Polityka prywatności – Diocom Sp. z o.o.

I. POSTANOWIENIA OGÓLNE

§1.

Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych, sposobu przetwarzania w Diocom Sp. z o.o. ul. Grażyńskiego 74, 43-300 Bielsko-Biała, grupy informacji zawierającej dane osobowe.

§2.

Określenia użyte w Polityce Bezpieczeństwa oznaczają:

1. Jednostka – Diocom Sp. z o.o. ul. Grażyńskiego 74

2. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,

3. przetwarzanie danych osobowych – gromadzenie, utrwalanie przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych,

4. użytkownik – osoba upoważniona do przetwarzania danych osobowych,

5. administrator systemu – osoba upoważniona do zarządzania systemem informatycznym,

6. system informatyczny – system przetwarzania danych w Diocom Sp. z o.o. wraz z zasobami ludzkimi, technicznymi oraz finansowymi, który dostarcza i rozprowadza informacje,

7. zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą.

II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI

§3.

1. Utrzymanie bezpieczeństwa przetwarzanych przez Jednostkę informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie.Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki.

2. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i aplikacji:

1) Poufność informacji – rozumiana jako zapewnienie, że tylko uprawnieni pracownicy mają dostęp do informacji,

2) Integralność informacji – rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania,

3) Dostępność informacji – rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne,

4) Zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych.

3. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem:

1) Niezaprzeczalności odbioru – rozumianej jako zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie,

2) Niezaprzeczalności nadania – rozumianej jako zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie,

3) Rozliczalności działań – rozumianej, jako zapewnienie, że wszystkie działania i stotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał.

III. ZAKRES

§4.

1. W systemie informacyjnym Jednostki przetwarzane są informacje służące do wykonywania zadań niezbędnych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa.

2. Informacje te są przetwarzane i składowane zarówno w postaci manualnej jak i elektronicznej.

§5.

Politykę Bezpieczeństwa stosuje się do:1. danych osobowych przetwarzanych w systemie informatycznym,

2. wszystkich informacji dotyczących danych pracowników Jednostki, w tym danych osobowych personelu i treści zawieranych umów o pracę,

3. wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji,

4. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,

5. rejestru osób dopuszczonych do przetwarzania danych osobowych,

6. innych dokumentów zawierających dane osobowe.

§6.

1. Zakresy określone przez dokumenty Polityki Bezpieczeństwa Informacji mają zastosowanie do całego systemu informacyjnego Jednostki w szczególności do:

1) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są informacje podlegające ochronie,

2) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,

3) wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie.

2. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie.

§7.

Informacje niejawne nie są objęte zakresem niniejszej Polityki.

IV. STRUKTURA DOKUMENTÓW POLITYKIBEZPIECZEŃSTWA INFORMACJI

§8.

1. Dokumenty Polityki Bezpieczeństwa Informacji ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji.

2. Zestaw dokumentów Polityki Bezpieczeństwa Informacji składa się z:

1) Niniejszego dokumentu Polityki Bezpieczeństwa Informacji,

2) Instrukcji zarządzania systemami informatycznymi w zakresie wymogów bezpieczeństwa przetwarzania danych osobowych, opisującej sposób zarządzania systemami przetwarzania danych osobowych w Jednostce - załącznik nr 1,3) Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, opisującej tryb postępowania w sytuacjach naruszenia zabezpieczenia zasobów danych osobowych, zaobserwowanych prób naruszenia tego zabezpieczenia, a także uzasadnionego podejrzenia o przygotowywanej próbie naruszenia- załącznik nr 2.

1. DOSTĘP DO INFORMACJI

§9.

Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem dodanych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Jednostce zasad ochrony danych osobowych.

§10.

Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych.

§11.

Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, mogą być udostępnione jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.

§12.

Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.

§13.

Dane osobowe udostępnia się na pisemny, umotywowany wniosek, który powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać zakres i przeznaczenie.

2. ZARZĄDZANIE DANYMI OSOBOWYMI

§14.

Administratorem danych osobowych jest Dyrektor Generalny Diocom Sp. z o.o.

§15.

1. Za bezpieczeństwo danych osobowych Jednostki, odpowiadają:1) Administrator danych osobowych – Dyrektor Generalny Diocom Sp. z o.o.

2) Inspektor Ochrony Danych Osobowych – Dyrektor Generalny Diocom Sp. z o.o.

2. Inspektor Ochrony Danych Osobowych Jednostki realizując politykę bezpieczeństwa informacji ma prawo wydawać instrukcje regulujące kwestie związane z ochroną danych w strukturach Jednostki.

3. W umowach zawieranych przez Jednostkę winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych udostępnionych przez Jednostkę.

§16.

1. Zapoznanie się z dokumentami określonymi w §8 pkt 2 pracownicy Jednostki potwierdzają podpisem na „Indywidualnym zakresie czynności osoby zatrudnionej przy przetwarzaniu danych osobowych” (wzór w załączniku nr 3) i przekazują Inspektorowi Ochrony Danych Osobowych.

§17.

Ochrona zasobów danych osobowych Jednostki jako całości przed ich nieuprawnionymużyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników Jednostki.

3. ZAKRESY ODPOWIEDZIALNOŚCI

§18.

Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik Jednostki.

§19.

