Polityka Prywatności
ROZDZIAŁ 1 CEL WPROWADZENIA POLITYKI BEZPIECZEŃSTWA
Podanie danych osobowych, a także zgoda na ich przetwarzanie są całkowicie dobrowolne. Wszelkie przekazane dane osobowe są przetwarzane wyłącznie w zakresie i celu, na jaki wyrazili Państwo zgodę. W przypadku, gdy postanowią Państwo jednak nie podawać niezbędnych do realizacji zamówienia danych i nie wyrażą zgody na ich przetwarzanie, niestety nie będzie możliwe zrealizowanie Państwa zamówienia.
§ 1 1. Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przetwarzanych przez K&K Design Sp. z o.o. ul. Trakt Lubelski 265 N 04-667 Warszawa,
Nip.9522150571
Regon 365236470
KRS 0000633633
przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
2. Polityka określa zasady przetwarzania danych osobowych oraz ich zabezpieczania, jako zestaw praw, reguł i zaleceń, regulujących sposób ich zarządzania, ochrony i dystrybucji wewnątrz K&K Design Sp. z o.o. oraz w kontaktach z otoczeniem.
3. Polityka została opracowana zgodnie z wymogami określonymi w § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
4. Wszyscy pracownicy K&K Design Sp. z o.o., którzy przetwarzają dane osobowe mają obowiązek zapoznać się z zasadami ochrony danych opisanymi w tym dokumencie oraz je stosować.
5. Odpowiedzialność za kontrolę przestrzegania niniejszej procedury spoczywa na Zarządzie K&K Design Sp. z o.o. lub na osobie, którą Zarząd K&K Design Sp. z o.o. upoważni do tych wykonywania tych obowiązków w formie pisemnej.
6. Niniejsza Polityka podlega weryfikacji przez Administratora Bezpieczeństwa Informacji w trybie określonym w rozdziale 3 rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745). § 2 Użyte w niniejszej Polityce pojęcia są wspólne dla wszystkich dokumentów powiązanych z niniejszą Polityką oraz dla wszystkich pozostałych dokumentów, które zostały przyjęte przez K&K Design Sp. z o.o. w zakresie ochrony danych osobowych w Spółkę:
1) K&K Design Sp. z o.o.
2) Administrator Danych, ADO – rozumie się przez to K&K Design Sp. z o.o., zwaną Spółką, reprezentowaną przez Zarząd K&K Design Sp. z o.o.;
3) Administrator Bezpieczeństwa Informacji, ABI – osoba fizyczna powołana przez Administratora Danych, zgodnie z art. 36a ustawy o ochronie danych osobowych, odpowiedzialna za zapewnianie przestrzegania przepisów o ochronie danych osobowych oraz prowadzenie rejestru zbiorów danych przetwarzanych przez ADO; ilekroć w niniejszej Polityce mowa jest o Administratorze Bezpieczeństwa Informacji, rozumie się przez to osobę powołaną na tę funkcję lub na funkcję Zastępcy ABI; 4) Administrator Systemu Informatycznego, ASI – wyznaczone osoby, w tym także przedstawiciele podmiotów zewnętrznych z którymi podpisano stosowne umowy o współpracy, odpowiedzialni za funkcjonowanie infrastruktury informatycznej, na którą składa się cały sprzęt informatyczny oraz systemy i aplikacje informatyczne, jak również za ich przeglądy, konserwację oraz za stosowanie technicznych i organizacyjnych środków bezpieczeństwa w systemach informatycznych;
5) bezpieczeństwo przetwarzania danych osobowych – zachowanie poufności, integralności i rozliczalności danych osobowych; dodatkowo, mogą być brane pod uwagę inne własności, takie jak dostępność, autentyczność, niezaprzeczalność i niezawodność;
6) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na jeden lub kilka specyficznych czynników ją określających;
7) GIODO – Generalny Inspektor Ochrony Danych Osobowych;
8) integralność danych – właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
9) kierownik jednostki organizacyjnej – osoba uprawniona i zobowiązana do kierowania jednostką organizacyjną wyodrębnioną w strukturze organizacyjnej K&K Design Sp. z o. o. (pion, biuro, dział, zespół);
