609 471 179

  1. Home
  2. /
  3. Polityka prywatności

Polityka prywatności

Wstęp

Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 z zm.) wdraża się niniejszą dokumentację ochrony danych osobowych w firmie MOC PODLASIA Małgorzata Anna Charyton.

Definicje

Użyte w dokumentacji ochrony danych osobowych definicje i pojęcia oznaczają:

Administrator danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, które decydują o celach i środkach przetwarzania danych osobowych. W niniejszej dokumentacji przetwarzania danych osobowych przez administratora danych rozumie się Annę Sienkiewicz;

Danych osobowych (danych) – rozumie się przez to wszelkie informacje dotyczącej zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; Osobie upoważnionej – rozumie się przez to osobę, która otrzymała od administratora danych upoważnienie do przetwarzania danych;

Przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych;

Zbiorze danych osobowych (zbiorze danych) – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów, niezależnie od tego czy ten zestaw jest rozproszony lub podzielony funkcjonalnie.

Administrator danych

Administrator danych stosuje środki techniczne i organizacyjne zapewniające ochronę danych osobowych odpowiednią do zagrożeń, kategorii przetwarzania danych oraz zabezpiecza posiadane dane przed ich udostępnieniem, zmianą, utratą, uszkodzeniem, zniszczeniem lub przetwarzaniem przez osobę nieupoważnioną.

Obowiązki administratora danych

Administrator danych co najmniej raz w roku przeprowadza sprawdzenie systemu ochrony danych osobowych. W wyniku sprawdzenia sporządza protokół, który stanowi załącznik do polityki bezpieczeństwa.

Przetwarzanie danych

  1. Przetwarzanie danych jest dopuszczalne przy spełnieniu warunków określonych w art. 23 i/lub ustawy o ochronie danych osobowych.
  2. Przetwarzanie danych osobowych w celu świadczenia usług drogą elektroniczną odbywa się na zasadach określonych w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2002 r.,nr 144, poz. 1204 z zm.) oraz zgodnie z Polityką prywatności określonej na stronie internetowej administratora danych.
  3. Zgoda na przetwarzanie danych osobowych w celu prowadzenia marketingu bezpośredniego lub świadczenia usług biuletynu informatycznego (newsletter) jest pobierana jedynie za pośrednictwem strony internetowej lub w komunikacji z wykorzystaniem poczty elektronicznej.
  4. Zgoda na przetwarzanie danych osobowych, nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
  5. Zgoda na przetwarzanie danych osobowych może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
  6. Zgoda na przetwarzanie danych osobowych może zostać odwołana w każdym czasie. W przypadku żądania odwołania zgody należy niezwłocznie skontaktować się z administratorem danych w celu otrzymania dalszych instrukcji.

Wykaz budynków, pomieszczeń lub części pomieszczeń

  1. Obszar przetwarzania stanowi pomieszczenie w budynku znajdującym się pod adresem: ul. Kodeksu Supraskiego 22, 16-030 Supraśl
  2. W obszarze przetwarzania zastosowano zabezpieczenia w postaci dwojga drzwi zamykanych na klucz

Wykaz zbiorów danych osobowych

Administrator prowadzi o aktualizuje wykaz zbiorów danych osobowych wraz z programem zastosowanym do przetwarzania danych osobowych (MS Office):

a) Zbiór kontrahenci jest przetwarzany z wykorzystaniem oprogramowania MS Office oraz w wersji papierowej. Zapewnia się kontrolę dostępu do danych przetwarzanych w systemie informatycznym w formie identyfikatora i hasła do sytemu operacyjnego oraz hasła do bazy danych, tworzy się regularne kopie bazy danych, stosuje się oprogramowanie antywirusowe oraz zaporę sieciowa na poziomie systemu operacyjnego. Dla wersji papierowej zapewnia się kontrolę dostępu w postaci szafki zamykanej na klucz.

b) Zbiór respondenci badań ankietowych i wywiadów osobowych jest przetwarzany w formie papierowej. Zapewnia się kontrolę dostępu w postaci szafki zamykanej na klucz

