Polityka bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
FERN MODERN DOROTA MATLAKIEWICZ-PAPIS

Niniejszy  dokument zwany także dalej “Polityką” został opracowany w celu wykazania, że dane osobowe (dalej także jako “dane”) w Fern Modern Dorota Matlakiewicz-Papis z siedzibą w Warszawie (Firma) są przetwarzane i zabezpieczone zgodnie z wymogami prawa.

I. Część ogólna

  1. Polityka dotyczy wszystkich danych osobowych przetwarzanych w Firmie.
  2. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie
    do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią przed otrzymaniem upoważnienia.
  3. Dla skutecznej realizacji Polityki Firma zapewnia:
    1. odpowiednie do zagrożeń i kategorii danych środki techniczne i rozwiązania organizacyjne,
    2. kontrolę i nadzór nad przetwarzaniem danych,
    3. monitorowanie zastosowanych środków ochrony.
  4. Monitorowanie przez Firmę zastosowanych środków ochrony obejmuje m.in. działania osób upoważnionych do przetwarzania danych, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.

II. Kategorie danych

  1. Dane osobowe przetwarzane przez Firmę gromadzone są w zbiorach danych.
  2. Firma nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób.
  3. W przypadku planowania nowych czynności przetwarzania Firma dokona analizy ich skutków dla ochrony danych osobowych oraz uwzględni kwestie ochrony danych w fazie ich projektowania.
  4. Firma prowadzi rejestr czynności przetwarzania. Rejestr prowadzony jest w formie elektronicznej.

III. Zarządzanie bezpieczeństwem

  1. Wszystkie osoby mające dostęp do danych zobowiązane są do ich przetwarzania zgodnie z obowiązującymi przepisami, a w szczególności zgodnie z niniejszą Polityką i innymi aktami wewnętrznymi ustalonymi przez Firmę.
  2. Wszystkie dane są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
    1. W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
    2. Dane są przetwarzane są rzetelnie i w sposób przejrzysty.
    3. Dane są zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
    4. Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.
    5. Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.
    6. Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.
    7. Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).
    8. Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
  1. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych uważa się w szczególności:
    1. naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane, w razie ich przetwarzania w takich systemach;
    2. udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
    3. zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
    4. niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
    5. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
    6. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych;
    7. naruszenie praw osób, których dane są przetwarzane.
  2. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osoba upoważniona do przetwarzania danych (względnie każdy pracownika Firmy, który powziął wiedzę o naruszeniu) zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia kierownictwa Firmy,
  3. Firma zobowiązuje się zadbać aby:
    1. pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
    2. każdy z przetwarzających dane był pisemnie upoważniony do przetwarzania,
    3. każdy pracownik zobowiązał się do zachowania danych przetwarzanych w Firmie w tajemnicy.
  4. Pracownicy zobowiązani są do:
    1. ścisłego przestrzegania zakresu nadanego upoważnienia;
    2. przetwarzania i ochrony danych zgodnie z przepisami;
    3. zachowania w tajemnicy danych oraz sposobów ich zabezpieczenia;
    4. zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu.

IV. Miejsce przetwarzania

  1. Miejscem, w którym przetwarzane są dane w Firmie są pomieszczenia w głównym miejscu prowadzenia działalności, tj. w B SPA, ul. Sarmacka 6, lok. 19J, Warszawa.
  2. Dodatkowo dane są przetwarzane we wszystkich komputerach przenośnych (w tym tabletach) oraz innych nośnikach danych znajdujących się poza miejscem wskazanym w pkt 1 powyżej.

V. Środki techniczne i organizacyjne

  1. Firma zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.
  2. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki te obejmują:
    1. ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej bądź w czasie kiedy dane te znajdują się w zamkniętej szafie,
    2. zamykanie pomieszczeń w których są przetwarzane dane na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich,
    3. wykorzystanie zamykanych szafek i sejfów do zabezpieczenia dokumentów,
    4. wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane – zabronione jest wyrzucanie takich dokumentów do śmieci,
    5. ochronę sprzętu komputerowego wykorzystywanego w Firmie przed złośliwym oprogramowaniem,
    6. zabezpieczenie dostępu do urządzeń Firmy przy pomocy haseł dostępu,
    7. wykorzystanie szyfrowania danych przy ich transmisji.

