REGULAMIN

 przechowywania i ochrony danych osobowych w PROBLIND Augustyniakowie Sp. Jawna

Właściciel/Wspólnicy/Zarząd świadomy wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych powierzających swoje dane osobowe do właściwej i skutecznej ochrony tych danych deklarują:

*   zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych,

*   zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe,

*   zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby,

*   zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych.

Zarządzanie bezpieczeństwem zasobów danych osobowych stanowi proces ciągły, na który składają się takie elementy, jak: identyfikacja oraz analiza zagrożeń i ryzyka, stosowanie odpowiednich zabezpieczeń, monitorowanie wdrażania i eksploatacji zabezpieczeń, wykrywanie i reagowanie na incydenty. Pracownicy są odpowiedzialni za bezpieczeństwo danych, do których mają dostęp. W szczególności w systemach informatycznych odpowiadają oni za poprawne wprowadzanie informacji do tych systemów oraz za użycie, zniszczenie lub uszkodzenie sprzętu oraz znajdujących sie na nim danych i oprogramowania.

ROZDZIAŁ I

Postanowienia ogólne

§ 1

1.    Regulamin przechowywania i ochrony danych osobowych w PROBLIND Augustyniakowie Sp. Jawna (zwany dalej „Administrator”)  jest polityką bezpieczeństwa informacji - zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich tworzonych i posiadanych zbiorach danych osobowych.

2.    Przetwarzane są informacje stanowiące dane osobowe w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku.

3.    Administrator przetwarza dane osobowe znajdujące się w administrowanych zbiorach w określonych celach i w określonym zakresie stosując następujące podstawowe zasady:

       a/   są one przetwarzane zgodnie z prawem,

       b/   są one zbierane w prawnie uzasadnionych celach (zawarcie i wykonanie umowy, realizacja obowiązków ustawowych),

       c/   są one przetwarzane w sposób zapewniający ich bezpieczeństwo.

4.    Regulamin przechowywania i ochrony danych osobowych zawiera między innymi:

a)    wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe, stanowiący załącznik Nr 1 do niniejszego regulaminu,

b)    wykaz zbiorów danych osobowych przetwarzanych elektronicznie lub w inny sposób, stanowiący załącznik Nr 2 do niniejszego regulaminu,

c)    opis struktury zbiorów danych osobowych przetwarzanych w systemach informatycznych oraz sposób przepływu danych pomiędzy systemami informatycznymi, stanowiący załącznik Nr 3 do niniejszego regulaminu,

§ 2

Przez użyte w treści Regulaminu sformułowania należy rozumieć:

1.    Ustawa - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

2.    Dane osobowe - zestaw informacji pozwalających na jednoznaczną identyfikację konkretnej osoby w konkretnym środowisku.

3.    Zbiór danych osobowych - dane osobowe zgromadzone w usystematyzowany sposób, pozwalający na łatwe dotarcie do konkretnej informacji.

4.    Przetwarzanie danych - wszystkie czynności wykonywane na danych, w tym szczególnie gromadzenie, utrwalanie, modyfikacja, usuwanie, przechowywanie, przenoszenie i przekazywanie, niezależnie od formy, w jakiej wykonywane są te czynności.

5.    Administrator Danych Osobowych - podmiot zajmujący się przetwarzaniem danych osobowych.

6.    Administrator Systemu Informatycznego - osoba wyznaczana przez Administratora odpowiedzialna za przestrzeganie zasad ochrony danych osobowych w systemie informatycznym i nadzorująca przetwarzanie danych osobowych w systemie informatycznym.

7.    System informatyczny - zespół środków technicznych (urządzenia: komputerowe, drukujące, łączności, wraz z okablowaniem i oprogramowaniem), zespół zabezpieczeń środków technicznych, użytkownicy tych urządzeń i programów, a także sieć informatyczna i udostępniane przez nią zasoby.

8.    Osoby zatrudnione przy przetwarzaniu danych osobowych - wszystkie osoby, w tym użytkownicy systemu informatycznego, mające z racji wykonywanych obowiązków dostęp do danych osobowych. Użytkownik systemu jest osobą upoważnioną do przetwarzania danych osobowych w systemie. Użytkownikiem może być osoba zatrudniona a także osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej.

9.    Poufność - zapewnienie dostępu do informacji wyłącznie osobom upoważnionym.

10.  Integralność - spójność danych, zapewnienie, że dane nie zostaną zmienione, dodane lub usunięte w nieautoryzowany sposób..

