Polityka Prywatnosci : Anwa

Polityka Prywatnosci : Anwa

Polityka Prywatnosci

OSOBOWYCH FIRMY

ANWA SP. Z O.O .

. . . , [data przyjęcia przez zarząd] 2018

wersja 1.0

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

ANWA SP. Z O.O.

Cel dokumentu:

Określenie zasad przetwarzania danych osobowych w organizacji

Odaowiedzialnv:

Opracował

Sprawdził

Zatwierdził:

I Kierownictwo

Imię i Nazwisko

Multicast Wojciech Bienia

tel.lfax: (22)

IP: 526-27-35-219

1 SPIS TREŚCI

I Stosowanie:

Strona/ stron 2/11

Wersja: 1.0 z dnia: 24-01-2018

Wszvstkit! stanowiska pracy

Stanowisko służbowe Data

Prezes Zarządu

Volodymyr K02ubal

V I P

Podpis

2 Informacje ogólne

3 Podstawa prawna

4 Użyte definicje5 Organizacja przetwarzania danych osobowych

5.1 Administrator danych osobowych

5.2 Administrator bezpieczeństwa informacji 

5.3 Administrator systemu informatycznego

5.4 Kierownicy działów

5.5 Osoby upoważnione do przetwarzania danych

6 Przetwarzane dane osobowe

7 Udostępnianie danych osobowych

8 Wypełnianie obowiązku informacyjnego

9 Realizacja prawa do sprzeciwu, usunięcia oraz przenoszenia danych

10 środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych8

10.1 Zabezpieczenia fizyczne obszaru bezpiecznego

10.2 zabezpieczenia systemu informatycznego

10.3 Zabezpieczenia organizacyjne

11 Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych

12 Analiza ryzyka dla danych osobowych

13 Powierzenie przetwarzania

14 Odpowiedzialność pracowników

15 Załączniki

POLITYKA BEZPIECZENSlWA DANYCH OSOBOWYCH

ANWA SP. Z O.O. Strona/ stron 3/11 /A

Cel dokumentu: Wersja: 1.0

Określenie zasad przetwarzania danvch osobowvch w oraanizacll Z dnia: 24-01-2018

Odoowiedzlałnv: I Kierownictwo I Stosowanie: Wszvstkie stanowiska pracv

2 INFORMACJE OGÓLNE

Polityka Bezpieczeństwa danych osobowych określa zasady przetwarzania danych osobowych w ANWA SP. z o.o. w celu zapewnienia ich

bezpieczeństwa. Bezpieczeństwo danych jest rozumiane jako zapewnienie:

• Poufności - dane nie są dostępne dla osób nieupoważnionych

• Dostępności - dane są dostępne i użyteczne na żądanie osób upoważnionych

• Integralności danych i systemów, w których dane są przetwarzane - dane nie są zmienione lub zniszczone w sposób

nieautoryzowany.

Politykę stosuje się do wszystkich danych osobowych przetwarzanych w organizacji, niezależnie od formy, zakresu przetwarzania, oraz

lokalizacji zbioru.

W przedstawionej dokumentacji za Administratora Danych Osobowych (ADO) rozumie się spółkę ANWA SP. z o.o. siedzibą w Warszawie, ul.

Włodarzewska 59A. Administratora Danych Osobowych reprezentuje Zarząd.

Ochrona danych osobowych przetwarzanych w spółce ANWA SP. z o.o. (zwana dalej Spółką lub ADO) obowiązuje wszystkie osoby (bez

względu na zajmowane stanowisko oraz miejsce wykonywania jak również charakter stosunku pracy), które mają dostęp do danych osobowych

zbieranych, przetwarzanych oraz przechowywanych w Spółce w związku z prowadzoną działalnością. Na potrzeby niniejszej polityki za

pracownika uznaje się wszystkie te osoby (również stażystów, praktykantów oraz osoby zatrudnione na umowę zlecenie lub o dzieło).

Osoby mające dostęp do danych osobowych zobowiązane są do stosowania środków określonych w niniejszej polityce, regulacjach

wewnętrznych Spólki, oraz innych aktach prawnych z którymi pracownik został zapoznany. Środki te mogą wiązać pracownika zarówno

podczas trwania stosunku pracy jak i po jego ustaniu.

