Strona główna / Polityka Bezpieczeństwa GOMAR Sp. z o.o.
📄

Pełny dokument dostępny do pobrania: Polityka Bezpieczeństwa GOMAR Sp. z o.o. (plik .doc)

Polityka Bezpieczeństwa

GOMAR Sp. z o.o.  ·  Data sporządzenia: 28/05/2018

1. Informacje ogólne

Pojęciom stosowanym na potrzeby niniejszej Polityki Bezpieczeństwa nadaje się następujące znaczenie:

  1. Administrator Danych Osobowych (ADO) – osoba prawna, która samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych, którym jest GOMAR Sp. z o.o.
  2. IODO – Inspektor Ochrony Danych Osobowych – oznacza Inspektora ochrony danych, o którym mowa w Sekcji 4, art. 37–39 RODO.
  3. Procesor – osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora.
  4. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  5. Właściciel – Małgorzata Witwicka, Prezes Zarządu; Marek Witwicki, Wiceprezes.
  6. W pozostałym zakresie pojęcia, terminy i zwroty mają znaczenie nadane im w przepisach powszechnie obowiązującego prawa, w szczególności w RODO.

Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania ADO z RODO oraz powszechnie obowiązującymi przepisami prawa polskiego w zakresie ochrony danych osobowych.

Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem.

2. Osoby odpowiedzialne za ochronę danych osobowych

2.1. Informacje ogólne

Za przetwarzanie danych osobowych, zapewnienie im stopnia bezpieczeństwa zgodnie z RODO oraz za stosowanie niniejszej Polityki Bezpieczeństwa odpowiada ADO, który jest odpowiedzialny za organizację i nadzór nad procesami, w których ma miejsce przetwarzanie danych osobowych, oraz osoby upoważnione w formie pisemnej przez ADO do przetwarzania danych osobowych.

2.2. Osoby upoważnione do przetwarzania danych osobowych

  1. Każda osoba, która uzyskała pisemne upoważnienie do przetwarzania danych osobowych, zobowiązana jest do ich ochrony w sposób zgodny z przepisami RODO, przepisów prawa polskiego dot. ochrony danych osobowych oraz Polityki Bezpieczeństwa.
  2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia lub rozwiązaniu umowy cywilnoprawnej.

3. Upoważnienie do przetwarzania danych osobowych

  1. Upoważnienia do przetwarzania danych osobowych nadawane są przez Właściciela.
  2. Do nadania upoważnienia niezbędne jest uzyskanie pozytywnej opinii Właściciela, na wniosek przekazywany w formie elektronicznej przez osobę mającą uzyskać upoważnienie.
  3. Upoważnienie do przetwarzania danych osobowych wymaga zachowania formy pisemnej.
  4. Przed uzyskaniem upoważnienia osoba mająca je uzyskać musi zostać przeszkolona przez Właściciela z przepisów prawa dotyczących ochrony danych osobowych oraz z regulacji wewnętrznych stosowanych u ADO w zakresie ochrony danych osobowych (w szczególności z niniejszej Polityki Bezpieczeństwa).
  5. Właściciel jest zobowiązany do prowadzenia w formie elektronicznej Rejestru osób upoważnionych do przetwarzania danych osobowych u ADO.
  6. Wzory upoważnienia do przetwarzania danych osobowych oraz Rejestru osób upoważnionych stanowią odpowiednio Załącznik nr 1 oraz Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa – dostępne w pełnym dokumencie do pobrania.

4. Umowy powierzenia przetwarzania danych osobowych

  1. Umowa powierzenia przetwarzania danych osobowych powinna zostać przygotowana w oparciu o oficjalny wzór umowy powierzenia stosowany przez ADO.
  2. Umowa powierzenia musi zawierać wszystkie elementy określone w RODO, w szczególności w art. 28.
  3. Umowa powierzenia przetwarzania danych osobowych może być przez ADO zawarta wyłącznie z takim podmiotem przetwarzającym, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz powszechnie obowiązujących przepisów prawa polskiego.
  4. Informacja o zawarciu takiej umowy z innym podmiotem niż partner lub osoba fizyczna wykonująca czynności agencyjne musi zostać przekazana niezwłocznie do Właściciela.
  5. Rejestr umów powierzenia jest prowadzony przez Właściciela.
  6. Umowa powierzenia jest zawierana przez Właściciela.