VI. System informatyczny

  1. Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie wydane przez Firmę,
  2. Dla każdego użytkownika systemu informatycznego ustalony jest odrębny identyfikator i hasło.
  3. Identyfikator użytkownika nie może być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielony innej osobie.
  4. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych zostaje niezwłocznie wyrejestrowany z systemu informatycznego, w którym są przetwarzane, zaś hasło dostępu zostaje unieważnione oraz zostają podjęte inne działania niezbędne w celu zapobieżenia dalszemu dostępowi tej osoby do danych.
  5. W systemie informatycznym stosuje się uwierzytelnianie na poziomie dostępu do systemu operacyjnego. Do uwierzytelnienia użytkownika na poziomie dostępu do systemu operacyjnego stosuje się hasło oraz identyfikator użytkownika.
  6. Zabrania się używania identyfikatora lub hasła drugiej osoby.
  7. Każdorazowo przed uruchomieniem komputera należy sprawdzić, czy nie zostały do niego podłączone żadne niezidentyfikowane urządzenia.
  8. W trakcie pracy przy każdorazowym opuszczeniu stanowiska komputerowego należy dopilnować, aby na ekranie nie były wyświetlane dane osobowe.
  9. Przy opuszczaniu stanowiska na dłuższy czas należy ustawić ręcznie blokadę klawiatury i wygaszacz ekranu (wygaszacz nie rzadszy niż aktywujący się po 15 min braku aktywności).
  10. Dla zabezpieczenia integralności danych dokonuje się archiwizacji danych.
  11. Wszystkie dane archiwizowane winny być identyfikowane, tj. zawierać takie informacje jak datę dokonania zapisu oraz identyfikator zapisanych w kopii danych.
  12. Nośniki z kopiami archiwalnymi powinny być zabezpieczone przed dostępem do nich osób nieupoważnionych, przed zniszczeniem czy kradzieżą.
  13. Nośniki informacji, kopie zapasowe, które nie są przeznaczone do udostępnienia, przechowuje się w warunkach uniemożliwiających dostęp do nich osobom niepowołanym.
  14. Kopie, które są już nieprzydatne, należy zniszczyć fizycznie lub stosując wymazywanie poprzez wielokrotny zapis nieistotnych informacji w obszarze zajmowanym przez dane kasowane.
  15. Zabrania się wynoszenia jakichkolwiek nagranych nośników zawierających dane osobowe z miejsca pracy.
  16. System informatyczny jest zabezpieczony przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawionego dostępu oraz przed działaniami inicjowanymi z sieci zewnętrznej.
  17. Aktualizacja bazy wirusów odbywa się poprzez automatyczne pobieranie bazy wirusów przez program antywirusowy.
  18. W przypadku wykrycia wirusa należy:
    1. uruchomić program antywirusowy i skontrolować użytkowany system,
    2. usunąć wirusa z systemu przy wykorzystaniu programu antywirusowego.

Jeżeli operacja usunięcia wirusa się nie powiedzie, należy:

    1. zakończyć pracę w systemie komputerowym,
    2. odłączyć zainfekowany komputer od sieci,
    3. powiadomić o zaistniałej sytuacji kierownictwo Firmy.
  1. Pracownicy mogą korzystać z poczty elektronicznej w celach służbowych oraz w celach prywatnych w zakresie ograniczonym swoimi obowiązkami.
  2. Firma może poznawać treść wiadomości elektronicznych wykorzystywanych przez pracowników znajdujących się we wszystkich jego systemach.
  3. Zabronione jest otwieranie wiadomości e-mail pochodzących od nieznanego nadawcy bądź z podejrzanym tytułem (tzw. phishing e-mail). W szczególności zabronione jest otwieranie linków bądź pobieranie plików zapisanych w komunikacji zewnętrznej od nieznanego nadawcy.
  4. Przeglądy kontrolne, serwis sprzętu i oprogramowania powinny być dokonywane przez firmy serwisowe, z którymi zostały zawarte umowy zawierające postanowienia zobowiązujące je do przestrzegania zasad poufności informacji uzyskanych w ramach wykonywanych zadań.
  5. Przy dokonywaniu serwisu należy przestrzegać następujących zasad:
    1. czynności serwisowe powinny być wykonywane w obecności osoby upoważnionej do przetwarzania danych,
    2. przed rozpoczęciem tych czynności dane i programy znajdujące się w systemie powinny zostać zabezpieczone przed ich zniszczeniem, skopiowaniem lub niewłaściwą zmianą,
    3. w przypadku prac serwisowych dokonywanych przez podmiot zewnętrzny, wymagających dostępu do danych osobowych, z podmiotem takim powinna zostać zawarte stosowna umowy powierzenia danych osobowych.

VII. Naruszenia zasad Polityki.

  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Firma dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
  2. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Firma zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
  3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o incydencie także osobę, której dane dotyczą.

VIII. Powierzenie przetwarzania danych osobowych

  1. Firma może powierzyć przetwarzanie danych osobowych innemu podmiotowi (“Procesor”) zawierając z nim umowę, zgodną z wymogami wskazanymi dla takich umów w RODO.
  2. Przed powierzeniem przetwarzania danych osobowych Firma w miarę możliwości uzyskuje informacje o dotychczasowych praktykach Procesora dotyczących zabezpieczenia danych osobowych.

IX. Państwa trzecie

  1. Firma nie będzie przekazywała danych osobowych do państwa trzeciego, poza sytuacjami, w których następuje to na wniosek osoby, której dane dotyczą.

X. Postanowienia końcowe

  1. Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie przepisów prawa.