3 PODSTAWA PRAWNA

Podstawą do opracowania niniejszego dokumentu i jego wdrożenia są następujące przepisy prawa:

a) Konstytucja Rzeczypospolitej Polskiej,

b) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z póżn. zm.),

c) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania

danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać systemy informatyczne służące do

przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)

d) Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych

osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

4 UŻYTE DEFINICJE

1) Ustawa - Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

2) Rozporządzenie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji

przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać systemy informatyczne

służące do przetwarzania danych osobowych

3) RODO - Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych

osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

ANWA SP. Z O.O. Strona/ stron 4/11 v Cel dokumentu: Wersja: 1.0

Określenie zasad przetwarzania danych osobowych w organizacji Z dnia: 24-01-2018

Odpowiedzialny: I Kierownictwo I Stosowanie: Wsmtkle stanowiska oracv

4) Dane osobowe - przez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania

osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w

szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy

fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie

tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. [ def. ustawowa J

5) Zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według

określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

6) Przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,

przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach

informatycznych. [ det. ustawowa J

7) System informatyczny - rozumie się przez to zespól współpracujących ze sobą urządzeń, programów, procedur przetwarzania

informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. [ def. ustawowa J

8) Usuwanie danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie

tożsamości osoby, której dane dotyczą [ def. ustawowa J

9) Zgoda osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych

osobowych osoby, która składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. [

def. ustawowa J

10) Administrator Danych Osobowych (ADO)- rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa

w art. 3 ustawy o ochronie danych osobowych, decydujący o celach i środkach przetwarzania danych osobowych. [ def. ustawowa J

11) Administrator Systemu Informatycznego (ASI) - osoba lub dział zajmujący się w szczególności nadzorowaniem pracy serwerów,

zarządzaniem kontami użytkowników, konfiguracją komputerów, instalowaniem oprogramowania, dbaniem o bezpieczeństwo systemu i

opcjonalnie samych danych, nadzorowanie, wykrywanie i eliminowanie nieprawidłowości, asystowaniem i współpracą z zewnętrznymi

specjalistami przy pracach instalacyjnych, konfiguracyjnych i naprawczych oraz innych zadań wynikających z zaleconych obowiązków.

12) Administrator Bezpieczeństwa Informacji (ABI) - osoba nadzorująca z upoważnienia ADO przestrzeganie stosowania środków

technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz

kategorii danych objętych ochroną.

13) Użytkownik - osoba upoważniona do bezpośredniego dostępu do informacji w systemie. Użytkownicy mający dostęp do danych

osobowych przetwarzanych w systemie informatycznym posiadają ustalony identyfikator oraz hasło.

14) Odbiorca danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:

a. osoby, której dane dotyczą,

b. osoby upoważnionej do przetwarzania danych,

c. przedstawiciela w Rzeczypospolitej Polskiej, w przypadku opisanym w art. 31 a ustawy o ochronie danych osobowych,

d. podmiotu, któremu w drodze umowy zawartej na piśmie, powierzono przetwarzanie danych,

e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępnione w związku z prowadzonym

postępowaniem. [ def. ustawowa J

15) Użytkownik systemu - należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych zarejestrowaną w systemie

informatycznym ADO,

16) Użytkownik - należy przez to rozumieć każdą osobę korzystającą z komputera lub urządzenia mobilnego w obszarze bezpiecznym,

17) Sieć lokalna - należy przez to rozumieć połączenie systemów informatycznych ADO wyłącznie dla jego własnych potrzeb przy

wykorzystaniu urządzeń i sieci telekomunikacyjnych,

18) Sieć publiczna - należy przez to rozumieć publiczną sieć telekomunikacyjną w rozumieniu ustawy z dnia 16 lipca 2004 r. - Prawo

telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z póżń. zm.),

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH A ANWA SP. Z O.O. Strona/ stron 5/11 V Cel dokumentu: Wersja: 1.0

Określenie zasad orzetwarzania danvch osobowvch w oraanizacli Z dnia: 24-01-2018

Odpowiedzialny: I Kierownictwo I Stosowanie: Wszvstkie stanowiska pracy

19) Użytkownik zdalny - użytkownik systemu łączący się z sieci rozleglej z systemem informatycznym ADO znajdującym się w sieci lokalnej,

lub pracujący zdalnie na danych poza siedzibą ADO,

20) Nośnik komputerowy (wymienny)- nośnik służący do zapisu i przechowywania informacji, np. dyskietka, dysk twardy, pendrive.

