Przepisy wstępne
INFORMACJE OGÓLNE
- Niniejsza Polityka Bezpieczeństwa Przetwarzania Danych Osobowych, zwana dalej „Polityką Bezpieczeństwa”, została sporządzona w GDSiT Polska Sp. z o.o. z siedzibą przy ul. Pocieszka 3, 25-519 Kielce, NIP: 9592012058,
KRS: 0000743674, zwanej dalej „Firmą”.
- Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania Administratora Danych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – Dz. Urz. UE L 119, s. 1 Ustawą o ochronie danych
osobowych oraz rozporządzeniami wykonawczymi do tej ustawy. - Dokument Polityki Bezpieczeństwa został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych:
1) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – Dz. Urz. UE L 119, s 1 (dalej: „RODO”),
2) Ustawie z dnia 10 maja 2018 r. r. o ochronie danych osobowych (t.j. Dz.U. z 2018 r., poz. 1000).
ZAKRES INFORMACJI OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA
ORAZ ZAKRES JEJ ZASTOSOWANIA
- Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.
- Na Politykę Bezpieczeństwa składają się następujące informacje:
1) wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
4) sposób przepływu danych pomiędzy poszczególnymi systemami,
5) określenie środków technicznych i organizacyjnych niezbędnych
PODSTAWOWE DEFINICJE
Używanym w Polityce Bezpieczeństwa terminom nadaje się następujące znaczenie:
- Ustawa – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dziennik Ustaw 2018 r. poz. 1000) i przepisy wykonawcze do tej ustawy,
- dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
- przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
- poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.
Osoby odpowiedzialne za ochronę
danych osobowych
INFORMACJE OGÓLNE
- Rozdział ten wskazuje osoby odpowiedzialne za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami RODO, Ustawy, Polityki Bezpieczeństwa oraz załączników do niej.
- Administratorem Danych (Osobowych) jest firma GDSiT Polska Sp. z o.o. z siedzibą przy ul. Pocieszka 3, 25-519 Kielce, NIP: 9592012058, KRS: 0000743674.
- Listę osób, które uzyskały od Administratora Danych upoważnienie do przetwarzania danych osobowych, zawiera ewidencja zgodna z Załącznikiem nr 1 do Polityki Bezpieczeństwa.
ADMINISTRATOR DANYCH
- Obowiązki Administratora Danych w Firmie pełnią członkowie zarządu.
- Do zadań Administratora Danych należy:
a) spełnienie wskazanych w Ustawie przesłanek legalizujących przetwarzanie danych osobowych;
b) realizacja obowiązku informacyjnego związanego z pozyskaniem danych;
c) realizacja obowiązku dochowania szczególnej staranności przy przetwarzaniu danych, w celu ochrony interesów osób, których dane dotyczą;
d) realizacja obowiązku zabezpieczenia danych;
e) realizacja obowiązku prowadzenia dokumentacji związanej z przetwarzaniem danych osobowych.
INSPEKTOR OCHRONY DANYCH OSOBOWYCH
- Zgodnie z art. 37 RODO Administrator Danych nie jest zobowiązany do powołania inspektora ochrony danych osobowych. W przypadku powołania inspektora danych osobowych niniejszy zapis zostanie zmieniony.
- Jako osobę odpowiedzialną za przetwarzanie danych osobowych w Firmie Administrator Danych wskazuje pracownika zatrudnionego na stanowisku General Manager – Panią Małgorzatę Rzepa-Szekelyfoldi.
Zakres przetwarzania i cele wykorzystywania
danych osobowych
- W zbiorach danych gromadzonych w systemie informatycznym zabrania się przetwarzania
danych ujawniających:
a) stan zdrowia,
b) pochodzenie rasowe lub etniczne,
c) poglądy polityczne,
d) przekonania religijne lub filozoficzne,
e) przynależność wyznaniową,
f) przynależność partyjną lub związkową,
g) dane genetyczne,
h) dane biometryczne,
i) nałogi,
j) preferencje seksualne
– chyba że wymagają tego obowiązujące przepisy prawa lub osoba, której dane dotyczą, wyraziła na to zgodę. - Dane o skazaniach, w tym dane o niekaralności można przetwarzać jedynie zgodnie z art. 10 RODO.
- W Firmie zabrania się używania danych wymienionych w pkt. 1 do profilowania, chyba że osoba, której dane dotyczą, wyraziła na to zgodę lub jest to podyktowane ważnym interesem publicznym. O profilowaniu Administrator Danych informuje osobę, której ono dotyczy, na etapie zbierania danych.
- Dane osobowe mogą być wykorzystywane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w formie zanonimizowanej, uniemożliwiającej identyfikację osób, których dotyczą.
- Administrator Danych lub upoważniona przez niego osoba ma obowiązek uzupełnienia, uaktualnienia, sprostowania lub usunięcia danych osobowych w przypadku, gdy dane osobowe osoby, od której zostały zebrane, są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane.