Inspektor Ochrony Danych w Jednostce:

1. odpowiada za realizację ustawy o ochronie danych osobowych w zakresie dotyczącym Inspektora Ochrony Danych,

2. sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których dane sąprzetwarzane oraz kontrolą przebywających w nich osób,

3. określa strategię zabezpieczania systemów informatycznych Jednostki,

4. sprawuje nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,

5. sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe,

6. identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych Jednostki,

7. określa potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe,

8. sprawuje nadzór nad bezpieczeństwem danych zawartych w komputerach przenośnych, dyskach wymiennych, palmtopach, w których przetwarzane są dane osobowe,

9. sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe,

10. monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych,

11. sprawuje nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych,

12. zatwierdza wnioski o przyznaniu danemu użytkownikowi identyfikatora oraz praw dostępu do informacji chronionych w danym systemie przetwarzania,

13. powiadamia administratora systemu o konieczności utworzenia identyfikatora

użytkownika w systemie oraz zmianie/nadaniu uprawnień dostępu użytkownika do systemu,

14. prowadzi ewidencję baz danych w systemach informatycznych, w których przetwarzane są dane osobowe,

15. prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych,

16. prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych,

17. prowadzi rejestr zbiorów danych osobowych Jednostki (przetwarzanych metodą tradycyjną lub w systemach informatycznych).

§20.

Administrator danych osobowych zobowiązany jest do przestrzegania wszystkich przepisów ustawy o ochronie danych, w szczególności poprzez:

1. określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych,

2. określenie budynków, pomieszczeń lub części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego,

3. zapoznawanie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie,

4. wykonywania zaleceń Inspektora Ochrony Danych Jednostki w zakresie ochrony danych osobowych,

5. wdrażanie i nadzorowanie przestrzegania Polityki bezpieczeństwa informacji,

6. wdrażanie i nadzorowanie przestrzegania instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

7. działanie zgodnie z instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych,

8. stwarzanie warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych,

9. odpowiedzialność za poprawność merytoryczną danych gromadzonych w systemach informacyjnych,

10. określanie, które osoby i na jakich prawach mają dostęp do danych informacji, Praca Administratora Danych Osobowych jest nadzorowana pod względem bezpieczeństwa przez Inspektora Ochrony Danych.

§21.

Administrator Systemu Informatycznego odpowiedzialny jest za:1. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,

2. optymalizację wydajności systemu informatycznego, baz danych,

3. instalacje i konfiguracje sprzętu sieciowego i serwerowego,

4. instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego,

5. konfigurację i administrację oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem,

6. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych,

7. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,

8. zarządzanie kopiami awaryjnymi danych w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie,

9. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,

10. przyznawanie na wniosek Administratora Danych, za zgodą AdministratoraBezpieczeństwa Informacji ściśle określonych praw dostępu do informacji w danym systemie,

11. wnioskowanie do Inspektora Ochrony Danych w sprawie procedur bezpieczeństwa i standardów zabezpieczeń,

12. zarządzanie licencjami, procedurami ich dotyczącymi,

13. prowadzenie profilaktyki antywirusowej.

Praca Administratora Systemu Informatycznego jest nadzorowana pod względembezpieczeństwa przez Inspektora Ochrony Danych.

4. PRZETWARZANIE DANYCH OSOBOWYCH

§22.

1. Przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach zamykanych na klucz przez wyznaczone do tego celu osoby.2. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czasnie obecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.

§23.

1. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia należy niszczyć w stopniu uniemożliwiającym ich odczytanie.

2. Urządzenia, dyski lub inne informatyczne nośniki danych, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

5. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DO ZAPEWNIENIA POUFNOŚCI PRZETWARZANYCH DANYCH

§24.

W Jednostce rozróżnia się następujące kategorie środków zabezpieczeń danych osobowych:

1. Zabezpieczenia fizyczne:- pomieszczenia zamykane na klucz,- szafy pancerne z zamkami,

2. Zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej:- przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach,- przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby.

3. Zabezpieczenia organizacyjne:- osobą odpowiedzialną za bezpieczeństwo danych jest Inspektor Ochrony Danych (IOD),- Inspektor Ochrony Danych i wszyscy powołani przez niego administratorzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami,

4. Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania:– wykaz pracowników Jednostki uprawnionych do przetwarzania danych osobowych, znajduje się u Inspektora Ochrony Danych- zał. nr 6– przetwarzać dane osobowe mogą jedynie pracownicy, którzy posiadają stosowne upoważnienie przyznane przez Inspektora Ochrony Danych- zał. Nr5,– w trakcie przetwarzania danych osobowych, pracownik jest osobiście odpowiedzialny za bezpieczeństwo powierzonych mu danych,– przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych, pracownik winien sprawdzić, czy posiadane przez niego dane były należycie zabezpieczone, oraz czy zabezpieczenia te nie były naruszone,– w trakcie przetwarzania danych osobowych, pracownik winien dbać o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego celu nieupoważnione,– po zakończeniu przetwarzania danych pracownik winien należycie zabezpieczyć dane osobowe przed możliwością dostępu do nich osób nieupoważnionych.6. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH

DANE OSOBOWE

§25.

Archiwizacja informacji zawierających dane osobowe odbywa w formie elektronicznej oraz papierowej. Nośniki danych przechowywane są w wydzielonych pomieszczeniach, które są zabezpieczone przed dostępem osób nieupoważnionych (wykaz pomieszczeń załącznik nr 4)