21) Program komputerowy - zbiór instrukcji, które po umieszczeniu na rozpoznawalnym przez maszynę nośniku i automatycznym

przetłumaczeniu na język zrozumiały dla tej maszyny powoduje, że osiąga on zdolność do wykonywania danej czynności lub też wykonuje

daną czynność.

22) Serwer - wyróżniony komputer świadczący usługi na rzecz mających z nim łączność innych komputerów np. przechowujący pliki,

pośredniczący w przekazywaniu poczty itp.

23) Baza danych - zbiór uporządkowanych powiązanych ze sobą tematycznie danych zapisanych np. w pamięci zewnętrznej komputera.

Baza danych jest złożona z elementów o określonej strukturze rekordów lub obiektów, w których są zapisane dane jednostkowych

obiektów.

24) Kopie bezpieczeństwa (zapasowe) - kopie plików danych lub plików programowania tworzone na nośniku wymiennym lub dysku

twardym komputera w celu ich odtworzenia.

25) w przypadku utraty lub uszkodzenia danych.

26) Teletransmisja (przesyłanie) danych - przesyłanie danych przy pomocy dostępnych łączy.

27) Plik- nośnik informacji, ciąg bajtów posiadający swoją nazwę odróżniającą ją od innych plików I parametry: rozmiar, datę powstania lub

datę ostatniej modyfikacji itp.

28) Nośnik komputerowy (wymienny, lub pamięć/nośnik przenośny)- nośnik służący do zapisu informacji, np. dyskietka, taśma, płyta

CD, wymienny dysk twardy, pamięć typu ,pen-drive' lub jakakolwiek inna forma pamięci nadająca się do przenoszenia danych (np.

pamięć w urządzeniach tj. smartphone).

29) Szkodliwe oprogramowanie -(np. tzw. Wirus, koń trojański itd.) program, który uaktywniony w pamięci operacyjnej, powoduje wadliwe

działanie, zniszczenie lub modyfikację systemu operacyjnego, programu komputerowego lub danych, program, który udaje pracę innego

legalnego programu, a w międzyczasie wykonuje szereg niepożądanych czynności (np. fałszywy program ,login' kradnie hasło

użytkownika).

5 ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH

5.1 ADMINISTRATOR DANYCH OSOBOWYCH

Do zadań Administratora danych osobowych, reprezentowanego przez Zarząd należy:

• Podział zadań i obowiązków związanych z organizacją ochrony danych osobowych, w szczególności decyzji o wyznaczeniu

Administratora Bezpieczeństwa Informacji;

• Podejmowanie decyzji o celach i środkach przetwarzania, zwłaszcza z uwzględnieniem zmian w obowiązujących przepisach prawa,

organizacji ADO oraz technik zabezpieczenia danych osobowych;

• Podejmowanie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych;

• Wydawanie upoważnień do przetwarzania danych osobowych dla wszystkich osób mających dostęp do danych osobowych

przetwarzanych w organizacji. Upoważnienia wydawane są przez ADO lub przez osobę posiadającą pełnomocnictwo ADO;

• Wdrażanie wewnętrznych procedur i regulacji dotyczących bezpieczeństwa danych;

• Regularna ocena ryzyka oraz ocena skutków przetwarzania danych osobowych;

• Zapewnienie niezbędnych środków w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH , / J

ANWA SP. Z O.O. Strona/ stron 6/11 N\M/A

Cel dokumentu: Wersja: 1.0

Określenie zasad przetwarzania danvch osobowvch w organizacji Z dnia: 24-01-2018

Odoowiedzialnv: I Kierownictwo I Stosowanie: WszvstJde stanowiska oracv

5.2 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI

Do zadań Administratora bezpieczeństwa informacji należy:

• informowanie ADO, oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy

przepisów o ochronie danych osobowych i doradzanie im w tej sprawie;

• monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz polityk administratora w dziedzinie ochrony danych

osobowych, w tym audyty;

• działania zwiększające świadomość i szkolenia personelu uczestniczącego w operacjach przetwarzania;

• nadzorowanie procesu udostępniania danych osobowych;

• nadzór nad dokumentacją przetwarzania danych osobowych;

• prowadzenie rejestru czynności przetwarzania u ADO

• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

• analiza przypadków stwierdzonych lub podejrzewanych naruszeń bezpieczeństwa danych osobowych i przedstawianie w tym

zakresie raportu i zaleceń dla ADO;