Upoważnianie do przetwarzania
danych osobowych
- Niniejszy rozdział zawiera opis zasad przyznawania użytkownikowi identyfikatora w systemie informatycznym, jak również zasady nadawania lub modyfikacji uprawnień użytkownika do zasobów systemu informatycznego.
- Powyższe zasady obejmują operacje związane z nadawaniem użytkownikom uprawnień do pracy w systemie informatycznym, począwszy od utworzenia użytkownikowi konta, poprzez przydzielanie i modyfikację jego uprawnień aż do momentu usunięcia konta z systemu informatycznego.
- Wszystkie osoby, które przetwarzają dane osobowe, muszą posiadać pisemne upoważnienie do przetwarzania danych oraz podpisać oświadczenie o zachowaniu poufności tych danych.
- Procedura nadawania upoważnień do przetwarzania danych osobowych jest następująca:
a) upoważnienie nadaje Administrator Danych lub osoba przez niego wyznaczona;
b) upoważnienia sporządzane są w formie pisemnej (według wzoru stanowiącego załącznik nr 2 do Polityki Bezpieczeństwa);
c) zakres nadanych uprawnień zależny od stanowiska i funkcji pracownika lub współpracownika;
d) wszystkie upoważnienia odnotowuje się w rejestrze upoważnień prowadzonej w formie papierowej (według wzoru stanowiącego załącznik nr 1 do Polityki Bezpieczeństwa).
Umowy powierzenia
przetwarzania danych osobowych
Firma może zawierać umowy powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi (zgodnie ze wzorem stanowiącym załącznik nr 6 do Polityki Bezpieczeństwa). Podlegają one obowiązkowi ewidencji w rejestrze umów powierzenia przetwarzania danych osobowych (według wzoru będącego załącznikiem nr 7 do Polityki Bezpieczeństwa).
Analiza zagrożeń i ryzyka
przy przetwarzaniu danych osobowych
- Analiza zagrożeń i ryzyka jest głównym elementem procesu zarządzania ryzykiem bezpieczeństwa informacji. Jej celem jest wdrożenie odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odbywało się zgodnie z RODO.
- Ze względu na zmieniające się warunki funkcjonowania analiza ryzyka musi być wykonywana okresowo, przynajmniej raz w roku, przez Administratora Danych.
- Analiza zidentyfikowanego zagrożenia i ryzyka polega na oszacowaniu prawdopodobieństwa jego wystąpienia i ewentualnych skutków.
Ogólne zasady bezpieczeństwa obowiązujące
przy przetwarzaniu danych osobowych
- Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze osobistą odpowiedzialność ponosi przede wszystkim każdy pracownik mający dostęp do danych.
- Pracownicy mający dostęp do danych osobowych nie mogą ich ujawniać ani w miejscu pracy, ani poza nim w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego im upoważnienia do przetwarzania danych.
- W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania tzw. zasady czystego biurka. Oznacza ona zakaz pozostawiania materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników.
- Niszczenie brudnopisów, notatek i błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, np. z wykorzystaniem niszczarek.
- Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia oraz jej bezpośredni przełożony.
- Przebywanie osób nieuprawnionych w pomieszczeniu, gdzie przetwarzane są dane osobowe, jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem.
- Pracownicy zobowiązani są do zamykania na klucz wszelkich pomieszczeń, w których przetwarzane są dane osobowe – zarówno po zakończeniu pracy, jak i w czasie nawet chwilowej nieobecności. Klucze nie mogą być pozostawione w zamku w drzwiach. Ponadto pracownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem.
- Dokumenty o szczególnym znaczeniu przechowywane są w zamkniętej na klucz i odpowiednio wytrzymałej szafie, a dostęp do nich mają tylko uprawnieni pracownicy.
- Osoby uprawnione do przetwarzania danych w formie elektronicznej (komputerowej) uzyskują dostęp do danych za pomocą nadanego im indywidualnego hasła przez Administratora Danych Osobowych lub osobę przez niego upoważnioną;
- W przypadku niekorzystania z komputera (braku jakiejkolwiek aktywności) przez osobę uprawnioną do przetwarzania danych przez okres 5 minut następuje automatyczne wylogowanie z systemu. Dostęp może być przywrócony jedynie po ponownym wprowadzeniu hasła.
- Hasła dostępu są zmieniane okresowo, nie rzadziej niż raz na miesiąc.
- We wszystkich komputerach są zainstalowane automatycznie aktualizowane programy antywirusowe. W miarę potrzeby przeprowadzane są też dodatkowe przeglądy antywirusowe.