11.  Dostępność - zapewnienie, że osoby upoważnione będą miały dostęp do informacji tylko wtedy, gdy jest to uzasadnione.

ROZDZIAŁ II

Podstawy systemu bezpieczeństwa danych osobowych w Spółce

§ 3

1.    Administrator ma obowiązek zastosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2.    Administrator określa zakres przetwarzanych danych osobowych w wydawanych zarządzeniach, regulaminach lub w indywidualnych umowach z podmiotami zewnętrznymi, którym zlecono przetwarzanie danych osobowych.

§ 4

1.    Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby wpisane do ewidencji prowadzonej przez Administratora (Użytkownicy systemu).

2.    Osoby zatrudnione przy przetwarzaniu danych osobowych są zobowiązane do przechowywania danych osobowych we właściwych zbiorach, nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania.

3.    Osoby zatrudnione przy przetwarzaniu danych osobowych przy wykorzystaniu systemów informatycznych są zobowiązane do postępowania zgodnie z "Instrukcją zarządzania informatycznym systemem przetwarzania danych osobowych" stanowiącą załącznik Nr ... do niniejszego regulaminu.

 

§ 5

1.    Osoby zatrudnione przy przetwarzaniu danych są zobowiązane powiadomić Administratora o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych w każdym zbiorze danych lub systemie.

2.    Rejestracji podlegają wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy.

3.    W przypadku, gdy zachodzi konieczność naprawy sprzętu poza siedzibą, należy wymontować z niego nośniki informacji zawierające dane osobowe.

4.    W przypadku, gdy uszkodzenie sprzętu zawierającego nośnik danych, na którym zapisane są dane osobowe wymusza konieczność przekazania go poza siedzibę, nośnik ten należy wymontować.

5.    Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych.

§ 6

Procedura postępowania w przypadku naruszenia ochrony danych osobowych jest następująca:

1)    Każdy pracownik, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to Administratorowi.

2)    W razie braku możliwości zawiadomienia Administratora lub osoby przez niego upoważnionej, należy zawiadomić bezpośredniego przełożonego

3)    Do czasu przybycia na miejsce Administratora należy:

4)    Niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony (o ile to jest możliwe),

5)    Ustalić przyczynę i sprawcę naruszenia ochrony,

6)    Rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, na ile to możliwe należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia ochrony i udokumentowanie zdarzenia podjąć stosowne działania, jeśli zaistniały przypadek został przewidziany w dokumentacji systemu operacyjnego, bazy danych, czy Regulaminie aplikacji użytkowej,

7)    Nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora.

8)    Po przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych Administrator podejmuje następujące kroki:

-    zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy,

-    może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem,

-    nawiązuje kontakt ze specjalistami spoza, jeśli zachodzi taka potrzeba.

9)    Administrator dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport, który zawiera następujące informacje:

-    wskazanie osoby zawiadamiającej o naruszeniu, oraz innych osób zaangażowanych w wyjaśnienie okoliczności naruszenia bezpieczeństwa,

-    określenie czasu i miejsca zawiadomienia o naruszeniu bezpieczeństwa, jak i samego naruszenia (o ile da się ustalić),

-    określenie okoliczności towarzyszących i rodzaju naruszenia,

-    opis podjętego działania wraz z wyjaśnieniem wyboru sposobu działania,

-    wstępną ocenę przyczyn wystąpienia naruszenia bezpieczeństwa,

-    ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego

10)  Administrator zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń, oraz terminu wznowienia przetwarzania danych osobowych).

§ 7

W zbiorach danych zabrania się przetwarzania w danych osobowych informacji ujawniających:

a)    stan zdrowia

b)    pochodzenie rasowe lub etniczne,

c)    poglądy polityczne,

d)    przekonania religijne lub filozoficzne,

e)    przynależność wyznaniową,

f)    przynależność partyjną lub związkową,

g)    kod genetyczny,

h)    nałogi,

i)     preferencje seksualne,

chyba, że wymagają tego obowiązujące przepisy prawa lub osoba, której powyższe dane dotyczą wyraziła pisemną zgodę.

§ 8

Zabronione jest przez pracowników:

1.    Przetwarzanie w zbiorze danych osobowych:

a)    do których przetwarzania nie jest dany pracownik upoważniony,

b)    których przetwarzanie jest zabronione,

c)    niezgodnych z celem stworzenia zbioru danych,

2.    Udostępnianie lub umożliwianie dostępu do danych osobowych osobom nieupoważnionym.

3.    Niezgłaszanie Administratorowi zbiorów danych podlegających rejestracji,

4.    Niedopełnianie obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach,

5.    Uniemożliwianie osobie, której dane dotyczą, korzystania z przysługujących jej praw.

6.    Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne.