• współpraca z Generalnym Inspektorem Ochrony Danych Osobowych i pełnienie funkcji punktu kontaktowego dla GIODO

5.3 ADMINISTRATOR SYSTEMU INFORMATYCZNEGO

Do zadań Administratora Systemu Informatycznego należy realizacja obowiązków przewidzianych w dokumentacji ochrony danych

osobowych, w szczególności:

• Przeciwdziałanie dostępowi osób nieupoważnionych do systemu informatycznego, w którym przetwarzane są dane osobowe, w

ramach posiadanych uprawnień;

• Na wniosek przydzielenie każdemu użytkownikowi identyfikatora i hasła oraz nadawanie, modyfikacja oraz odbieranie uprawnienia;

• Prowadzenie ewidencji użytkowników systemów informatycznych i uprawnień w tych systemach;

• Nadzorowanie działania mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do systemów służących do

przetwarzania danych osobowych;

• Podejmowanie działań służących zapewnieniu niezawodności działania komputerów, innych urządzeń mających wpływ na

bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej

teletransmisji;

• Prowadzenie rejestru incydentów naruszenia bezpieczeństwa systemu informatycznego przedstawianie w tym zakresie

kwartalnego sprawozdania ABI.

5.4 KIEROWNICY DZIAŁÓW

Do zadań Kierowników działów należy:

• Występowanie do ASI z wnioskami o nadanie uprawnień w systemie informatycznym dla podległych pracowników

• Zgłaszanie naruszeń lub podejrzeń naruszeń bezpieczeństwa danych do ABI, a jeżeli dotyczy to systemu informatycznego, również

ASI;

• Zapewnienie zapoznania podległych pracowników z wewnętrznymi regulacjami dotyczącymi ochrony danych, w tym aktualną

wersją niniejszego dokumentu.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

ANWA SP. Z O.O. Strona/ stron 7/11

Cel dokumentu: Wersja: 1.0

Określenie zasad przetwarzania danvch osobowvch w oraanizacll Z dnia: 24-01-2018

Odoowledzialny: I Kierownictwo I Stosowanie: Wnvstkie stanowiska oracv

5.5 OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH

Do obowiązków wszystkich osób upoważnionych do przetwarzania danych osobowych należy:

/ 1 fA

• Przetwarzanie danych wyłącznie w takim zakresie i w takim celu, jaki wynika bezpośrednio z obowiązków służbowych oraz

nadanego upoważnienia do przetwarzania danych osobowych;

• Zachowanie w poufności r nieujawnianie osobom trzecim żadnych informacji, z jakimi zapoznały się w związku z pełnionymi

obowiązkami służbowymi w tym danych uwierzytelniających (np. haseł, loginów);

• Dbałość o bezpieczeństwo nośników i urządzeń służących do przetwarzania danych zarówno w siedzibie organizacji jak i poza nią.

• Zgłaszanie wszystkich podejrzanych lub faktycznych nieprawidłowości w procesie przetwarzania danych kierownikowi działu.

• Postępowanie zgodnie z wewnętrznymi regulacjami dotyczącymi przetwarzania danych osobowych w szczególności dotyczących

zabezpieczenia danych i nośników danych osobowych opisanych w Załączniku nr 7 do niniejszej Polityki - Instrukcji dla

pracowników;

6 PRZETWARZANE DANE OSOBOWE

Wykaz przetwarzanych danych osobowych znajduje się w Rejestrze czynności przetwarzania stanowiącym Załącznik nr 1 do niniejszej

Polityki.

7 UDOSTĘPNIANIE DANYCH OSOBOWYCH

Administrator Danych Osobowych udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym

do ich otrzymania na mocy przepisów prawa lub na podstawie zgody właściciela danych. Dane osobowe udostępnia się na pisemny,

umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej. Wniosek powinien zawierać następujące informacje:

1. Odbiorcę danych - wnioskodawca,

2. Podstawę do uzyskania informacji (zgoda, przepis prawa),

3. Informację dotyczącą właściciela danych ,

4. Zakres wymaganych informacji zgodny z uzyskaną zgodą lub przepisem prawa,

5. Cel uzyskania informacji

Wniosek jest rozpatrywany przez Administratora Danych lub upoważnionego przez niego pracownika. Osoba, która dokonała udostepnienia

zachowuje wniosek i kopię pisma, w którym udostępniła dane do celów prawidłowego wykonania obowiązku informacyjnego wobec właściciela

danych oraz do celów dowodowych.