10) naruszenie ochrony danych osobowych – zamierzone lub przypadkowe naruszenie środków technicznych i organizacyjnych zastosowanych w celu ochrony danych osobowych;
11) pracownik – ilekroć w niniejszym dokumencie lub Instrukcji Zarządzania Systemami Informatycznymi jest mowa o pracowniku, rozumie się przez to osobę zatrudnioną na umowę o pracę lub też - odpowiednio - świadczącą na rzecz K&K Design Sp. z o. o. czynności na podstawie umowy zlecenia;
12) przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
13) Ustawa, uodo – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 z późn. zm.);
14) Rozporządzenie, ruodo – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024);
15) rrzd - rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r. poz. 719);
16) rabi - rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745);
17) rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
18) system informatyczny – zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
19) użytkownik systemu – osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym, która posiada ustalony identyfikator i hasło;
20) zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie;
21) zbiór nieinformatyczny – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, prowadzony poza systemem informatycznym, w szczególności w formie kartoteki, skorowidza, księgi, wykazu lub innego zbioru ewidencyjnego.
ROZDZIAŁ 2 ROLA ADMINISTRATORA DANYCH § 3
Administrator Danych zobowiązuje się do podjęcia odpowiednich kroków, mających na celu zapewnienie prawidłowej ochrony danych osobowych, w szczególności do zapewnienia, że przez cały okres ich przetwarzania, dane będą:
1) przetwarzane zgodnie z prawem;
2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami;
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu, w jakim dane zostały pozyskane;
5) zabezpieczone środkami technicznymi i organizacyjnymi, które zapewniają rozliczalność, integralność oraz poufność danych;
6) przetwarzane w systemach informatycznych ADO, w których stosuje się wysoki poziom bezpieczeństwa w rozumieniu § 6 ust. 4 ruodo. § 4 Administrator Bezpieczeństwa Informacji aktualizuje niniejszą Politykę oraz dokumenty z nią powiązane wraz ze zmieniającymi się przepisami prawa dotyczącymi ochrony danych osobowych oraz zmianami faktycznymi w ramach oraz poza ADO, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne. § 5 1. Administrator Danych jest odpowiedzialny za przetwarzanie i ochronę danych osobowych zgodnie z przepisami prawa, w tym wprowadzenie do stosowania Instrukcji Zarządzania Systemami Informatycznymi oraz innych procedur postępowania zapewniających prawidłowe przetwarzanie danych osobowych, rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
2. ADO jest odpowiedzialny za nadawanie, zmienianie oraz cofanie upoważnień do przetwarzania danych osobowych.
3. ADO powołuje Administratora Bezpieczeństwa Informacji oraz, w razie potrzeby, Zastępcę lub Zastępców Administratora Bezpieczeństwa Informacji zgodnie z wzorem określonym w Załączniku nr 12.
4. ADO jest zobowiązany zgłosić do rejestracji GIODO powołanie i odwołanie Administratora Bezpieczeństwa Informacji w terminie 30 dni od dnia powołania lub odwołania. 5. Funkcję ABI oraz Zastępcy ABI może pełnić osoba, która:
1) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
2) posiada pełną zdolność do czynności prawnych;
3) korzysta z pełni praw publicznych;
4) nie była karana za umyślne przestępstwo.
6. Sposób udokumentowania wymagań określonych w ust. 5 powyżej ustala ADO.
7. ADO jest zobowiązany zgłosić GIODO zmianę informacji objętych zgłoszeniem ABI w terminie 14 dni od dnia wystąpienia zmiany.
8. ADO może odwołać ABI. W takim przypadku ADO jest zobowiązany w ciągu 30 dni poinformować o tym fakcie GIODO oraz wskazać przyczynę odwołania.
