Dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych stosuje się następujące środki techniczne i organizacyjne:
A. Osoby dopuszczone do przetwarzania danych osobowych
1. Do przetwarzania danych osobowych są dopuszczone wyłącznie osoby posiadające pisemne upoważnienia nadane przez administratora danych osobowych (załącznik nr 2).
2. Osoby dopuszczone do przetwarzania danych osobowych podpisują zobowiązanie o zachowaniu poufności tych danych (załącznik nr 3).
3. Osoby upoważnione do przetwarzania danych mają obowiązek:
a) przetwarzać je zgodnie z celem oraz obowiązującymi przepisami, w szczególności z ustawą i rozporządzeniem oraz niniejszą Polityką bezpieczeństwa i Instrukcją systemu informatycznego,
b) nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym,
c) zabezpieczać je przed zniszczeniem i niezamierzoną zmianą.
4. Administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych (załącznik nr 1), do której stały dostęp mają wszystkie osoby upoważnione oraz kierownictwo firmy.
5. Osoby upoważnione do przetwarzania danych osobowych są szkolone w zakresie procedur bezpieczeństwa i właściwego użycia urządzeń do przetwarzania danych osobowych.
B. Obszar przetwarzania danych osobowych
1. Administrator danych wyznaczył bezpieczne obszary przetwarzania danych osobowych, które są zabezpieczone zarówno przed zagrożeniami fizycznymi jak i środowiskowymi i opisał je w wykazie budynków, pomieszczeń lub części
pomieszczeń tworzących te obszary (załącznik nr 4).
2. W bezpiecznych obszarach przetwarzania, osoby upoważnione do przetwarzania danych osobowych mają dostęp do tych danych zgodnie z zakresem przyznanych upoważnień.
3. W przypadku konieczności dostępu do bezpiecznego obszaru przetwarzania przez osoby nieposiadające upoważnienia, a które muszą dokonać doraźnych prac o
charakterze serwisowym lub innym, podpisują oświadczenie o zachowaniu poufności (załącznik nr 3).
4. W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe, to część, w której przetwarzane są dane osobowe jest wyraźnie oddzielona od części ogólnodostępnej na przykład poprzez montaż barierek lub odpowiednie ustawienie mebli uniemożliwiające
niekontrolowany dostęp osób niepowołanych do urządzeń lub zbiorów danych osobowych.
5. Zabronione jest wynoszenie informatycznych nośników danych, sprzętu
komputerowego oraz dokumentów zawierających dane osobowe poza bezpieczny obszar przetwarzania danych osobowych bez uprzedniego zezwolenia wydanego przez administratora danych osobowych.
C. Dokumenty i nośniki danych zawierające dane osobowe
1. Dokumenty papierowe oraz informatyczne nośniki danych, które zawierają dane osobowe przechowywane są w zamykanych szafach.
2. Wydruki zawierające dane osobowe, które nie są już przydatne do dalszej pracy są natychmiast niszczone.
3. W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce.
4. Nośniki danych przeznaczone do zniszczenia, na których są przechowywane dane osobowe lub ich kopie zapasowe, pozbawia się wcześniej zapisanych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.
5. Jeśli dokumenty papierowe lub nośniki danych zawierające dane osobowe muszą być przekazane poza bezpieczny obszar przetwarzania danych osobowych (na przykład transportowane do Urzędu Skarbowego) to są zabezpieczane przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.
D. Zbiory danych osobowych
1. Administrator danych osobowych prowadzi wykaz zbiorów danych osobowych oraz programów służących do ich przetwarzania (załącznik nr 5).
2. Administrator danych osobowych aktualizuje opis struktury zbiorów danych
wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami (załącznik nr 5).
3. Jeśli nie ma powołanego zgodnie z ustawą Administratora Bezpieczeństwa Informacji, zbiory danych osobowych klientów sklepu są zgłaszane do rejestracji w biurze
Generalnego Inspektora Danych Osobowych.
E. Udostępnianie danych osobowych
1. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego. Administrator danych osobowych prowadzi wykaz podmiotów i osób, którym udostępniono dane (załączniki nr 6).
2. Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może
nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych (załącznik nr 8). Administrator danych osobowych prowadzi wykaz podmiotów i osób, którym powierzono dane osobowe do przetwarzania (załączniki nr 7).
3. Na podstawie pisemnego wniosku i po potwierdzeniu tożsamości wnioskodawcy, administrator danych udziela osobie, której dane dotyczą, następujących informacji na piśmie:
a) informacja o prawach przysługujących osobie, której dane są przetwarzane, b) informacja czy zbiór danych istnieje,
c) dane administratora danych: pełna nazwa oraz adres siedziby, d) cel, zakres i sposób przetwarzania danych,
e) data rozpoczęcia przetwarzanie danych, f) źródło, z którego dane pochodzą,
g) sposób udostępniania danych, w szczególności informacja o odbiorcach danych lub kategoriach odbiorców, którym dane są udostępniane,
h) przesłanki podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 ustawy, i) w konkretnej sytuacji administrator danych udziela dodatkowych informacji, jeśli
są one niezbędne do wykonywania uprawnień osoby, której dane dotyczą.
4. Osoba, której dane dotyczą, nie ma prawa dostępu do dokumentów źródłowych zawierających dane osobowe lub swobodnego dostępu do systemu informatycznego, a jedynie prawo do uzyskania informacji dotyczących przetwarzania jej danych.
5. Każdorazowo sposób udostępnienia, a w szczególności przekazania danych osobowych musi spełniać zasady zapewnienia bezpieczeństwa tych danych.
F. System informatyczny
1. System informatyczny sklepu internetowego posiada połączenie z siecią publiczną (Internet), dlatego zastosowano środki bezpieczeństwa na poziomie wysokim.
2. W celu zabezpieczenia przed atakami z sieci publicznej serwery i stacje robocze są chronione przez zaporę ogniową (firewall), a stacje robocze dodatkowo
oprogramowaniem antywirusowym.
3. Okablowanie i urządzenia sieciowe zostały rozlokowane w sposób umożliwiający bezpośredni dostęp tylko z pomieszczeń zamykanych na klucz.
4. Zasady nadawania i rejestrowania uprawnień do przetwarzania danych osobowych w systemie informatycznym, metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem przeznaczone dla użytkowników systemu opisane zostały w Instrukcji zarządzania systemem informatycznym.
5. Procedury tworzenia oraz przechowywania kopii zapasowych zbiorów danych opisane zostały w Instrukcji zarządzania systemem informatycznym.