Administrator Danych Osobowych może odmówić udostępnienia danych osobowych, jeżeli:

1. Spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób (z wyłączeniem sytuacji w której

do udostępnienia obliguje ADO przepis prawa).

2. Dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania Wnioskodawcy.

POLITYKA BEZPIECZENSTWA DANYCH OSOBOWYCH / J

ANWA SP. Z O.O. Strona/ stron 8/11 A N N A

Cel dokumentu: Wersja: 1.0

Określenie zasad przetwarzania danych osobowvch w omanizacll Z dnia: 24-01-2018

Odoow1edzlalnv: I Kierownictwo I Stosowanie: Wszvstkie stanowiska pracv

8 WYPEŁNIANIE OBOWIĄZKU INFORMACYJNEGO

Każda osoba, której dane zbiera bezpośrednio Administrator danych musi zostać poinformowana w momencie zbierania tych danych o:

• Nazwie i adresie Administratora danych

• Danych kontaktowych ABI (100)

• Celu i podstawie prawnej przetwarzania

• Ewentualnych odbiorcach danych

• Ewentualnym przekazaniu danych do państwa trzeciego

• Okresie w jakim dane będą przetwarzane

• Prawach przysługujących osobie (prawie dostępu do danych, do sprzeciwu i ewentualnego usunięcia oraz przenoszenia danych

• Prawie do wniesienia skargi do organu nadzorczego

• Obowiązku lub dobrowolności podania danych

• Ewentualnym zautomatyzowanym podejmowaniu decyzji w tym o profilowaniu

W przypadku pozyskania danych nie od osoby, której dane dotyczą, ale z innych żródeł podaje się ponadto żródlo pozyskania danych.

Informacji tych udziela się przy pierwszym kontakcie z osobą, lub w uzasadnionych przypadkach korespondencyjnie.

Informacje podane powyżej powinny znajdować się na wszystkich formularzach, na których zbierane są dane osobowe, zarówno w formie

papierowej jak i elektronicznej (np. formularze kontaktowe na stronach internetowych).

Każda osoba, której dane przetwarza Administrator danych ma prawo uzyskać powyższe informacje na żądanie. Odpowiedzi udziela się w

terminie 30 dni. ADO ma prawo odmówić udzielenia informacji, jeśli nie jest możliwe potwierdzenie tożsamości wnioskodawcy.

9 REALIZACJA PRAWA DO SPRZECIWU, USUNIĘCIA ORAZ PRZENOSZENIA

DANYCH

Prawo do sprzeciwu wobec przetwarzania danych przysługuje każdej osobie. Realizacja prawa może nastąpić na pisemny wniosek osoby,

który jest oceniany przez ... ■

bana usuwane s na p,semnąprosbę wlasc1c1ela danych. Realizacja prawa polega na usunl cłu danych z systemu ... Usunięcia dokonuje„

O usunięciu dan ch należy poinformować także ... 1

Prawo do przenoszenia danych dla osób będących użytkownikami skle u internetowego realtzowane jest poprzez. .

10 ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DO ZAPEWNIENIA

POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZY PRZETWARZANIU

DANYCH

Dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych ADO stosuje środki techniczne i organizacyjne właściwe dla

wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, stosownie do wymogów określonych w

Rozporządzeniu.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH /"1

ANWA SP. Z O.O. Strona/ stron 9/11 M M / A

Cel dokumentu: Wersja: 1.0

Określenie zasad przetwarzania danych osobowvch w organizacji Z dnia: 24-01-2018

Odaowiedzlafny: I Kierownictwo I Stosowanie: Wszvstkle stanowiska pracy

10.1 ZABEZPIECZENIA FIZYCZNE OBSZARU BEZPIECZNEGO

Administrator danych stosuje zabezpieczenia pomieszczeń, biur, miejsc i nośników danych, bez względu na ich formę, które chronią

przetwarzane dane przed dostępem osób nieupoważnionych. Do pomieszczeń, w których przetwarzane są dane osobowe dostęp mają

wyłącznie osoby posiadające upoważnienie od Administratora Danych;

Zasady ochrony fizycznej dla pracowników opisane są w Załączniku nr 7 do niniejszej Polityki - Instrukcji dla pracowników;

10.2 ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO

Zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych opisane są w Załączniku nr 12 do niniejszej

Polityki - Procedurze zarządzania systemem informatycznym.