ROZDZIAŁ 3 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI
§ 6 Do obowiązków Administratora Bezpieczeństwa Informacji należy:
1) określenie zasad, procedur i instrukcji ochrony danych osobowych;
2) wnioskowanie do ADO o ukaranie osób winnych naruszenia przepisów i zasad dotyczących ochrony danych osobowych;
3) prowadzenie sprawdzeń stanu ochrony danych osobowych u ADO (planowych, doraźnych oraz na żądanie GIODO), w trybie określonym w przepisach Ustawy oraz rabi;
4) nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu ochrony przetwarzanych danych osobowych;
5) opiniowanie umów pod kątem uregulowań normujących dostęp do danych osobowych jak również ich udostępniania innym podmiotom;
6) opiniowanie wniosków wpływających do ADO o udostępnianie danych osobowych w zakresie dopuszczalności udostępnienia i zakresu udostępnianych danych;
7) nadzór nad zapewnieniem dostosowania funkcjonalności systemów przetwarzających dane osobowe do wymagań określonych w ruodo;
8) prowadzenie dokumentacji opisującej zastosowaną ochronę danych osobowych (niniejsza Polityka, Instrukcja Zarządzania Systemami Informatycznymi i wynikające z nich procedury) oraz nadzór nad zapewnieniem jej publikacji i dystrybucji;
9) zapoznawanie pracowników z przepisami i zasadami ochrony danych osobowych oraz informowanie o zagrożeniach związanych z ich przetwarzaniem, a także dokumentowanie tego faktu;
10) reprezentowanie ADO w kontaktach z Biurem GIODO, w szczególności poprzez wykonywanie sprawdzenia określonego w art. 19b ust. 1 Ustawy;
11) przygotowywanie zgłoszeń zbiorów danych wrażliwych do rejestracji w Biurze GIODO;
12) prowadzenie rejestru zbiorów danych;
13) reagowanie na zgłaszane incydenty związane z naruszeniem ochrony danych osobowych oraz analizowanie ich przyczyn i składanie rekomendacji do ADO dotyczących ukarania winnych naruszeń;
14) sprawdzanie wypełnienia obowiązków technicznych i organizacyjnych związanych z ochroną danych osobowych;
15) prowadzenie dokumentacji związanej z ochroną danych osobowych, zawierającej:
a) rejestr zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 Ustawy, którego wzór stanowi Załącznik nr 11 do niniejszej Polityki. Rejestr może być prowadzony w postaci papierowej lub elektronicznej zgodnie z rrzd,
b) ewidencję zbiorów danych osobowych,
c) wykaz obszarów przetwarzania danych osobowych,
d) dokumenty ze sprawdzeń, audytów i przeglądów bezpieczeństwa,
e) oryginały i kopie dokumentów dotyczących ochrony danych osobowych, w szczególności uchwały Zarządu K&K Design Sp. z o. o., politykę bezpieczeństwa, instrukcję zarządzania systemami informatycznymi oraz inne niezbędne regulaminy i procedury,
f) programy szkoleń, listę przeszkolonych osób,
g) kopie wniosków o rejestrację zbiorów,
h) raport z wypełnienia obowiązku informacyjnego (kopie wniosków, pism z klauzulami informacyjnymi).
§ 7 Administrator Bezpieczeństwa Informacji w zakresie realizacji swoich obowiązków, ma prawo żądania od pracowników i innych osób świadczących usługi na rzecz ADO, bez względu na rangę ich stanowiska, udzielania natychmiastowej pomocy przy ustalaniu czy doszło do naruszenia przepisów o ochronie danych osobowych, które może skutkować postawieniem ADO albo członkom Zarządu Spółki zarzutu popełnienia jednego z przestępstw, wskazanych w Rozdziale 8 Ustawy. Administrator Bezpieczeństwa Informacji, w zakresie realizacji swoich obowiązków, podlega bezpośrednio Administratorowi Danych.
