Polityka prywatności
Polityka Bezpieczeństwa
Danych Osobowych wraz z Instrukcją Zarządzania Systemem Informatycznym
w AKA SZCZERBICCY KOMANDYTOWO AKCYJNA
Wrocław, dnia 25-05-2018 r.
Polityka Bezpieczeństwa Danych Osobowych
Spis treści:
- § 1. Wstęp – s. 3
- § 2. Definicje – s. 3-4
- § 3. Postanowienia ogólne – s. 4
- § 4. Obowiązki Administratora Danych – s. 5
- § 5. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem danych osobowych – s. 5-6
- § 6. Obszar przetwarzania danych – s. 7
- § 7. Zakres i cel zbieranych danych osobowych – s. 7
- § 8. Podstawa prawna przetwarzania danych osobowych – s. 7-8
- § 9. Okres przetwarzania danych osobowych – s. 8
- § 10. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych – s. 8-10
- § 11. Szkolenie pracowników – s. 10-11
- § 12. Instrukcja alarmowa – s. 11-12
- § 13. Powierzenie przetwarzania danych osobowych – s. 12
- § 14. Postanowienia końcowe – s. 13
1. Wstęp
Niniejsza Polityka Bezpieczeństwa Danych Osobowych została opracowana w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone w AKA Szczerbiccy Spółka Komandytowo Akcyjna zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczania danych osobowych, w tym przede wszystkim z Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
2. Definicje
- Administrator Danych – AKA Szczerbiccy Spółka Komandytowo Akcyjna, ul. Jerzmanowska 15, 54-530 Wrocław, NIP: 8942777690, KRS: 0000181985;
- dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym imię i nazwisko, PESEL, adres zamieszkania, numer telefonu, adres poczty e-mail;
- przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – w formie tradycyjnej oraz w systemach informatycznych;
- Polityka – niniejsza Polityka Bezpieczeństwa Danych Osobowych;
- RODO - Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
- system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych;
- użytkownik – osoba upoważniona przez Administratora Danych do przetwarzania danych osobowych;
- zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
- identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (użytkownika) w razie przetwarzania danych osobowych w takim systemie;
- hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (użytkownikowi) w razie przetwarzania danych osobowych w takim systemie;
- uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (użytkownika);
3. Postanowienia ogólne
- Polityka obejmuje wszystkie dane osobowe przetwarzane w AKA Szczerbiccy Spółka Komandytowo Akcyjna, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
- Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora Danych.
- Polityka jest dokumentem wewnętrznym AKA SzczerbiccySpółka Komandytowo Akcyjna i nie może być udostępniana osobom postronnym w żadnej formie.
- Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
- Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
- odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
- kontrolę i nadzór nad przetwarzaniem danych osobowych,
- monitorowanie zastosowanych środków ochrony.
- Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą Polityką oraz odpowiednimi przepisami prawa.
4. Obowiązki Administratora Danych
- Do najważniejszych obowiązków Administratora Danych należy:
- opracowanie i wdrożenie Polityki Bezpieczeństwa Danych Osobowych i Instrukcji Zarządzania Systemem Informatycznym;
- zabezpieczenie i ochrona danych osobowych oraz zbiorów danych osobowych powierzonych do przetwarzania;
- monitorowanie zastosowanych zabezpieczeń i środków ochrony, które obejmuje m.in. działania użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi;
- wydawanie i anulowanie upoważnień dla osób uprawnionych do przetwarzania danych osobowych;
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
- powołanie pełnomocnika działających w imieniu Administratora Danych w następujących oddziałach firmy AKA Szczerbiccy Spółka Komandytowo Akcyjna:
- AKA Wrocław – ul. Jerzmanowska 15, 54-530 Wrocław,
- AKA Nowa Sól – ul. Wrocławska 20, 67-100 Nowa Sól,
- AKA Żagań – ul. Spółdzielcza 2, 68-100 Żagań,
- AKA Jelenia Góra – ul. Wincentego Pola 45, 58-500 Jelenia Góra,
- AKA Lubin – ul. Rzeźnicza 4, 59-300 Lubin,
- AKA Wałbrzych – ul. Piotra Wysockiego 16E, 58-300 Wałbrzych,
- AKA Zielona Góra – ul. Elektronowa 16, 65-730 Zielona Góra.