10.3 ZABEZPIECZENIA ORGANIZACYJNE

• Administrator danych wyznaczył Administratora Bezpieczeństwa Informacji.

• Wszystkie osoby posiadające dostęp do danych osobowych posiadają pisemne upoważnienie ADO według wzoru stanowiącego

Załącznik nr 5 do niniejszej Polityki - Upoważnienie do przetwarzania danych osobowych wraz z Oświadczeniem o

zachowaniu poufności, oraz prowadzona jest ewidencja osób upoważnionych do przetwarzania danych zawierająca:

o imię i nazwisko osoby upoważnionej.

o datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

Ewidencja prowadzona jest wg wzoru stanowiącego Załącznik nr 6 do niniejszej Polityki.

Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy i podpisały stosowne

oświadczenie według wzoru stanowiącego Załącznik nr 5 do niniejszej Polityki .

Upoważnienie wraz z oświadczeniem o zachowaniu poufności uzupełniane jest w momencie podpisywania z osobą umowy o pracę,

staż, praktykę, zlecenie, o dzieło lub inną formę współpracy. Za wydanie tych dokumentów odpowiedzialna jest osoba , która

przygotowuje umowę z daną osobą,

• Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych m.in.

poprzez zapoznanie się z niniejszym dokumentem oraz z Instrukcją dla Pracowników stanowiącą Załącznik nr 7 do niniejszej

Polityki.

• Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. Za

przeszkolenie w zakresie pracy w systemie informatycznym odpowiada ASI.

11 INSTRUKOA POSTĘPOWANIA W PRZYPADKU NARUSZENIA OCHRONY

DANYCH OSOBOWYCH

Instrukcja definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie.

Celem instrukcji jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa, ograniczenie ryzyka powstania zagrożeń i występowania

incydentów w przyszłości.

1) Każdy pracownik Spółki w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest

poinformować bezpośredniego przełożonego lub Administratora danych.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH / 1

ANWA SP. Z O.O. Strona/ stron 10/11 A N N A

Cel dokumentu: Wersja: 1.0

Określenie zasad przetwarzania danych osobowvch w organizacji Z dnia: 24-01-2018

Odoowledzialny: I Kierownictwo l Stosowanie: Wszvstkle stanowiska pracy

2) Do typowych zagrożeń bezpieczeństwa danych osobowych należą:

(a) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów

(b) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych

(c) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego

biurka/ ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek)

3) Do typowych incydentów bezpieczeństwa danych osobowych należą:

(a) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)

(b} zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki

informatyków, użytkowników, utrata/ zagubienie danych}

(c} umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek

informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie

wirusów i innego szkodliwego oprogramowania}

4) W przypadku stwierdzenia wystąpienia zagrożenia, Administrator bezpieczeństwa informacji prowadzi postępowanie wyjaśniające w

toku, którego:

a) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki

b) inicjuje ewentualne działania dyscyplinarne

c) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w

przyszłości

d) dokumentuje prowadzone postępowania na druku „Raport z incydentu" stanowiącym Załącznik nr 9 do

niniejszej Polityki oraz w „Rejestrze Incydentów" stanowiącym Załącznik nr 10 do niniejszej Polityki.

5) W przypadku stwierdzenia incydentu (naruszenia), Administrator bezpieczeństwa informacji prowadzi postępowanie wyjaśniające w toku,

którego:

a) ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały

b) zabezpiecza ewentualne dowody

c) ustala osoby odpowiedzialne za naruszenie

d) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody)

e) inicjuje działania dyscyplinarne

Q wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w

przyszłości

g) dokumentuje prowadzone postępowania

6) Jeśli doszło do naruszenia ochrony danych osobowych zgodnie z art. 4 pkt 12 RODO, oraz to naruszenie powoduje ryzyko naruszenia

praw lub wolności osób fizycznych Administrator zgłasza taki fakt do GIODO w terminie 72 h od powzięcia informacji o naruszeniu.

7) Podmioty, którym Administrator danych powierzy/ przetwarzanie danych są zobowiązane poprzez odpowiednie klauzule w umowach do

zgłoszenia naruszenia powierzonych danych, do którego doszło u tych podmiotów - w terminie 24 h.

8) Punktem kontaktowym w związku z naruszeniem jest administrator bezpieczeństwa informacji.