§ 8 Administrator Bezpieczeństwa Informacji, zgodnie z zasadami określonymi w rozdziale 2 rabi, tworzy plan kontroli planowych w perspektywie 12 miesięcy, uwzględniając fakt, że zgodnie z § 3 ust. 6 ww. rozporządzenia zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat. Wzór planu sprawdzeń stanowi Załącznik nr 10 do niniejszej Polityki. Zakres, sposób przeprowadzenia kontroli oraz sposób dokumentowania ustaleń kontrolnych ustalany jest przez ABI. Po zakończeniu kontroli ABI sporządza sprawozdanie pokontrolne, a następnie nadzoruje i dokumentuje wdrożenie zawartych w sprawozdaniu pokontrolnym zaleceń. Sprawozdanie powinno zawierać:
1) pełną nazwę Administratora Danych i adres jego siedziby;
2) imię i nazwisko ABI;
3) wykaz czynności podjętych przez ABI w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
4) datę rozpoczęcia i zakończenia sprawdzenia;
5) określenie przedmiotu i zakresu sprawdzenia;
6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
8) wyszczególnienie załączników stanowiących składową część sprawozdania;
9) podpis ABI, a w przypadku sprawozdania w postaci papierowej dodatkowo parafy ABI na każdej stronie sprawozdania;
10) datę i miejsce podpisania sprawozdania przez ABI. § 9 W przypadku utraty wymogów niezbędnych do sprawowania roli Administratora Bezpieczeństwa Informacji, ABI ma obowiązek niezwłocznie poinformować o tym ADO.
ROZDZIAŁ 4 SANKCJE ZA NARUSZENIE OCHRONY DANYCH OSOBOWYCH § 10
Naruszenie ochrony danych osobowych przez pracownika, może skutkować postawieniem mu zarzutu popełnienia jednego z przestępstw określonych w rozdziale 8 Ustawy lub przestępstwa określonego w art. 266 Kodeksu karnego. W takim przypadku zgodnie z przepisem art. 66 Kodeksu pracy umowa o pracę z pracownikiem tymczasowo aresztowanym wygasa z upływem 3 miesięcy nieobecności pracownika w pracy z powodu tymczasowego aresztowania, chyba że ADO rozwiąże wcześniej bez wypowiedzenia umowę o pracę z winy pracownika.
§ 11 Zgodnie z art. 100 § 2 pkt 5 Kodeksu Pracy, pracownik jest obowiązany przestrzegać tajemnicy określonej w odrębnych przepisach. Dane osobowe, którym ADO nadaje charakter poufny mają charakter takiej tajemnicy, a jej ujawnienie w zależności od zakresu ujawnionych danych osobowych oraz nastawienia pracownika dopuszczającego się nieuprawnionego ujawnienia danych, może mieć charakter naruszenia lub ciężkiego naruszenia obowiązków pracowniczych, o którym mowa w § 59 Regulaminu Pracy K&K Design Sp. z o. o.
§ 12 Pracownik dopuszczający się nieuprawnionego ujawnienia lub wykorzystania danych osobowych w sposób sprzeczny z ich przeznaczeniem (np. wykorzystania danych osobowych do celów prywatnych) czy też ich przetwarzania w sposób niezgodny z przyjętymi w K&K Design Sp. z o. o. procedurami może zostać ukarany karą upomnienia lub karą nagany.
§ 13 Zgodnie z art. 52 § 1 Kodeksu Pracy, K&K Design Sp. z o. o, jako pracodawca, może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych. Naruszeniem takim jest nieprzestrzeganie obowiązku zachowania danych osobowych w tajemnicy lub przetwarzania ich w sposób rażąco sprzeczny z przyjętymi w K&K Design Sp. z o. o. zasadami i procedurami.
§ 14 Sankcje dotyczące ujawnienia poufnych danych osobowych stosuje się analogicznie do ujawnienia przez pracownika informacji dotyczących zabezpieczenia danych osobowych u ADO.