Opis struktury zbiorów danych

  1. Struktura poszczególnych zbiorów danych osobowych wraz ze wskazaniem poszczególnych pól informacyjnych i powiązania pomiędzy nimi jest aktualizowana przez administratora danych osobowych niezwłocznie po pojawieniu się zmiany wymagającej odnotowania.
  2. Opis struktury zbiorów danych wygląda następująco:
    a) zbiór kontrahenci (zbiór elektroniczny) zawiera następujące pola informacyjne: imię i nazwisko, adres e-mail, numer telefonu, historia zrealizowanych usług, numer identyfikacji podatkowej, numer rachunku bankowego, data realizacji usługi. Dane są powiązane ze sobą osobą klienta.
    b) Zbiór respondenci badań ankietowych i wywiadów osobowych (zbiór papierowy) zawiera następujące pola informacyjne: imię i nazwisko, adres e-mail, numer telefonu. Dane są powiązane ze sobą osobą respondenta.

Sposób przepływu danych pomiędzy poszczególnymi systemami

Przepływ danych wygląda następująco: dane kontrahentów przepływają manualnie, dwukierunkowo z programu pocztowego lub przekazu ustnego do pliku Excel Ms Office lub odwrotnie.

Środki techniczne i organizacyjne

  1. W celu ochrony danych osobowych stosuje się następujące zabezpieczenia organizacyjne:
    a) Została opracowana i wdrożona Polityka Bezpieczeństwa przetwarzania danych osobowych oraz Instrukcja zarządzania systemem informatycznym przetwarzającym dane osobowe,
    b) Do przetwarzania danych osobowych będą dopuszczone wyłącznie osoby posiadające ważne upoważnienia do ich przetwarzania,
    c) Będzie prowadzona ewidencja osób posiadających upoważnienia do przetwarzania danych osobowych,
    d) Osoby upoważnione będą przeszkolone w zakresie ochrony danych osobowych i zabezpieczeń systemu informatycznego.
    e) Osoby upoważnione złożą oświadczenie o zachowaniu poufności przetwarzania danych osobowych,
    f) Przetwarzanie danych osobowych jest w warunkach zabezpieczających dane osobowe przed dostępem do osób nieupoważnionych.
    g) Przebywanie osób nieupoważnionych w obszarze przetwarzania jest możliwe tylko w obecności osób upoważnionych oraz w warunkach zapewniających bezpieczeństwo danych.
    h) Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
  2. W celu ochrony danych osobowych stosuje się następujące zabezpieczenia fizyczne:
    a) Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
    b) Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie.
    c) Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.
    d) Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
  3. W celu ochrony danych osobowych stosuje się następujące zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
    a) Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego.
    b) Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
    c) Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
    d) Użyto system Firewall do ochrony dostępu do sieci komputerowej.
  4. Niniejszy dokument wchodzi w życie z dniem jego podpisania przez administratora danych.

Instrukcja zarządzania systemem informatycznym

Celem instrukcji zarządzania systemem informatycznym jest opisanie sposobu zarządzania tym systemem z uwzględnieniem powszechnie obowiązujących przepisów prawa oraz zidentyfikowanych zagrożeń.

Procedura nadawania, modyfikowania i odebrania uprawnień

  1. Uprawnienia do przetwarzania danych osobowych w systemach informatycznych nadaje administrator danych.
  2. Przed nadaniem uprawnień do systemu informatycznego osoba zostaje zapoznana z zasadami ich ochrony oraz zasadami bezpieczeństwa systemu informatycznego.
  3. Osoba posiadająca uprawnienia do przetwarzania danych osobowych zobowiązuje się zachować w poufności dane osobowe, jak i informacje o stosowanych zabezpieczeniach.

Metody i środki zabezpieczające dostęp do danych osobowych

  1. Hasła dostępu do danych osobowych nie mogą być powszechnie znanymi nazwami własnymi.
  2. Osoba upoważniona zobowiązuje się do zachowania poufności hasła dostępu do danych osobowych oraz jego natychmiastowej zmiany w przypadku ujawnienia.
  3. Zabronione jest przechowywanie hasła w sposób jawny lub przekazywania go innym osobom.
  4. Hasło jest zmieniane manualnie co 30 dni przez osoby upoważnione.
  5. Hasło składa się z co najmniej 8 znaków, w tym małe i duże litery oraz cyfry lub znaki specjalne

Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym

  1. Osoba upoważniona loguje się do systemu lub programu informatycznego przy użyciu loginu i hasła.
  2. Osoba upoważniona jest zobowiązania do informowania administratora danych o nieautoryzowanych próbach zalogowania do systemu lub programu, jeżeli system lub program takie zjawiska monitoruje.
  3. Osoba upoważniona jest zobowiązana do uniemożliwienia wglądu w dane osobowe wyświetlane na ekranie monitora lub w wersji papierowej osobom nieupoważnionym.
  4. Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana w trakcie czasowego opuszczania stanowiska pracy do uruchomienia wygaszacza ekranu chronionego hasłem lub wylogowania się z systemu oraz usunięciu wydruków z danymi osobowymi z biurka.
  5. Po zakończeniu pracy osoba upoważniona jest zobowiązana do wylogowania się lub wyłączenia komputera oraz usunięcia z biurka wszelkich nośników zawierających dane osobowe jak i zabezpieczania pomieszczenia przed nieupoważnionym dostępem, zalaniem, pożarem itd.

Procedura tworzenia kopii zapasowych

  1. W zależności od wielkości przyrostu ilościowego i pojemnościowego danych osobowych tworzy się ich kopie zapasowe w odstępach nie częstszych niż 1 raz w tygodniu i nie rzadszych niż 1 miesiąc.
  2. Kopie zapasowe danych osobowych w wersji elektronicznej mogą być przechowywane na zewnętrznym nośniku danych zabezpieczanym zgodnie z zabezpieczeniami organizacyjnymi.
  3. Osoba sporządzająca kopie zapasowe jest zobowiązania do ich oznaczenia oraz sprawdzania spójności danych i możliwości ich ponownego odtworzenia.
  4. Kopie zapasowe przechowuje się nie krócej iż 1 rok i nie dłużej niż 5 lat.
  5. Po upływie okresu przechowywania kopie zapasowe są nadpisywane lub trwale zniszczone

Elektroniczne nośniki danych osobowych

Procedura przechowywania nośników danych osobowych w wersji elektronicznej:

  1. Nośniki danych osobowych takie jak:
    a) Laptop,
    b) Telefon komórkowy/smartfon
    c) Pendrive/karta pamięci
    d) Zewnętrzny dysk twardy są przechowywane w sposób uniemożliwiający dostęp do nich osób nieupoważnionych jak i zabezpieczający je przed uszkodzeniem spowodowanym np.: zalaniem, spaleniem, stopieniem itd.
  2. Osoby upoważnione są zobowiązane do trwałego niszczenia/kasowania danych osobowych po ustaniu celu ich przetwarzania.
  3. Zabrania się wynoszenia danych poza obszar przetwarzania bez zgody ADO oraz zapewnienia co najmniej takich samych warunków przetwarzania danych osobowych jakie obowiązują w obszarze przetwarzania.
  4. Dane osobowe wysyłane drogą elektroniczne poza obszar przetwarzania muszą być zabezpieczone hasłem.
  5. Zabrania się przekazywanie nośników danych zawierających dane osobowe podmiotom zewnętrznym w celach naprawczych, darowizn itp.

Ochrona przed szkodliwym oprogramowaniem

  1. Na stacji roboczej stosuje się licencjonowane oprogramowanie antywirusowe, aktualizowane automatycznie.
  2. Stosuje się systemowe zapory ogniowe stanowiące jeden z elementów systemu operacyjnego.

Procedura udostępniania danych osobowych podmiotom zewnętrznym

  1. Każde udostępnienie danych osobowych musi być dokonane zarówno zgodnie z ustawą o ochronie danych osobowych, aktami wykonawczymi, jak i niniejszym dokumentem oraz posiadać podstawę prawna.
  2. Prowadzi się ewidencji wprowadzanych i udostępnianych danych osobowych, określającą w szczególności:
    a) Datę wprowadzenia,
    b) Określnie osoby wprowadzającej dane,
    c) Datę udostępnienia,
    d) Podmiot, któremu dane udostępniono,
    e) Zakres udostepnienia lub wprowadzanych zmian,
    f) Podstawę udostępniania.

Przegląd i konserwacja systemu informatycznego

  1. Administrator danych przeprowadza przegląd systemu informatycznego uwzględniając stopień jego sprawności oraz zidentyfikowane ryzyko naruszenia danych osobowych przetwarzanych z jego wykorzystaniem.
  2. W przypadku stwierdzenia znacznego ryzyka lub niesprawności przeprowadza się modernizację sytemu informatycznego.

Postanowienia końcowe

Wszelkie procedury i zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób których dane dotyczą.