9) Jeśli naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osoby, Administrator danych bez zbędnej zwłoki zawiadamia tą

osobę, lub jeśli jest to niemożliwe -wydaje publiczny komunikat o naruszeniu.

12 ANALIZA RYZYKA DLA DANYCH OSOBOWYCH

Ocena i analiza ryzyka dla przetwarzanych danych osobowych przeprowadzana jest zgodnie z zasadami opisanymi w Załączniku nr. 11 do

niniejszej Polityki - ,,Procedura oceny ryzyka".

-

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH / 1

ANWA SP. Z O.O. Strona/ stron 11/11 N\M/A

Cel dokumentu: Wersja: 1.0

Określenie zasad orzetwarzania danvch osobowvch w oraanizacn Z dnia: 24-01-2018

Odp0wiedzialny: I Kierownictwo I Stosowanie: Wszystkie stanowiska pracy

13 POWIERZENIE PRZETWARZANIA

Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej

w formie pisemnej. Podmiot, któremu ADO powierzył dane, jest zobowiązany do zastosowania środków organizacyjnych i technicznych,

zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych, oraz

jest zobowiązany przetwarzać dane osobowe wyłącznie w zakresie, w jakim reguluje to zawarta umowa.

Zapisy w umowie z podmiotem, któremu powierzono przetwarzanie danych musi zawierać zapisy gwarantujące, że podmiot ten:

• przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora

• nie będzie podzlecał czynności jakie wykonuje dla administratora bez jego pisemnej zgody

• zapewnia, by osoby upoważnione do przetwarzania danych osobowych po jego stronie zobowiązały się do zachowania tajemnicy

lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy

• wspomaga administratora w wykonywaniu obowiązku informacyjnego

• zabezpiecza powierzone dane osobowe w sposób adekwatny do zagrożeń w tym zgodnie z instrukcjami przekazanymi przez

administratora

• zabezpiecza, zwraca lub niszczy dane i nośniki po ustaniu świadczenia usług - zależnie od wzajemnych ustaleń,

• umożliwia administratorowi przeprowadzenie kontroli zgodności przetwarzania danych z umową

Administrator danych prowadzi rejestr podmiotów, którym powierzono przetwarzanie danych na wzorze, który stanowi Załącznik nr 8 do

niniejszej Polityki - Rejestr podmiotów przetwarzających.

14 ODPOWIEDZIALNOŚĆ PRACOWNIKÓW

Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.

Pracownicy ponoszą pełną odpowiedzialność za ochronę powierzonych im danych osobowych.

15 ZAŁĄCZNIKI

Załącznik nr 1 - Rejestr czynności przetwarzania

Załącznik nr 2 - Wniosek o nadanie/ zmianę I cofnięcie uprawnień w systemie informatycznym

Załącznik nr 3 - Ewidencja Użytkowników systemów informatycznych

Załącznik nr 4 - Procedura wykonywania kopii zapasowych

Załącznik nr 5 - Upoważnienie do przetwarzania danych osobowych wraz z oświadczeniem o zachowaniu poufności

Załącznik nr 6 - Rejestr osób upoważnionych do przetwarzania danych osobowych

Załącznik nr 7 - Instrukcja dla pracowników

Załącznik nr 8 - Rejestr podmiotów przetwarzających

Załącznik nr 9 - Raport z incydentu

Załącznik nr 10- Rejestr incydentów

Załącznik nr 11 - Procedura oceny ryzyka

 

 

 

 

Kontakt z nami

tel.: +48 509 540 946

email: biuro@anwa.biz

Polityka Prywatnosci

Nasza siedziba:

Włodarzewska 59 A lok. 8

02-384 Warszawa

więcej

O firmie

Firma ANWA posiada wieloletnie, międzynarodowe doświadczenie w produkcji, dystrybucji i transporcie pelletu słonecznikowego i innych materiałów opałowych na bazie drewna np. brykietu.

więcej

Dlaczego my

Jesteśmy międzynarodową firmą z wieloletnim doświadczeniem, zapewniającą naszym klientom w pełni kompleksową obsługą od pakowania po transport.

więcej

Kontakt

Nasza siedziba:
Włodarzewska 59 A lok. 8
02-384 Warszawa

tel.: +48 509 540 946
email: biuro@anwa.biz
Polityka Prywatnosci

więcej

Biuro: Aleja Krakowska 176 A, 05-552 Łazy

copyright © 2014

projekt i wykonanie: www.zaginionestudio.pl