ROZDZIAŁ 5 OBOWIĄZEK INFORMACYJNY ORAZ SZKOLENIA § 15
1. Pracownicy zbierający dane osobowe, w szczególności na formularzach, umowach, drukach (zarówno papierowych jak i elektronicznych) odpowiadają za umieszczenie na nich klauzuli informującej o przetwarzaniu danych osobowych.
2. Treść klauzuli podlega uzgodnieniu z ABI.
§ 16 1. Przed rozpoczęciem przetwarzania danych osobowych pracownik powinien zostać przeszkolony. Zakres szkolenia powinien obejmować zaznajomienie pracownika z przepisami o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi i instrukcjami obowiązującymi u ADO. 2. Za przeprowadzenie szkolenia odpowiada ABI.
3. Szkolenia, w celu zapewnienia odpowiedniego poziomu wiedzy z zakresu ochrony danych osobowych, powinny być powtarzane okresowo lub na żądanie kierowników pionów, biur, działów i zespołów, wyodrębnionych w strukturze organizacyjnej K&K Design Sp. z o. o., gdy zaistnieje taka potrzeba. 4. Szczegółowy zakres szkolenia ustala ABI.
ROZDZIAŁ 6 DOPUSZCZENIE OSÓB DO PRZETWARZANIA DANYCH OSOBOWYCH § 17
1. Przetwarzanie danych osobowych jest możliwe wyłącznie po uzyskaniu przez pracownika formalnego upoważnienia do przetwarzania danych osobowych, wystawionego przez ADO lub osobę przez niego upoważnioną. W tym celu przełożony pracownika przed dopuszczeniem do przetwarzania danych osobowych:
1) wnioskuje do ABI o zaznajomienie pracownika z przepisami dotyczącymi ochrony danych osobowych oraz uregulowaniami wewnętrznymi obowiązującymi w tym zakresie u ADO;
2) przyjmuje od pracownika podpisane „Oświadczenie pracownika zatrudnionego przy przetwarzaniu danych osobowych w zbiorach danych przetwarzanych przez K&K Design Sp. z o. o., którego wzór stanowi Załącznik nr 1 niniejszej Polityki;
3) wnioskuje do ADO, korzystając ze wzoru stanowiącego Załącznik nr 2 do niniejszej Polityki, o formalne upoważnienie do przetwarzania danych osobowych, sporządzane wg wzoru stanowiącego Załącznik nr 3 niniejszej Polityki. 3. Na podstawie nadanego przez ADO upoważnienia do przetwarzania danych osobowych, osoba wyznaczona przez ADO umieszcza odpowiednie zapisy w ewidencji osób upoważnionych, której wzór stanowi Załącznik nr 4 do niniejszej Polityki.
§ 18 Oświadczenia i upoważnienia, o których mowa w § 17, przechowuje się wraz z dokumentacją pracowniczą lub w aktach dotyczących zawarcia i wykonania umowy zlecenia lub o dzieło ze współpracownikami.
§ 19 Zasady analogiczne do opisanych w paragrafach 17 i 18 stosuje się w odniesieniu do osób nie będących pracownikami ADO, które upoważnia się do przetwarzania danych osobowych.
ROZDZIAŁ 7 WYMIANA INFORMACJI DOTYCZĄCYCH DANYCH OSOBOWYCH § 20
Pracownicy K&K Design Sp. z o. o., w celu ochrony wymienianych informacji dotyczących danych osobowych, bezwzględnie przestrzegają postanowienia Instrukcji Zarządzania Systemami Informatycznymi, niniejszej Polityki Bezpieczeństwa oraz pozostałych procedur obowiązujących w Spółce.
ROZDZIAŁ 8 ZBIORY DANYCH OSOBOWYCH § 21
Wykaz zbiorów danych osobowych w postaci dokumentacji papierowej i elektronicznej zawierającej dane osobowe wraz ze wskazaniem programów służących do ich przetwarzania opisano w Załączniku nr 5 do niniejszej Polityki.
