Polityka Bezpieczeństwa Danych Osobowych
LUBGIP Sp. z o.o.
Spis treści
I. Informacje ogólne ... 2
II. Zakres Polityki ... 2
III. Definicje głównych pojęć ... 3
IV. Osoby upoważnione do przetwarzania danych osobowych ... 3
V. Środki organizacyjne i techniczne zabezpieczenia danych osobowych ... 4
VI. Postępowanie w przypadku naruszenia danych osobowych ... 5
I. Informacje ogólne
1. Celem Polityki Bezpieczeństwa Danych Osobowych, dalej zwaną „Polityką”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.
2. Polityka została opracowana w oparciu o wytyczne zawarte w następujących aktach prawnych:
a) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
b) ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r.
poz. 1000).
3. Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne i organizacyjne, w tym poprzez zainstalowane oprogramowanie systemowe i aplikacje oraz przez działania użytkowników podejmowane proporcjonalnie i adekwatnie do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
4. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w LUBGIP Sp. z o.o.
rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
5. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
a) poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
b) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c) rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
d) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
e) dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
f) zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
II. Zakres Polityki
1. Polityka określa prawa i obowiązki podmiotów przetwarzających dane osobowe oraz
4. Politykę stosuje się w szczególności do:
a) danych osobowych przetwarzanych w systemach: kadrowo-płacowych, biurowych, ubezpieczeniowych, księgowych,
b) wszystkich informacji dotyczących danych pracowników, klientów, kontrahentów, c) odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania
w oparciu o umowy powierzenia,
d) rejestru osób mających upoważnienie Administratora Danych Osobowych do przetwarzania danych osobowych,
e) innych dokumentów zawierających dane osobowe.
5. Zakres ochrony danych osobowych określonych przez Politykę oraz inne związane z nią dokumenty ma zastosowanie do całego systemu papierowej i elektronicznej dokumentacji LUBGIP Sp. z o.o., a w szczególności do:
a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są lub będą informacje podlegające ochronie,
b) informacji będących własnością LUBGIP Sp. z o.o.,
c) wszystkich nośników papierowych, magnetycznych, na których są lub będą znajdować się dane podlegające ochronie,
d) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
e) wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy i innych osób (w tym zleceniobiorców) mających dostęp do danych, w tym danych osobowych podlegających ochronie na podstawie przepisów prawa.
III. Definicje głównych pojęć
Użyte w Polityce pojęcia, oznaczają:
a) ADO – Administrator Danych Osobowych, którym jest LUBGIP Sp. z o.o. jako podmiot przetwarzający dane, w związku z prowadzoną działalnością zarobkową oraz decydujący o celach i środkach przetwarzania danych osobowych,
b) ASI – Administrator Systemu Informatycznego,
c) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
d) przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych,
e) system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
f) Użytkownik – pracownik lub zleceniobiorca LUBGIP Sp. z o.o. przetwarzający dane osobowe,
g) zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
IV. Osoby upoważnione do przetwarzania danych osobowych
1. Osobami upoważnionymi do przetwarzania danych osobowych są: ADO, ASI, Użytkownicy oraz inne upoważnione osoby – osoby, które uzyskały upoważnienie do przetwarzania danych osobowych od ADO i które zobowiązane są do ich ochrony w sposób zgodny z przepisami RODO, ustawy o ochronie danych osobowych, Polityki
oraz Polityki Bezpieczeństwa IT.
2. Do obowiązków ADO należy w szczególności:
a) organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
b) obowiązek informacyjny wypełniany przy zbieraniu danych osobowych,
c) wydawanie i anulowanie upoważnień do przetwarzania danych osobowych a także prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, d) nadzór nad bezpieczeństwem danych osobowych,
e) prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych.
3. Do obowiązków ASI należy w szczególności:
a) nadzór nad nadawaniem uprawnień do przetwarzania danych osobowych w systemach informatycznych,
b) instalacje i konfiguracje oprogramowania systemowego i sieciowego,
c) bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
d) prowadzenie profilaktyki antywirusowej,
e) identyfikacja i analiza zagrożeń oraz ocena ryzyka, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych i tradycyjnych.
4. Każda osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobu ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu stosunku pracy lub stosunku zlecenia.
V. Środki organizacyjne i techniczne zabezpieczenia danych osobowych
1. W celu zabezpieczenia danych osobowych stosuje się zabezpieczenia organizacyjne, fizyczne oraz techniczne proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
2. Zabezpieczenia organizacyjne:
a) opracowano i wdrożono Politykę Bezpieczeństwa Danych Osobowych, b) opracowano i wdrożono Politykę bezpieczeństwa IT,
c) opracowano rejestr czynności przetwarzania, który jest na bieżąco aktualizowany, d) do przetwarzania danych dopuszczone zostały tylko te osoby, które posiadają
upoważnienie nadane przez ADO bądź osobę przez niego upoważnioną,
e) przetwarzanie danych następuje w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
f) dokumenty i nośniki informacji, zawierające dane osobowe, które podlegają zniszczeniu, neutralizowane są za pomocą urządzeń do tego przeznaczonych lub modyfikuje się je w sposób niepozwalający na odtworzenie ich treści,
g) osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do
monitoringiem,
b) dokumenty i nośniki informacji, które zawierają dane osobowe, a także urządzenia służące do przetwarzania danych osobowych przechowywane są w zamykanych na klucz pomieszczeniach.
VI. Postępowanie w przypadku naruszenia danych osobowych
1. Każdy Użytkownik jest odpowiedzialny za bezpieczeństwo tych danych.
2. Użytkownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych zobowiązany jest do niezwłocznego poinformowania o tym ASI.
3. Użytkownik do momentu przybycia ASI powinien:
a) zabezpieczyć urządzenie przed dostępem osób trzecich,
b) powstrzymać się od rozpoczęcia lub kontynuowania czynności na urządzeniach, na których zaistniało naruszenie ochrony, które mogłyby zniszczyć lub zniekształcić dowody tego naruszenia.
4. Dokonywanie zmian w miejscu naruszenia ochrony jest dopuszczalne jeżeli zachodzi konieczność ratowania osób lub mienia albo zapobieżenia grożącemu niebezpieczeństwu.
5. Po przybyciu ASI podejmuje działania mające na celu ustalenie sprawcy, miejsca, czasu i sposobu dokonania naruszenia ochrony, a w szczególności:
a) przystępuje do zidentyfikowania rodzaju naruszenia, a zwłaszcza do określenia skali zniszczeń i metody dostępu do danych osoby niepowołanej,
b) zabezpiecza system informatyczny przed dalszym rozprzestrzenianiem się zagrożenia, c) w zależności od zakresu naruszenia ochrony podejmuje decyzje o dalszym
postępowaniu, wydając użytkownikowi stosowne polecenia i wskazówki dotyczące obsługi urządzeń.
6. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki lub próby przekroczenia przyznanych uprawnień traktowane będą jako naruszenie podstawowych obowiązków pracowniczych/zleceniobiorcy.