- Szczegółowe obowiązki pełnomocnika Administratora Danych zostały określone w Załącznikach nr 1a-1g.
5. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem danych osobowych
- Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych osobowych w AKA Szczerbiccy Spółka Komandytowo Akcyjna.
- Wszystkie dane osobowe w AKA SzczerbiccySpółka Komandytowo Akcyjna są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez obowiązujące przepisy prawa, tj.:
- w każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstawa dla przetwarzania danych osobowych,
- dane osobowe są przetwarzane w sposób rzetelny i przejrzysty,
- dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
- dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych,
- dane osobowe są prawidłowe i w razie potrzeby uaktualniane,
- czas przechowywania danych osobowych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane,
- wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO,
- dane osobowe są zabezpieczone przed naruszeniami zasad ich ochrony.
- Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
- naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach,
- udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym,
- zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony,
- niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia,
- przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania,
- spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych,
- naruszenie praw osób, których dane są przetwarzane.
- W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia Administratora Danych.
6. Obszar przetwarzania danych osobowych
Obszar, w którym przetwarzane są dane osobowe na terenie AKA Szczerbiccy Spółka Komandytowo Akcyjna obejmuje pomieszczenia biurowe i hale magazynowe zlokalizowane w siedzibie głównej spółki oraz w jej oddziałach wyszczególnionych w § 4 pkt. 1 ppkt. 6 (szczegółowy wykaz budynków i pomieszczeń tworzących obszar przetwarzania danych osobowych ujęto w załączniku nr 2a-2g).
7. Zakres i cel zbieranych danych osobowych
- Dane osobowe przetwarzane są przez Administratora Danych w celu:
- zawarcia i realizacji umów (świadczenia usług), w tym za pośrednictwem platformy B2B,
- rejestracji na platformie B2B,
- wykonania ciążących na Administratorze Danych obowiązków przewidzianych przepisami obowiązującego prawa,
- ustalenia, obrony i dochodzenia ewentualnych roszczeń,
- marketingu bezpośredniego,
- tworzenia zestawień, analiz i statystyk (na potrzeby wewnętrzne Administratora Danych),
- weryfikacji wiarygodności płatniczej,
- prowadzenia działań związanych z zapewnieniem bezpieczeństwa przetwarzania danych osobowych.
- Zakres przetwarzania danych uzależniony jest od celu ich przetwarzania.
- Administrator Danych przetwarza dane osobowe jedynie w zakresie niezbędnym do zrealizowania z góry zamierzonych celów.
- Wykaz zbiorów danych osobowych przetwarzanych przez Administratora Danych ujęto w załączniku nr 3.
8. Podstawa prawna przetwarzania danych osobowych
- Podstawą prawną przetwarzania danych osobowych przez Administratora Danych są:
- zgoda osoby, której dane dotyczą,
- konieczność wykonania umowy lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
- konieczność wypełnienia obowiązku prawnego ciążącego na Administratorze Danych,
- konieczność wynikająca z prawnie uzasadnionych interesów realizowanych przez Administratora Danych.
- Cofnięcie zgody na przetwarzanie danych osobowych przez osobę, której dane dotyczą, nie ma wpływu na zgodność z prawem przetwarzania jej danych osobowych, której dokonano na podstawie udzielonej zgody przed jej cofnięciem.
9. Okres przetwarzania danych osobowych
- Dane osobowe zbierane przez Administratora Danych są przechowywane przez okres 5 lat, tj. do czasu upływu dla firmy AKA Szczerbiccy Spółka Komandytowo Akcyjna terminu przedawnienia zobowiązań podatkowych.
- W pozostałym zakresie uzasadnionym celami przetwarzania dane osobowe będą przechowywane tak długo, jak istnieć będzie podstawa prawna ich przetwarzania, chyba, że obowiązujące przepisy prawa wymagałyby dłuższego okresu ich przechowywania.