§ 22 Opis struktury zbiorów danych osobowych przedstawiono w Załączniku nr 6 do niniejszej Polityki.
§ 23 Szczegółowe rozmieszczenie zbiorów dokumentacji papierowej i elektronicznej zawierającej dane osobowe opisano w Załączniku nr 7 do niniejszej Polityki
§ 24 Sposób przepływu danych osobowych między systemami, w których przetwarzane są dane osobowe przedstawiono w Załączniku nr 8 do niniejszej Polityki.
ROZDZIAŁ 9 ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DO ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH § 25
Zabezpieczenia organizacyjne: 1) opracowano i wdrożono Politykę Bezpieczeństwa;
2) opracowano i wdrożono Instrukcję Zarządzania Systemem Informatycznym;
3) do przetwarzania danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienia nadane przez ADO lub osobę przez niego upoważnioną;
4) prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych;
5) osoby zatrudnione przy przetwarzaniu danych osobowych zaznajomiono z przepisami dotyczącymi ochrony tych danych oraz z zasadami zabezpieczeń systemu informatycznego;
6) osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązano do zachowania ich w tajemnicy;
7) przetwarzanie danych osobowych prowadzone jest w warunkach zabezpieczających je przed dostępem osób niepowołanych poprzez zastosowanie kluczy;
8) stosuje się pisemne umowy powierzenia przetwarzania danych osobowych przy współpracy z podmiotami przetwarzającymi dane osobowe, których administratorem jest K&K Design Sp. z o. o. § 26 W celu ochrony danych osobowych stosuje się następujące zabezpieczenia fizyczne: 1) serwer znajduje się w zabezpieczonym pomieszczeniu; 2) dostęp do serwerowni posiadają wyłącznie upoważnione osoby; 3) dostęp do pomieszczeń, w których odbywa się przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego, przechowywane są kopie zapasowe zbiorów danych osobowych oraz programów służących do ich przetwarzania, jest zabezpieczony przed osobami postronnymi; 4) obszary przetwarzania danych zabezpieczono przez pożarem.
§ 27 Zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej: 1) wykorzystuje się zaporę sieciową w celu separacji sieci lokalnej od sieci publicznej; 2) zasilanie urządzeń na których przetwarzane są dane osobowe odbywa się poprzez dedykowaną sieć elektryczną; 3) wymaga się podania nazwy użytkownika i hasła w celu korzystania z zasobów sieci wewnętrznej; 4) stosuje się zabezpieczenie oprogramowaniem antywirusowym, by zminimalizować ryzyko ingerencji przez złośliwe oprogramowanie w systemy informatyczne i dane osobowe;
ROZDZIAŁ 10 POSTĘPOWANIE W PRZYPADKU NARUSZENIA LUB PODEJRZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH § 28
Poniższe postanowienia mają zastosowanie zarówno w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych przetwarzanych w systemach informatycznych, jak i w zbiorach nieinformatycznych.
§ 29 Przed przystąpieniem do pracy pracownicy dokonują sprawdzenia stanu urządzeń informatycznych oraz oględzin swojego stanowiska pracy. Pracownicy zwracają szczególną uwagę, czy nie zaszły okoliczności wskazujące na naruszenie lub próby naruszenia ochrony danych osobowych.
§ 30 Za okoliczności, które uznaje się za naruszenie lub podejrzenie naruszenia ochrony systemu przetwarzającego dane osobowe, uważa się w szczególności:
1) nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują;
2) nieuprawnione naruszenie lub próby naruszenia poufności, integralności i rozliczalności danych i systemu;
3) niezamierzoną zmianę lub utratę danych zapisanych na kopiach zapasowych;
4) nieuprawniony dostęp do danych osobowych (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu);
5) udostępnienie osobom nieupoważnionym danych osobowych;
6) inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy;
7) wydarzenia losowe, obniżające poziom ochrony systemu (np. brak zasilania lub pożar);
8) kradzież sprzętu informatycznego lub nośników zewnętrznych zawierających dane osobowe (np. wydruków komputerowych, dyskietek, płyt CD-ROM, dysków twardych, pamięci zewnętrznych, itp.).