5. Ogólne zasady obowiązujące przy przetwarzaniu danych osobowych

  1. Za bezpieczeństwo przetwarzania danych osobowych indywidualną odpowiedzialność ponosi każdy pracownik oraz współpracownik ADO mający dostęp do danych osobowych.
  2. Pracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w ramach udzielonego upoważnienia.
  3. Każdy pracownik oraz współpracownik ADO jest zobowiązany do przestrzegania podstawowych zasad przetwarzania danych osobowych, zgodnie z którymi dane muszą być:
    1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty (zgodność z prawem, rzetelność i przejrzystość);
    2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach (ograniczenie celu);
    3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne (minimalizacja danych);
    4. prawidłowe i w razie potrzeby uaktualniane (prawidłowość);
    5. przechowywane nie dłużej, niż jest to niezbędne (ograniczenie przechowywania);
    6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo (integralność i poufność).
  4. W miejscu przetwarzania danych w formie papierowej obowiązuje polityka „czystego biurka":
    1. na biurku należy przechowywać tylko dokumenty niezbędne do bieżącej pracy;
    2. po zakończonej pracy dokumenty należy odłożyć do zamykanej szafy lub dedykowanego pomieszczenia-archiwum.
  5. Niszczenie brudnopisów i zbędnych kopii z danymi osobowymi musi odbywać się w sposób uniemożliwiający odczytanie treści (np. niszczarka).
  6. Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z czynnościami służbowymi.
  7. Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe, jest dopuszczalne tylko w obecności osoby upoważnionej i pod jej bezpośrednim nadzorem.
  8. Pracownicy zobowiązani są do zamykania na klucz pomieszczeń, w których przetwarzane są dane osobowe, zarówno podczas chwilowej nieobecności, jak i po zakończeniu pracy.
  9. Komputery i urządzenia mobilne wykorzystywane do przetwarzania danych osobowych muszą być zabezpieczone przynajmniej hasłem do indywidualnego konta użytkownika.
  10. ADO wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie dane niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

6. Zasady postępowania w sytuacji naruszenia ochrony danych osobowych

  1. Każda osoba, która poweźmie wiadomość o naruszeniu bezpieczeństwa danych osobowych, jest zobowiązana niezwłocznie zgłosić ten fakt do Właściciela.
  2. Do czasu otrzymania dalszych instrukcji od Właściciela, osoba powiadamiająca powinna:
    1. niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków;
    2. zaniechać dalszych działań mogących utrudnić dokumentację naruszenia;
    3. udokumentować wstępnie zaistniałe naruszenie;
    4. nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia.
  3. Po przybyciu na miejsce naruszenia Właściciel zapoznaje się z sytuacją, dokonuje wyboru metod dalszego postępowania i wysłuchuje relacji osób związanych ze zdarzeniem.
  4. Po wyczerpaniu środków doraźnych Właściciel wdraża adekwatne działania naprawcze i mitygujące ryzyko wystąpienia naruszenia w przyszłości.
  5. Właściciel dokumentuje zaistniały przypadek naruszenia, sporządzając raport zawierający co najmniej:
    1. opis charakteru naruszenia ochrony danych osobowych;
    2. dane kontaktowe punktu kontaktowego, od którego można uzyskać informacje;
    3. opis możliwych konsekwencji naruszenia;
    4. opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu.

7. Kontrola przetwarzania i stanu zabezpieczenia danych osobowych

  1. Weryfikacja bieżąca i kontrola funkcjonalna jest prowadzona przez osoby, którym ADO powierzył przetwarzanie danych osobowych.
  2. W zakresie systemów informatycznych weryfikacja prowadzona jest przez Administratora Systemu Informatycznego (jeśli powołany) albo bezpośrednio przez Właściciela.
  3. Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych u ADO sprawuje Właściciel.
  4. Właściciel prowadzi kontrolę przy pomocy następujących mechanizmów:
    1. analiza nowych produktów i usług pod kątem zgodności z przepisami o ochronie danych osobowych;
    2. wydawanie szczegółowych wytycznych dotyczących przetwarzania danych;
    3. uczestnictwo w kluczowych projektach wdrożeniowych;
    4. przeprowadzanie lub zlecanie szkoleń;
    5. monitorowanie rodzaju i ilości naruszeń ochrony danych osobowych;
    6. kontrole doraźne w przypadku powzięcia wiadomości o naruszeniu.
  5. Właściciel ma prawo do kontroli podmiotów, którym powierzono przetwarzanie danych osobowych.

8. Rejestry dotyczące przetwarzanych danych osobowych

8.1. Rejestr czynności przetwarzania

ADO prowadzi w formie elektronicznej rejestr czynności przetwarzania danych osobowych, obejmujący w szczególności:

8.2. Rejestr kategorii czynności przetwarzania

ADO prowadzi w formie elektronicznej rejestr kategorii czynności przetwarzania, obejmujący w szczególności:

9. Zasady postępowania przy realizacji żądań praw osób, których dane dotyczą

  1. Prawa osób trzecich. Realizując prawa osób, których dane dotyczą, ADO zapewnia ochronę praw i wolności osób trzecich.
  2. Nieprzetwarzanie. ADO informuje osobę o tym, że nie przetwarza danych jej dotyczących, jeśli taka osoba zgłosiła żądanie dotyczące jej praw.
  3. Odmowa. ADO informuje osobę, w ciągu miesiąca od otrzymania żądania, o odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
  4. Dostęp do danych. Na żądanie osoby dotyczące dostępu do jej danych, ADO informuje osobę, czy przetwarza jej dane, oraz udziela dostępu do danych jej dotyczących zgodnie z art. 15 RODO.
  5. Kopie danych. Na żądanie ADO wydaje osobie kopię danych jej dotyczących. Za kolejne kopie ADO może pobrać opłatę.
  6. Sprostowanie danych. ADO dokonuje sprostowania nieprawidłowych danych na żądanie osoby.
  7. Uzupełnienie danych. ADO uzupełnia i aktualizuje dane na żądanie osoby, o ile nie jest to niezgodne z celami przetwarzania.
  8. Usunięcie danych. Na żądanie osoby ADO usuwa dane, gdy:
    • dane nie są już niezbędne do celów, w których zostały zebrane;
    • zgoda na przetwarzanie została cofnięta;
    • osoba wniosła skuteczny sprzeciw;
    • dane były przetwarzane niezgodnie z prawem;
    • konieczność usunięcia wynika z obowiązku prawnego.
  9. Ograniczenie przetwarzania. ADO dokonuje ograniczenia przetwarzania na żądanie osoby, m.in. gdy osoba kwestionuje prawidłowość danych, przetwarzanie jest niezgodne z prawem lub osoba wniosła sprzeciw.
  10. Przenoszenie danych. Na żądanie osoby ADO wydaje dane w ustrukturyzowanym, powszechnie używanym formacie lub przekazuje innemu podmiotowi.
  11. Sprzeciw. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych na potrzeby marketingu bezpośredniego, ADO uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
  12. Prawo do ludzkiej interwencji. Jeżeli ADO przetwarza dane w sposób automatyczny (w tym profilowanie), ADO zapewnia możliwość odwołania się do interwencji i decyzji człowieka.
  13. Wszystkie żądania realizacji praw osób powinny być przekazane niezwłocznie do Inspektora Ochrony Danych Osobowych (jeżeli zostanie powołany) lub bezpośrednio do Właściciela.

10. Zasady dotyczące przechowywania, monitorowania i przestrzegania okresów retencji danych

  1. Dane osobowe mogą być przetwarzane i przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których zostały pozyskane.
  2. Po realizacji ostatniego z celów, dla którego dane zostały pozyskane, dane powinny zostać niezwłocznie usunięte lub zanonimizowane.
  3. Za weryfikację bieżącą i kontrolę funkcjonalną danych przetwarzanych w postaci papierowej odpowiada osoba upoważniona przez zarząd.
  4. Za weryfikację bieżącą i kontrolę funkcjonalną danych przetwarzanych odpowiada Właściciel.
  5. Za określenie okresów retencji dla poszczególnych celów i podstaw przetwarzania danych osobowych odpowiada Właściciel.

11. Zasady dokonywania oceny skutków dla ochrony danych osobowych

  1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania dokonuje się oceny skutków dla ochrony danych i dokumentuje jej wynik.
  2. Wynik oceny wraz z rozwiązaniem biznesowym musi zostać zatwierdzony przez ADO.
  3. Ocena musi zawierać w szczególności:
    1. opis planowanych operacji przetwarzania i celów przetwarzania;
    2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
    3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
    4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz mechanizmy bezpieczeństwa mające zapewnić ochronę danych.

12. Środki bezpieczeństwa (rozwiązania organizacyjne i techniczne)

Wykaz środków bezpieczeństwa niezbędnych dla zapewnienia poufności i integralności przetwarzanych danych osobowych:

Część I – Rozwiązania organizacyjne

  1. Do przetwarzania danych osobowych dopuszczane są wyłącznie osoby posiadające pisemne upoważnienie.
  2. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
  3. Wdrożono Politykę Bezpieczeństwa dot. ochrony danych osobowych.
  4. Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
  5. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy.
  6. Wprowadzono politykę haseł (konieczność cyklicznej aktualizacji, wymogi dot. formatu i złożoności hasła).
  7. Wprowadzono politykę „czystego biurka".
  8. Wprowadzono obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania.

Część II – Rozwiązania techniczne

  1. Monitory komputerów ustawione są w sposób uniemożliwiający wgląd osobom postronnym. Obowiązuje blokowanie klawiatury przy odejściu od komputera. Zakaz korzystania z niezabezpieczonych sieci publicznych (wi-fi).
  2. Dane osobowe zapisywane na dyskach fizycznych są szyfrowane.
  3. Przy połączeniach do aplikacji webowych stosowany jest protokół HTTPS.
  4. Wiadomości e-mail zawierające dane osobowe są szyfrowane.
  5. Urządzenia mobilne, na których incydentalnie przetwarzane są dane osobowe, zabezpieczane są co najmniej hasłem.
  6. Urządzenia mobilne z szerokim zakresem przetwarzania danych osobowych zabezpieczane są co najmniej dodatkowym hasłem do aplikacji, a w przypadku przechowywania danych – szyfrowane.
  7. Wprowadzono obowiązek usuwania danych osobowych na urządzeniach, na których nie można wprowadzić zabezpieczeń.
  8. Ograniczono uprawnienia do instalacji oprogramowania na komputerach służbowych.
  9. Zapewniono ciągłość poufności, integralności, dostępności i odporności systemów służących do przetwarzania danych.
  10. Wprowadzono okresy retencji i usuwania danych oraz zapewniono monitorowanie tych okresów.

13. Załączniki

Pełna treść załączników dostępna jest w dokumencie do pobrania:

Pobierz pełny dokument z załącznikami (.doc)