Obowiązki informacyjne
przy zbieraniu danych osobowych
- W przypadku zbierania danych osobowych od osoby, której one dotyczą, Administrator Danych jest obowiązany poinformować tę osobę o:
a) o swojej tożsamości i danych kontaktowych, a także, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela oraz inspektora danych osobowych;
b) o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;
c) o prawnie uzasadnionym interesie realizowanym przez Administratora Danych lub przez stronę trzecią w ramach przetwarzania danych osobowych;
d) o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
e) gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub, w przypadku przekazania, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o m możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
f) o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – o kryteriach ustalania tego okresu;
g) o prawie do żądania od Administratora Danych dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
h) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
i) o prawie wniesienia skargi do organu nadzorczego;
j) o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym bądź warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
k) o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO oraz – przynajmniej w tych przypadkach – o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. - W przypadku pozyskania danych osobowych z innego źródła niż osoba, której dane dotyczą, Administrator Danych jest zobowiązany poinformować tę osobę o:
a) o swojej tożsamości i danych kontaktowych, a także, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela oraz inspektora danych osobowych;
b) o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania, jak również o kategoriach odnośnych danych osobowych;
c) o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
d) gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub, w przypadku przekazania, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
e) o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe o kryteriach ustalania tego okresu;
f) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – o prawnie uzasadnionym interesie realizowanym przez Administratora Danych lub przez stronę trzecią w ramach przetwarzania danych osobowych;
g) o prawie do żądania od Administratora Danych dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
h) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
i) o prawie wniesienia skargi do organu nadzorczego;
j) o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – o tym, czy pochodzą one ze źródeł publicznie dostępnych;
k) o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO oraz – przynajmniej w tych przypadkach – o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. - Obowiązek informacyjny wymieniony w pkt. 1 powyżej powinien być wykonany w momencie zbierania danych – z wyjątkiem sytuacji, gdy Administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane; przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu, oraz udziela jej wszelkich innych potrzebnych informacji.
- Obowiązek informacyjny wymieniony w pkt. 2 powyżej powinien zostać spełniony:
a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Instrukcja postępowania w sytuacji
naruszenia ochrony danych osobowych
- Administrator Danych zobowiązany jest do stworzenia ogólnego trybu postępowania w sytuacji naruszenia ochrony danych osobowych, odpowiadającego organizacji pracy pracowników lub specyfice prowadzonej działalności.
- Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych:
a) każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić Administratorowi Danych lub osobie przez niego upoważnionej;
b) do czasu przybycia na miejsce naruszenia Administratora Danych lub osoby przez niego upoważnionej osoba powiadamiająca powinna:
– niezwłocznie podjąć czynności niezbędne do powstrzymania niepożądanych skutków, a następnie w miarę możliwości ustalić przyczyny lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe,
– zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i badanie,
– w miarę możliwości udokumentować wstępnie zaistniałe naruszenie,
– nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora Danych lub osobę przez niego upoważnioną;
- Po przybyciu na miejsce naruszenia Administrator Danych lub osoba przez niego upoważniona:
a) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metod dalszego postępowania,
b) wysłuchuje relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem. - Administrator Danych lub osoba przez niego upoważniona dokumentuje zaistniały przypadek naruszenia oraz sporządza raport. Raport, o którym mowa powyżej, niezwłocznie przekazuje zarządowi jednostki. Każdy przypadek naruszenia ochrony danych osobowych odnotowuje się także w rejestrze incydentów – według wzoru stanowiącego załącznik nr 8 do Polityki Bezpieczeństwa.
- Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu Administrator Danych lub osoba przez niego upoważniona zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych.
- W przypadku naruszenia ochrony danych osobowych Administrator Danych bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to mogło skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Opis struktury zbiorów
danych osobowych
- Dla każdego zidentyfikowanego zbioru danych osobowych w Firmie sporządzany jest opis struktury zbioru i zakresu informacji gromadzonych w danym zbiorze.
- Opisy poszczególnych pól informacyjnych gromadzonych w strukturze zbioru danych wskazują, jakie kategorie danych osobowych są w nich przechowywane.
- Opis pól danych winny wskazywać nie tylko kategorie danych, ale również format ich zapisu.
- Przez format zapisu należy rozumieć program informatyczny lub przetwarzanie w formie papierowej.
- Przetwarzanie danych ma formę komputerową oraz papierową (ze względu na wymogi przepisów o rachunkowości). Papierowa forma przetwarzania danych osobowych służy głównie narzuconym ustawowo celom archiwizacji.
- Opis struktury zbiorów danych sporządzono w formie tabelarycznej. Stanowi on załącznik nr 5 do Polityki Bezpieczeństwa.
Obszar, w którym przetwarzane są
dane osobowe
- Określenie struktury pomieszczeń, gdzie przetwarzane są dane osobowe, obejmuje zarówno miejsca, w którym wykonuje się operacje na danych osobowych, jak również miejsca, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe.
- Opis operacji dokonywanych w systemach informatycznych i dokumentacji papierowej, a także stosowanych zabezpieczeń przedstawia tabela stanowiąca załącznik nr 10 do Polityki Bezpieczeństwa.
Środki techniczne i organizacyjne niezbędne dla zapewnienia bezpieczeństwa danych osobowych
Firma dysponuje środkami technicznymi i organizacyjnymi, które zostały zastosowane przez Administratora Danych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych, a także dla zagwarantowania poufności, integralności i rozliczalności przetwarzanych danych osobowych.