7.    Administrator zobowiązany jest prowadzić ewidencje osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych.

ROZDZIAŁ III

Gromadzenie danych osobowych

§ 9

Dane osobowe mogą być uzyskiwane:

1.    Bezpośrednio od osób, których te dane dotyczą.

2.    Z innych źródeł, w granicach dozwolonych przepisami prawa.

§ 10

1.    Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą.

2.    W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać zmiany tych danych osobowych w sposób zapewniający anonimowość osób, których dane te dotyczą.

ROZDZIAŁ IV

Obowiązek informacyjny

§ 11

1.    Osoby, które zbierają i przetwarzają dane osobowe, są odpowiedzialni za poinformowanie osób, których dane przetwarzają o:

a)    adresie siedziby pod którym dane są zbierane i przetwarzane,

b)    celu zbierania danych, dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej,

c)    prawie wglądu do treści swoich danych oraz możliwości ich poprawiania.

2.    W przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osobę tę należy poinformować ponadto o:

a)    źródle danych,

b)    uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy.

§ 12

1.    Materiały mogą być wysyłane tylko do tych osób, które wcześniej wyraziły zgodę na piśmie na przetwarzanie ich danych osobowych w tym celu.

2.    Kandydaci do pracy w procesie rekrutacji muszą podpisać pisemną zgodę na przetwarzanie ich danych osobowych lub umieścić i podpisać w składanych dokumentach odpowiednią klauzulę zezwalającą na przetwarzanie swoich danych osobowych.

3.    Dokumenty złożone w celu określonym w ust. 2 są przechowywane w komórce organizacyjnej, która przetwarza te dane.

ROZDZIAŁ V

Udzielanie informacji o przetwarzaniu danych osobowych

§ 13

1.    Osobom, których dane przetwarza się w zbiorze danych, przysługuje zgodnie z ustawą prawo kontroli ich danych osobowych, a w szczególności prawo do uzyskania wyczerpujących informacji na temat tych danych.

2.    Każda osoba, która wystąpi z wnioskiem o otrzymanie informacji, musi otrzymać odpowiedź na piśmie w terminie nieprzekraczającym 10 dni od daty wpłynięcia wniosku.

§ 14

W przypadku, gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy, albo są zbędne do realizacji celu, dla którego zostały zebrane, Administrator jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.

ROZDZIAŁ VI

Rejestracja zbiorów danych osobowych

§ 15

Zbiory, służące prowadzeniu normalnej działalności gospodarczej (np. zawarciu i wykonaniu umowy lub wykonaniu obowiązków ustawowych) nie podlegają rejestracji.

 

ROZDZIAŁ VII

Ochrona przetwarzania danych osobowych

§ 16

1.    Dostęp do budynków i pomieszczeń, w których przetwarzane są dane osobowe podlega kontroli.

2.    Kontrola dostępu polegać może w szczególności na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń. W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia / budynku oraz godzinę pobrania lub zdania klucza.

3.    Klucze do budynków i/lub pomieszczeń, w których przetwarzane są dane osobowe wydawane być mogą wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom upoważnionym do dostępu do tych budynków lub poszczególnych pomieszczeń.

4.    Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych może wprowadzać inne formy monitorowania dostępu do obszarów przetwarzania danych osobowych.

5.    Szczegółowe zasady kontroli dostępu do poszczególnych obszarów (budynków, pomieszczeń), w których przetwarzane są dane osobowe określane są przez Administratora.

6.    Dodatkowe środki techniczne i organizacyjne oraz przedsięwzięcia niezbędne do zapewnienia poufności, integralności przetwarzanych danych osobowych są następujące:

a)    środki ochrony fizycznej - urządzenia służące do przetwarzania danych osobowych znajdują się wyłącznie w pomieszczeniach zabezpieczonych zamkami,

b)    dostęp do pokoi jest kontrolowany za pomocą wydawania kluczy tylko osobom uprawnionym,

c)    stosuje się szafę stalową zamykaną do przechowywania nośników z kopiami zapasowymi zawierających dane osobowe,

d)    dostęp do pomieszczenia, w którym znajdują się urządzenia serwerowe ma tylko Administrator oraz Administrator Systemu Informatycznego,

e)    środki sprzętowe, informatyczne i telekomunikacyjne - niszczarki dokumentów, urządzenia wchodzące w skład infrastruktury sieciowej, serwera oraz komputery, na których przetwarzane są dane osobowe podłączone są do lokalnych awaryjnych zasilaczy UPS, zabezpieczających przed skokami napięcia i zanikiem zasilania,

f)     sieć lokalna podłączona jest do internetu poprzez router spełniający jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną,

g)    kopie zapasowe wykonywane są raz w miesiącu na nośnikach cyfrowych.

