systemów informatycznych jest możliwy po wprowadzeniu prawidłowego identyfikatora i hasła.
- Wdrożono mechanizmy, które automatycznie wymuszają zmianę hasła co 30 dni.
- Zastosowano środki ochrony przed szkodliwym oprogramowaniem.
- Użyto programowy lub sprzętowy firewall do ochrony dostępu do sieci komputerowej.
§5. Polityka czystego biurka.
- Upoważnieni do przetwarzania danych osobowych po opuszczeniu swojego stanowiska pracy są zobowiązani do tego, aby:
- zablokować dostęp do komputera zgodnie z zasadami zawartymi w Instrukcji w rozdziale pt. „Procedury rozpoczęcia, zawieszenia i zakończenia pracy
przeznaczone dla użytkowników systemu”, - schować w szafce zamykanej na klucz wszelkie:
- elektroniczne nośniki informacji (np. dyski przenośne, pendrive)
- dokumenty w formie papierowej (np. CV kandydatów).
- zablokować dostęp do komputera zgodnie z zasadami zawartymi w Instrukcji w rozdziale pt. „Procedury rozpoczęcia, zawieszenia i zakończenia pracy
- Dokumenty papierowe, które nie są potrzebne do dalszej pracy należy trwale zniszczyć przy pomocy niszczarki.
§6. Polityka stosowania środków ochrony kryptograficznej oraz bezpieczeństwa urządzeń mobilnych.
- Osoba użytkująca służbowe urządzenie mobilne takie jak komputer przenośny, telefon komórkowy, tablet, zawierające dane osobowe lub informacje sklasyfikowane jako wewnętrzne lub tajne jest zobowiązana do zachowania szczególnej ostrożności w
trakcie jego transportu, przechowywania i użytkowania poza obszarem ochrony danych osobowych. - Komputery przenośne na czas transportu chowane są w bagażniku samochodu.
- Komputery przenośne w pomieszczeniu powinny być mocowane za pomocą metalowej linki.
- Wszystkie urządzenia mobilne oraz pamięci przenośne korzystają środków ochrony kryptograficznej.
- Administrator danych w zakresie środków ochrony kryptograficznej:
- powierza instalację środków ochrony kryptograficznej właściwej osobie lub
- wydaje instrukcję włączenia środków ochrony kryptograficznej
- Serwisy internetowe Administratora danych osobowych wykorzystują środki ochrony kryptograficznej wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej
§7. Zasady postępowania w przypadku naruszeń ochrony danych osobowych – postępowanie z incydentami.
- Incydent jest to pojedyncze zdarzenie lub seria zdarzeń, którego bezpośrednim skutkiem może być naruszenie poufności, dostępności lub integralności danych osobowych lub aktywów informacyjnych.
- Każdy pracownik jest zobowiązany do poinformowania o incydencie lub o podejrzeniu zajścia incydentu.
- Incydenty ochrony danych osobowych są zgłaszane do:
- Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji lub
- Bezpośredniego przełożonego, który przekazuje dalsze informacje o incydencie Administratorowi Danych Osobowych oraz Administratorowi Bezpieczeństwa
Informacji
- Incydenty są odnotowywane w rejestrze incydentów, gdzie Administrator danych lub Administrator Bezpieczeństwa Informacji określa:
- nazwę incydentu,
- opis stanu faktycznego,
- przyczyny i skutki incydentu,
- ustala osoby odpowiedzialne za naruszenie,
- priorytet zajęcia się incydentem i ciężar incydentu,
- opis działań korygujących i prewencyjnych.
Administrator Bezpieczeństwa Informacji po przeprowadzeniu sprawdzenia w trybie doraźnym (sprawdzeniu po incydencie) opracowuje sprawozdanie dla
- Administratora Danych Osobowych, które zawiera elementy określone w art. 36c ustawy o ochronie danych osobowych.
§8. Przeglądy i aktualizacje dokumentacji ochrony danych osobowych.
- Dokumentacja w obszarze ochrony danych osobowych, która w szczególności obejmuje Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym podlega regularnym przeglądom.
- Przeglądy dokumentacji ochrony danych osobowych są wykonywane co 6 miesięcy.
- Dokumentacja ochrony danych osobowych podlega przeglądowi i aktualizacji każdorazowo w przypadku:
- zmiany przepisów prawa w obszarze ochrony danych osobowych,
- powstania innych czynników mających wpływ na zasady i funkcjonowanie ochrony danych osobowych w spółce.
- Projekt aktualizacji dokumentacji ochrony danych jest opracowany przez Administratora danych lub Administratora Bezpieczeństwa Informacji.
§9. Konsekwencje naruszeń ochrony danych osobowych i bezpieczeństwa informacyjnego.
Naruszanie przez osoby upoważnione do dostępu lub przetwarzania danych osobowych, zasad bezpiecznego i zgodnego z prawem ich przetwarzania może zostać potraktowane jako:
- ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie,
- podstawa do rozwiązania umowy o dzieło, umowy zlecenie lub umowy o praktyki – zapis o podstawie rozwiązania musi znajdować się w tych umowach,
- Opuszczenie bez zabezpieczenia obszaru przetwarzania oraz znajdujących się w nim danych przez osobę upoważnioną do przetwarzania danych osobowych jest
niedopuszczalne i może zostać potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych lub jako podstawę do rozwiązania umowy o dzieło, umowy zlecenie lub umowy o praktyki. - Wszelkie działania polegające w szczególności na usuwaniu, modyfikowaniu zabezpieczeń służących do zapewnienia odpowiedniego poziomu ochrony danych osobowych są niedopuszczalne i mogą być traktowane jako ciężkie naruszenie obowiązków pracowniczych lub jako podstawę do rozwiązania umowy o dzieło, umowy zlecenie lub umowy o praktyki.
§10. Prowadzenie dokumentacji ochrony danych osobowych
- Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe będzie prowadzony przez administratora danych lub administratora bezpieczeństwa informacji w formie elektronicznej.
- Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych będzie prowadzony przez administratora danych lub administratora bezpieczeństwa informacji w formie elektronicznej.
- Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi będzie prowadzony przez administratora danych lub administratora bezpieczeństwa informacji w formie elektronicznej.
- Sposób przepływu danych pomiędzy poszczególnymi systemami będzie prowadzona przez administratora danych lub administratora bezpieczeństwa informacji w formie elektronicznej.