- Z końcem okresu przetwarzania dane osobowe zostaną usunięte lub zanonimizowane.
10. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych
- Zabezpieczenia organizacyjne:
- została opracowana i wdrożona Polityka Bezpieczeństwa Danych Osobowych i Instrukcja Zarządzania Systemem Informatycznym,
- do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych,
- prowadzona jest ewidencja osób upoważnionych do przetwarzania danych (załącznik nr 5),
- osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
- osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
- do przebywania w pomieszczeniach, w których przetwarzane są dane osobowe, dopuszcza się osoby posiadające upoważnienie nadane przez Administratora Danych, ale nie posiadających upoważnienia do przetwarzania danych osobowych – dotyczy to personelu technicznego np. służba ochrony, konserwatorzy, personel sprzątający (wzór upoważnienia ujęto w załączniku nr 6)
- prowadzona jest ewidencja osób posiadających upoważnienie do przebywania w pomieszczeniach, w których przetwarza się dane osobowe (załącznik nr 7),
- przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych do ich przetwarzania,
- przebywanie osób nieuprawnionych w pomieszczeniach gdzie przetwarzane są dane osobowe dopuszczalne jest tylko w obecności i pod nadzorem osoby posiadającej upoważnienie do przebywania w obszarze przetwarzania danych osobowych, oraz w warunkach zapewniających bezpieczeństwo tych danych,
- w przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce,
- zostały zawarte pisemne umowy powierzenia przetwarzania danych dla współpracy z podmiotami zewnętrznymi przetwarzającymi dane osobowe,
- powierzono administrowanie systemami informatycznymi przedsiębiorstwa zewnętrznemu podmiotowi w ramach outsourcingu,
- Zabezpieczenia fizyczne pomieszczeń, gdzie są przetwarzane dane osobowe w wersji papierowej i elektronicznej:
- drzwi zamykane na klucz,
- szafy zamykane na klucz,
- polityka kluczy:
- obowiązuje 5 dniowy tydzień pracy,
- dostęp do budynków i pomieszczeń biurowych możliwy jest wyłącznie przez osoby upoważnione, które posiadają do nich klucze,
- klucze zapasowe przechowywane są w wyznaczonych i zabezpieczonych miejscach,
- wydawanie kluczy zapasowych upoważnionym pracownikom może odbywać się tylko w uzasadnionych sytuacjach oraz w przypadkach awaryjnych za zgodą bezpośredniego przełożonego,
- klucze zapasowe po ich wykorzystaniu należy niezwłocznie zwrócić do depozytu,
- klucze służące do zabezpieczenia biurek i szaf muszą być jednoznacznie opisane,
- w godzinach pracy klucze pozostają pod nadzorem pracowników, którzy ponoszą pełną odpowiedzialność za ich należyte zabezpieczenie,
- zabrania się pozostawiania kluczy w biurkach i szafach podczas chwilowej nieobecności osób upoważnionych w pomieszczeniu,
- po zakończeniu pracy, klucze służące do zabezpieczenia biurek i szaf muszą być przechowywane w zabezpieczonym miejscu,
- służba ochrony,
- monitoring kamer,
- system przeciwpożarowy/gaśnice.
- Zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
- zastosowano UPS (zasilacz awaryjny) do serwera i komputerów, na których przetwarzane są dane osobowe,
- dostęp do komputera/laptopa z danymi osobowymi odbywa się poprzez podanie loginu i hasła,
- w przypadku dostępu do danych osobowych przez Internet, stosuje się szyfrowanie tego połączenia (SSL lub VPN),
- zastosowano system antywirusowy na wszystkich komputerach i laptopach,
- użyto systemu Firewall do ochrony dostępu do sieci komputerowej,
- pracowników obowiązuje zakaz podłączania urządzeń prywatnych do komputerów i laptopów firmowych.
- Zabezpieczenia programów przetwarzających dane osobowe:
- dla osób upoważnionych określono zakres obowiązków i prawa dostępu do danych osobowych,
- dostęp do danych osobowych w systemach/programach informatycznych wymaga podania loginu/nazwy użytkownika oraz hasła, określonych w § 4 Instrukcji Zarządzania Systemem Informatycznym.