§ 31 W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenie ochrony danych osobowych pracownik bezzwłocznie powiadamia o tym fakcie Administratora Bezpieczeństwa Informacji oraz bezpośredniego przełożonego.
§ 32 Do czasu przybycia osoby wyznaczonej przez ADO do zbadania sprawy, zgłaszający:
1) powstrzymuje się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów;
2) zabezpiecza elementy systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osobom nieupoważnionym;
3) podejmuje, stosownie do zaistniałej sytuacji, wszelkie niezbędne działania celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych;
4) wykonuje polecenia Administratora Bezpieczeństwa Informacji, Administratora Systemu Informatycznego lub bezpośredniego przełożonego.
§ 33 W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych osoba wyznaczona przez ADO do zbadania sprawy, z pomocą Administratora Systemu Informatycznego, po przybyciu na miejsce:
1) ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan pomieszczeń, w których przetwarzane są dane osobowe oraz stan urządzeń, a także szacuje wielkość negatywnych następstw incydentu;
2) wysłuchuje relacji osoby, która dokonała powiadomienia oraz innych osób związanych z incydentem;
3) podejmuje decyzje o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych.
§ 34 Osoba dokonująca czynności, o których mowa w par. 33, sporządza raport z przebiegu zdarzenia, w którym powinny się znaleźć w szczególności informacje o:
1) dacie i godzinie powiadomienia;
2) godzinie pojawienia się w pomieszczeniach, w których przetwarzane są dane;
3) sytuacji, jaką zastała;
4) podjętych działaniach i ich uzasadnieniu;
5) stanie systemu informatycznego po podjęciu działań naprawczych – jeżeli zdarzenie dotyczy systemu informatycznego;
6) wnioskach w sprawie ograniczenia możliwości ponownego wystąpienia naruszenia ochrony danych osobowych.
§ 35 W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik może kontynuować pracę dopiero po otrzymaniu pozwolenia od osoby wyznaczonej przez ADO do zbadania sprawy lub Administratora Bezpieczeństwa Informacji lub Administratora Systemu Informatycznego lub bezpośredniego przełożonego.
§ 36 W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej u ADO dyscypliny pracy, Administrator Bezpieczeństwa Informacji wyjaśnia wszystkie okoliczności incydentu i rekomenduje ADO stosowne działania wobec osób, które dopuściły się wskazanego naruszenia.
§ 37 Po zakończeniu czynności naprawczych poziom ochrony danych powinien być nie niższy niż przed wystąpieniem incydentu związanego z jego naruszeniem.
ROZDZIAŁ 11 ZASADY OCHRONY DANYCH OSOBOWYCH W ZBIORACH NIEINFORMATYCZNYCH § 38
Zbiory nieinformatyczne są odpowiednio zabezpieczone przed nieuprawnionym dostępem i zniszczeniem.
§ 39 Dokumenty i wydruki, zawierające dane osobowe, przechowuje się w zamykanych pomieszczeniach, do których dostęp mają jedynie uprawnione osoby.
§ 40 Wydruki robocze, błędne lub zdezaktualizowane są niezwłocznie niszczone przy użyciu urządzeń spełniających co najmniej normę DIN 66399 – P4.
ROZDZIAŁ 12 POSTANOWIENIA KOŃCOWE § 41
Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce skutkujące ciężkim naruszeniem obowiązków pracowniczych, może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia.
§ 42 W przypadku powierzenia przetwarzania danych osobowych innemu podmiotowi należy podpisać umowę powierzenia, której wzór stanowi Załącznik nr 9 do niniejszej Polityki.
§ 43 W sprawach nieuregulowanych w Polityce mają zastosowanie powszechnie obowiązujące przepisy prawa.