POLITYKA OCHRONY DANYCH OSOBOWYCH
W DACH-PRO Z SIEDZIBĄ W EŁKU
§1
Celem Polityki Ochrony Danych Osobowych, zwanej dalej „Polityką” w Dach-Pro. z siedzibą w Ełku, zwanej dalej „Administratorem”, jest zapewnienie zgodnego z obowiązującymi aktami prawnymi poziomu ochrony danych osobowych, przetwarzanych przez Administratora, przed wszelkiego rodzaju zagrożeniami, tak zewnętrznymi jak i wewnętrznymi.
§2
Polityka została opracowana w oparciu o wymagania zawarte w:
1. Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”,„ogólne rozporządzenie o ochronie danych”(Dz. Urz. UE.L nr 119,str.1),
2. Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych /Dz. U. z 2018 r., poz. 1000/ (Ustawa),
3. Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
§3
Obszarem przetwarzania przez Administratora danych osobowych są wydzielone pomieszczenia w budynku przy ul. Sasankowa 30, 19-300 Ełk
§4
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia techniczne i organizacyjne, proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
§5
1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych przez Administratora rozumiane jest jako zapewnienie ich poufności, integralności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
a) poufność danych —
rozumianą jako właściwość zapewniającą, że dane nie są udostępniane
nieupoważnionym osobom;
b) integralność danych — rozumianą jako właściwość zapewniającą, że dane
osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c) integralność systemu — rozumianą jako nienaruszalność systemu, niemożność
jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
d) dostępność informacji — rozumianą jako zapewnienie, że osoby upoważnione
mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to
potrzebne;
e) zarządzanie ryzykiem — rozumiane jako proces identyfikowania, kontrolowania
f ) minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które
może dotyczyć systemów informacyjnych służących do przetwarzania danych
osobowych.
§6
Podmioty, którym Administrator powierzył przetwarzanie danych osobowych na podstawie zawartej umowy powierzenia, są Podmiotami Przetwarzającymi.
§7
Administrator nie powołał inspektora ochrony danych.
ROZDZIAŁ 2 DEFINICJE
§8
Przez użyte w Polityce określenia należy rozumieć:
1. Administrator — Bogumił Dołęgowski Dach-Pro, Sasankowa
30, 19-300 Ełk, REGON: 200208154 NIP: 7221496428,
2. dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej
do zidentyfikowania osobie fizycznej,
3. zbiór danych osobowych — uporządkowany zestaw danych osobowych dostępnych
według określonych kryteriów,
4. przetwarzane danych — każda operacja lub zestaw operacji wykonywanych na
danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak
zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie,
zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
5. system informatyczny — zespół
współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji
i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
6. system tradycyjny — zespół procedur organizacyjnych, związanych z
mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe
wykorzystywane w celu przetwarzania danych osobowych na papierze,
7. zabezpieczenie danych w systemie informatycznym — wdrożenie i eksploatacja
stosownych środków technicznych i organizacyjnych zapewniających ochronę danych
przed ich nieuprawnionym przetwarzaniem,
8. administrator systemu informatycznego
— osoba lub osoby, upoważnione przez Administratora do administrowania i
zarządzania systemami informatycznymi,
9. odbiorca danych — osoba fizyczna lub prawna, organ publiczny, jednostka lub
inny podmiot któremu ujawnia się dane osobowe na jakiejkolwiek podstawie,
10. strona trzecia — osoba fizyczna lub prawna, organ publiczny, jednostka lub
podmiot inny niż osoba, której dane dotyczą, które z upoważnienia Administratora
mogą przetwarzać dane osobowe,
11. identyfikator użytkownika(login) — ciąg znaków
literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę
upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
12. hasło — ciąg znaków literowych, cyfrowych lub innych, przypisany do
identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w
systemie informatycznym.
ROZDZIAŁ 3 ZAKRES STOSOWANIA
§9
Administrator przetwarza dane osobowe, w tym dane osobowe pracowników, kandydatów do pracy, klientów, partnerów biznesowych, dystrybutorów itp., zebrane w zbiorach danych osobowych. Dane osobowe są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej. Polityka zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Innymi dokumentami regulującymi ochronę danych osobowych przetwarzanych przez Administratora są:
a) instrukcja zarządzania systemem informatycznym służącym
do przetwarzania danych osobowych przez Administratora,
b) ewidencja osób upoważnionych do przetwarzania danych osobowych,
c) rejestr czynności przetwarzania danych osobowych,
d) instrukcja postępowania w przypadku naruszenia ochrony danych osobowych,
e) Procedura – zasady postępowania z danymi osobowymi w formie papierowej
§10
Politykę stosuje się w szczególności do:
1. Danych osobowych przetwarzanych w stosowanych przez
Administratora systemach informatycznych.
