Polityka bezpieczeństwa [„Polityka bezpieczeństwa”] stosowana u przedsiębiorcy – Dariusza Kindlera, prowadzącego działalność gospodarczą pod firmą: „FIRMA DAGER DARIUSZ KINDLER” miejsce wykonywania działalności: ul. Łomżyńska 8, 41-219 Sosnowiec, NIP: 6442141574. [„DAGER”].
1. Wyjaśnienie pojęć użytych w Polityce bezpieczeństwa
- Pojęciom użytym w treści Polityki bezpieczeństwa należy nadać znaczenie tożsame ze znaczeniem wskazanym w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) [„RODO”] oraz w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000) [„Ustawa”].
- Administratorem danych jest Dariusz Kindler, prowadzący działalność gospodarczą pod firmą: FIRMA DAGER DARIUSZ KINDLER, miejsce wykonywania działalności: Łomżyńska 8, 41-219 Sosnowiec, NIP: 6442141574.
- Osobą odpowiedzialną za nadzorowanie Polityki bezpieczeństwa jest Pan Dariusz Kindler.
Pod pojęciem pracownika należy rozumieć pracownika DAGER zatrudnionego przy przetwarzaniu danych osobowych, a także osobę współpracującą z DAGER na innej niż stosunek pracy podstawie, legitymującą się odrębnym identyfikatorem i hasłem przekazanym przez DAGER lub osobę przez niego upoważnioną, wpisany do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych prowadzonej przez DAGER oraz zarejestrowany w systemie informatycznym [„Pracownik”].
2. Postanowienia ogólne
2.1 Każdy Pracownik, przed przystąpieniem do pracy przy przetwarzaniu danych osobowych, obowiązany jest zapoznać się z:
2.1.1 postanowieniami Ustawy oraz RODO;
2.1.2 niniejszą Polityką bezpieczeństwa;
2.2 Fakt zapoznania się z wyżej wymienionymi regulacjami Pracownik obowiązany jest potwierdzić własnoręcznym podpisem na właściwym dokumencie, przedstawionym mu do podpisu przez DAGER.
2.3 Teksty wymienionych wyżej dokumentów i aktów prawnych znajdują się do wglądu w siedzibie DAGER.
3. Zasady przetwarzania oraz ochrony danych osobowych
3.1 Operacje na danych osobowych wykonywane są w siedzibie DAGER. Dane osobowe przetwarzane są również przez następujące podmioty zewnętrzne na terenie ich siedziby:
- nie dotyczy
3.2 Wszelkie nośniki informacji zawierające dane osobowe, w tym także pomieszczenia, gdzie składowane są uszkodzone komputerowe nośniki danych znajdują się w zamykanym pomieszczeniu na terenie siedziby DAGER. Klucz do pomieszczenia posiada DAGER.
3.3 Elektroniczne nośniki informacji przekazywane podmiotom zewnętrznym powinny być zabezpieczone hasłem. Papierowe nośniki informacji powinny być zapakowane w sposób uniemożliwiający ich odczytanie przez osoby postronne. Procedura przekazania każdorazowo ustalana będzie z podmiotem zewnętrznym.
3.4 DAGER przetwarza dane osobowe wskazane w Rejestrze czynności przetwarzania.
3.5 DAGER stosuje następujące środki organizacyjne i techniczne niezbędne dla zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania:
3.5.1 środki organizacyjne:
3.5.1.1 sporządzono i wdrożono Politykę Bezpieczeństwa;
3.5.1.2 do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez DAGER bądź osobę przez niego upoważnioną;
3.5.1.3 w przypadku zakończenia współpracy z Pracownikiem, DAGER likwiduje przydzielone mu konto w ostatnim dniu obowiązywania umowy;
3.5.1.4 procedura postępowania w sytuacji stwierdzenia naruszenia ochrony danych osobowych określona została poniżej w niniejszym dokumencie;
3.5.1.5 osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;
3.5.1.6 osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
3.5.1.7 przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
3.5.1.8 przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
3.5.1.9 dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób;
3.5.2 środki techniczne:
3.5.2.1 integralność zapewnia replika i kopia bazy danych;
3.5.2.2 zabezpieczenie stanowisk komputerowych hasłem.
3.6 DAGER codziennie na zakończenie dnia pracy dokonuje sprawdzenia, czy wszystkie pomieszczenia oraz urządzenia, w których są przechowywane lub przetwarzane dane osobowe zostały zamknięte w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym.
3.7 DAGER przeprowadza testy prawidłowości działania systemów, w których przechowywane lub przetwarzane są dane osobowe.
3.8 Kopie zapasowe tworzone są raz w tygodniu. Kopia zapasowa wykonywana jest poprzez zgranie danych na inny nośnik.
3.9 Dane osobowe wprowadzane są wyłącznie przez osoby posiadające stosowne upoważnienie. Osoby te mogą wprowadzać dane osobowe jedynie w zakresie udzielonego im upoważnienia.
3.10 Użytkownicy uwierzytelniani są w systemach informatycznych poprzez zalogowanie się na swoje konto z wykorzystaniem indywidualnej nazwy użytkownika i hasła. Nazwę użytkownika i pierwsze hasło nadaje DAGER. Użytkownik zobowiązany jest zmienić pierwsze hasło przy pierwszym logowaniu do systemu. Hasło winno się składać z co najmniej 8 znaków i zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło należy zmieniać co 30 dni. Hasła są tajne. Każdy użytkownik jest zobowiązany do zachowania w tajemnicy swego hasła. Obowiązek ten rozciąga się także na okres po upływie ważności hasła. Hasło, co do którego zaistniało choćby podejrzenie ujawnienia powinno być niezwłocznie zmienione przez użytkownika.
4. Zachowanie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
4.1 Każdy Pracownik w przypadku stwierdzenia zagrożenia, naruszenia ochrony danych osobowych, lub incydentu fizycznego lub technicznego zobowiązany jest poinformować DAGER.
4.2 Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
4.2.1 niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;
4.2.2 niewłaściwe zabezpieczenie sprzętu, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;
4.2.3 nieprzestrzeganie zasad ochrony danych osobowych przez pracowników.
4.3 Do typowych incydentów fizycznych lub technicznych należą:
4.3.1 zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
4.3.2 zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/ zagubienie danych);
4.3.3 umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
4.4 W przypadku stwierdzenia wystąpienia zagrożenia DAGER prowadzi postępowanie wyjaśniające w toku, którego:
4.4.1 ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki;
4.4.2 inicjuje ewentualne działania dyscyplinarne;
4.4.3 rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości;
4.4.4 dokumentuje prowadzone postępowania.
4.5 W przypadku stwierdzenia incydentu fizycznego lub technicznego DAGER prowadzi postępowanie wyjaśniające w toku, którego:
4.5.1 ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały;
4.5.2 zabezpiecza ewentualne dowody;
4.5.3 ustala osoby odpowiedzialne za naruszenie;
4.5.4 podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody);
4.5.5 inicjuje działania dyscyplinarne;
4.5.6 wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości;
4.5.7 dokumentuje prowadzone postępowania.
5. Postanowienia końcowe
5.1 Wszelkie zmiany Polityki bezpieczeństwa mogą być dokonane jedynie przez DAGER i wymagają dla swej ważności formy pisemnej.
5.3 Polityka bezpieczeństwa wchodzi w życie z dniem podpisania przez DAGER.
5.4 Polityka bezpieczeństwa będzie podana do wiadomości wszystkich Pracowników w sposób zwyczajowo przyjęty w DAGER.