- użytkownicy systemów/programów informatycznych posiadają w nich konta z określonymi prawami dostępu,
- zmianę haseł wymusza system lub zmieniane są przez użytkownika zgodnie z Instrukcją Zarządzania Systemem Informatycznym.
11. Szkolenie pracowników
- Każdy pracownik, przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej, oraz pracownik wykonujący obowiązki służbowe w obszarze, w którym przetwarza się dane osobowe, zostaje przeszkolony w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
- Za przeprowadzenie i zorganizowanie szkolenia odpowiada pełnomocnik Administratora Danych wskazany dla danego oddziału AKA Szczerbiccy Spółka Komandytowo Akcyjna.
- Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami RODO oraz wydanymi na jej podstawie aktami wykonawczymi, oraz instrukcjami i procedurami obowiązującymi w AKA Szczerbiccy Spółka Komandytowo Akcyjna, w tym w obowiązującej Polityce Bezpieczeństwa Danych Osobowych i Instrukcji Zarządzania Systemem Informatycznym.
- Szkolenie zostaje zakończone podpisaniem przez pracownika i pracodawcę upoważnienia do przetwarzania danych osobowych wraz oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu, oraz o zobowiązaniu się do przestrzegania i zachowania w tajemnicy przedstawionych w trakcie szkolenia zasad ochrony danych osobowych w AKA Szczerbiccy Spółka Komandytowo Akcyjna oraz o zachowaniu w tajemnicy powierzonych danych osobowych (wzór upoważnienia wraz z oświadczeniami ujęto w załączniku nr 4).
- Dokument, o którym mowa w § 8 pkt 4, przechowywany jest w aktach osobowych pracownika i stanowi podstawę do podejmowania działań w celu nadania każdemu pracownikowi uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe, lub umożliwienia wykonywania obowiązków służbowych w obszarze przetwarzania danych osobowych.
12. Instrukcja alarmowa
Instrukcja alarmowa opisuje możliwe zagrożenia i incydenty zagrażające bezpieczeństwu danych osobowych oraz opisuje sposoby odpowiedniego reagowania na nie. Celem instrukcji jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa, ograniczenia ryzyka powstania zagrożeń i występowania incydentów w przyszłości.
- Każdy pracownik przedsiębiorstwa, w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest niezwłocznie poinformować bezpośredniego przełożonego lub pełnomocnika Administratora Danych, wskazanego dla danego oddziału przedsiębiorstwa.
- Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
- niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
- niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
- nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasad czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek),
- Do typowych incydentów bezpieczeństwa danych osobowych należą:
- zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
- zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków i użytkowników, utrata/zgubienie danych),
- umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
- W przypadku stwierdzenia incydentu (naruszenia), pełnomocnik Administratora Danych prowadzi postępowanie wyjaśniające w toku którego:
- ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość zaistniałych szkód,
- zabezpiecza ewentualne dowody,
- ustala osoby odpowiedzialne za naruszenie,
- podejmuje działania naprawcze i zapobiegawcze,
- inicjuje działania dyscyplinarne,
- wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
- dokumentuje prowadzone postępowania w Załączniku nr 10 „Incydenty Bezpieczeństwa”.
13. Powierzenie przetwarzania danych osobowych
- Administrator Danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO - wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik nr 8.
- Przed powierzeniem przetwarzania danych osobowych Administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach podmiotu, któremu zamierza powierzyć przetwarzanie danych, dotyczących zabezpieczenia danych osobowych, w tym informacji o wdrożonej polityce bezpieczeństwa danych osobowych.
- Administrator Danych prowadzi rejestr podmiotów przetwarzających, którem powierzono przetwarzanie danych osobowych na podstawie umowy powierzenia, o której mowa w § 13 pkt 1 (rejestr podmiotów przetwarzających ujęto w załączniku nr 9).
14. Postanowienia końcowe
W sprawach nieuregulowanych w niniejszej Polityce zastosowanie mają przepisy z zakresu ochrony danych osobowych, w tym RODO oraz wydane na jego podstawie akty wykonawcze.