2. Informacji dotyczących danych identyfikacyjnych pracowników, klientów i
kontrahentów.
3. Rejestru podmiotów przetwarzających, którym powierzono dane osobowe do
przetwarzania w oparciu o umowy powierzenia
4. Informacji dotyczących zabezpieczenia danych osobowych, w tym w
szczególności nazw kont i haseł w systemach przetwarzania danych osobowych
5. Innych dokumentów i nośników zawierających dane osobowe.
§11
1. Zakresy ochrony danych osobowych określone przez Politykę oraz inne z nią związane akty normatywne mają zastosowanie do:
a) wszystkich istniejących, wdrażanych obecnie lub w
przyszłości systemów informatycznych oraz papierowych, w których przetwarzane
są dane osobowe,
b) wszystkich lokalizacji — budynków i pomieszczeń, w których są lub będą
przetwarzane dane osobowe,
c) wszystkich osób fizycznych mających dostęp do informacji podlegających
ochronie.
2. Do stosowania zasad określonych przez Politykę oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy, współpracownicy, stażyści oraz inne osoby mające dostęp . do danych osobowych.
3. Informacje niejawne nie są objęte zakresem niniejszej Polityki.
ROZDZIAŁ 4 WYKAZ ZBIORÓW DANYCH OSOBOWYCH
§12
Dane osobowe gromadzone są w następujących zbiorach:
1. ewidencja osób upoważnionych do przetwarzania danych
osobowych,
2. akta osobowe pracowników,
3. rejestr wypadków przy pracy,
4. umowy cywilno-prawne,
5.umowy zawierane z kontrahentami,
6. rejestr klientów,
7. archiwum,
§13
Zbiory danych osobowych wymienione w §12 podlegają przetwarzaniu w sposób tradycyjny lub przy użyciu systemu informatycznego.
ROZDZIAŁ 5 ŚRODKI ORGANIZACYJNE I TECHNICZNE ZABEZPIECZENIA DANYCH OSOBOWYCH
§14
1. Zabezpieczenia organizacyjne:
a. opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych
i akty wymienione w §9
ust. 4,
b. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające
upoważnienia nadane przez Administratora,
c. osoby zatrudnione przy przetwarzaniu
danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych
oraz w zakresie zabezpieczeń systemu informatycznego,
d. osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do
zachowania ich w tajemnicy,
e. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających
dane przed dostępem osób nieupoważnionych,
f. przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są
dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy
przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo
danych,
g. dokumenty i nośniki informacji zawierające dane osobowe, które podlegają
zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub
dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich
treści.
2. Zabezpieczenia techniczne:
a. wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci
publicznej
b. stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
c. komputery zabezpieczono przed możliwością użytkowania przez osoby
nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego
identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła;
3. Środki ochrony fizycznej:
a. obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy,
chroniony jest alarmem, b. obszar, na którym przetwarzane są dane osobowe
objęty jest całodobowym monitoringiem,
c. urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych
pomieszczeniach,
d. dokumenty i nośniki informacji zawierające dane osobowe przechowuje się
zamykanych na klucz szafach.
ROZDZIAŁ 6 SZKOLENIA Z ZAKRESU OCHRONY DANYCH OSOBOWYCH
§15
Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie zasad ochrony danych osobowych w zbiorach elektronicznych i papierowych oraz zobowiązany do ich przestrzegania. Za przeprowadzenie szkolenia odpowiada Administrator. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami RODO, ustawy o ochronie danych osobowych, wydanych na jej podstawie aktów wykonawczych oraz instrukcjami obowiązującymi u Administratora. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych. Oświadczenie wskazane w ust. 4 jest przechowywane w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.
ROZDZIAŁ 7 POSTANOWIENIA KOŃCOWE
§16
Niniejsza procedura wchodzi w życie z dniem 25 maja 2018 r.