7.    Stosowane są następujące środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych oraz środki ochrony w ramach systemu użytkowego.

a)    identyfikator i hasło dostępu do danych na poziomie aplikacji - dla każdego użytkownika systemu wyznaczony jest odrębny identyfikator, użytkownicy mają dostęp do aplikacji umożliwiający dostęp tylko do tych danych osobowych, do których mają uprawnienia.

b)    komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem uruchomieniowym, stosowane jest wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika, stosowana jest blokada hasłem podczas dłuższej nieaktywności użytkownika.

§ 17

1.    Administrator zobowiązany jest do wydawania, ewidencjonowania i przechowywania imiennych upoważnień do przetwarzania danych osobowych oraz cofniętych upoważnień. Upoważnienie może zostać wydane na czas określony lub do odwołania. Wydanie cofnięcia upoważnienia jest konieczne wyłącznie w przypadku uprzedniego wydania upoważnienia na czas do odwołania.

2.    Administrator zobowiązany jest do zbierania, ewidencjonowania i przechowywania:

a)    oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi mają styczność oraz stosowanych przy przetwarzaniu danych osobowych środkach bezpieczeństwa.

b)    oświadczeń osób zatrudnianych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy cywilnoprawnej o zachowaniu tajemnicy.

c)    porozumień zawartych z osobami zatrudnionymi przy przetwarzaniu danych osobowych w zakresie wykorzystania oddanego im do dyspozycji sprzętu informatycznego, oprogramowania oraz zasobów sieci informatycznej.

3.    Brak ważnego upoważnienia, o którym mowa w punkcie 1, oraz brak podpisanych oświadczeń i porozumienia, o których mowa w punkcie 2, uniemożliwia powierzenie pracownikowi wykonywania zadań i obowiązków związanych z przetwarzaniem danych osobowych.

§ 18

1.    Całkowity nadzór i kontrolę przetwarzania danych osobowych realizuje Administrator.

2.    Administrator ma obowiązek ściśle współpracować z Administratorem Systemu Informatycznego w zakresie przetwarzania danych osobowych w systemach informatycznych.

3.    Administrator ma obowiązek zapewnić zapoznanie się osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami dotyczącymi ochrony danych osobowych oraz przeszkolić je w tym zakresie.

§ 19

W celu realizacji powierzonych zadań Administrator ma prawo:

1.    Kontrolować komórki organizacyjne w zakresie właściwego zabezpieczenia systemów informatycznych oraz pomieszczeń, w których przetwarzane są dane osobowe.

2.    Wydawać polecenia w zakresie bezpieczeństwa danych osobowych.

3.    Żądać od wszystkich pracowników wyjaśnień w sytuacjach naruszenia bezpieczeństwa danych osobowych.

ROZDZIAŁ VIII

Zasady udostępniania danych osobowych

§ 20

Administrator udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.

§ 21

1.    Zbiory danych udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej.

2.    Wniosek powinien zawierać informacje, umożliwiające wyszukanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie.

3.    Wniosek jest rozpatrywany przez Administratora, który jednocześnie prowadzi ewidencję wniosków.

4.    Decyzję w sprawie udostępnienia danych podejmuje wyłącznie Administrator.

§ 22

Administrator może odmówić udostępnienia danych osobowych, jeżeli:

1.    Spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób.

2.    Dane osobowe nie mają istotnego związku ze wskazanymi we wniosku motywami działania Wnioskodawcy.

§ 23

1.    Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej.

2.    Podmiot, o którym mowa w ust .1, jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych.

3.    Podmiot, o którym mowa w ust.1, jest zobowiązany przetwarzać dane osobowe wyłącznie w zakresie, w jakim reguluje to zawarta umowa.

4.    W przypadkach opisanych w ust. 1, 2 i 3, odpowiedzialność za ochronę przetwarzanych danych osobowych spoczywa na Administratorze, co nie wyłącza w żadnym przypadku odpowiedzialności podmiotu, z którym zawarto umowę, z tytułu przetwarzania danych niezgodnie z ustawą.

ROZDZIAŁ IX

Postanowienia końcowe

§ 24

Regulamin wchodzi w życie z dniem 25 maja 2018 roku.