logo loader
add_to_photosDodaj ogłoszenie

Polityka prywatności

Polityka bezpieczeństwa w zakresie ochrony danych osobowych w AKJAX Jacek Anzorge spółka cywilna z siedzibą w Rędzinach

 

Preambuła

Niniejszy dokument w postaci Polityki bezpieczeństwa w zakresie ochrony danych osobowych został opracowany przez AKJAX Jacek Anzorge spółka cywilna - Administratora Danych w celu zapewnienia zgodności przetwarzania danych osobowych z wymogami  polskiego prawodawstwa.

Instrukcja zarządzania systemem informatycznym wraz z Polityką Bezpieczeństwa stanowi dokumentację przetwarzania danych osobowych w rozumieniu § 1 pkt. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024 z późn. zm.).

Polityka obejmuje swoim zakresem wszystkie osoby biorące udział w procesie przetwarzania danych osobowych w systemie informatycznym. Każda osoba mającą dostęp do danych osobowych na podstawie upoważnienia Administratora Danych, została zapoznana z Polityką bezpieczeństwa w zakresie ochrony danych osobowych i zobowiązana do jej przestrzegania. Dotyczy to w szczególności pracowników zatrudnionych przez Administratora Danych.

Podstawowym celem przyświecającym przygotowaniu i wdrożeniu dokumentu jest zapewnienie zgodności działania AKJAX Jacek Anzorge spółka cywilna z ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926) oraz właściwymi rozporządzeniami wykonawczymi.

Politykę bezpieczeństwa stosuje się do wszelkich czynności, stanowiących w myśl ustawy o ochronie danych osobowych przetwarzanie danych osobowych. Bez względu na źródło pochodzenia danych osobowych, ich zakres, cel zebrania, sposób przetwarzania lub czas przetwarzania, stosuje się zasady przetwarzania danych osobowych ujęte w niniejszym dokumencie.

 

DFEFINICJE 

Art. 1.

Ilekroć w niniejszym dokumencie jest mowa o:

  1. polityce bezpieczeństwa – rozumie się przez to politykę bezpieczeństwa w zakresie ochrony danych osobowych w AKJAX Jacek Anzorge s.c.;
  2. systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
  3. zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów,
  4. spółce, jednostce – rozumie się przez to AKJAX Jacek  Anzorge s.c.;
  5. przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
  6. danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
  7. administratorze bezpieczeństwa informacji - rozumie się przez to osobę wyznaczoną do pełnienia tej funkcji przez administratora danych osobowych, a odpowiedzialną w danej jednostce organizacyjnej za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w wypadku naruszeń w systemie zabezpieczeń;
  8. administratorze danych osobowych – rozumie się przez to AKJAX Jacek  Anzorge s.c.;
  9. rozporządzeniu – rozumie się przez to rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 ),
  10. ustawie - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z poźn. zm.);
  11. instrukcji – rozumie się przez to Instrukcję zarządzania systemem informatycznym AKJAX Jacek  Anzorge s.c.;

 

POSTANOWIENIA OGÓLNE

Art. 2

  1. Polityka Bezpieczeństwa reguluje sprawy ochrony danych osobowych przetwarzane przez AKJAX Jacek Anzorge s.c..
  2. Polityka  bezpieczeństwa informacji powstała w oparciu o:
    1. ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 wraz z późniejszymi zmianami),
    2. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
  3. _@KON@_Polityka bezpieczeństwa zawiera:
    1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
    2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
    3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
    4. sposób przepływu danych pomiędzy poszczególnymi systemami.
    5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
  4. Zarządzanie systemem informatycznym służącym do przetwarzania danych osobowych w AKJAX Jacek  Anzorge s.c. zostało uregulowane w odrębnej Instrukcji.
  5. Spółka może wydawać procedury szczególne dotyczące poszczególnych kwestii związanych z ochroną danych osobowych.

 

Art. 3

Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych prowadzi się dokumentację opisującą sposób przetwarzania danych oraz środki ochrony tych danych. W skład tej dokumentacji wchodzą w szczególności: 

  1. polityka bezpieczeństwa w zakresie ochrony danych osobowych,
  2. instrukcja określająca sposób zarządzania i formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych,
  3. inne zarządzenia, instrukcje, wytyczne, procedury i polecenia służbowe określające zasady i procedury mające znaczenie dla ochrony danych osobowych wydawane przez upoważnione podmioty. 

 

Art. 4

  1. Administrator danych może wyznaczyć osobę odpowiedzialną za nadawanie uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym. 
  2. Administrator danych wyznacza Administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.

 

Art. 5

  1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, w wypadkach przewidzianych ustawą należy poinformować tę osobę o:
    1. adresie swojej siedziby i pełnej nazwie,
    2. celu zbierania danych, a w szczególności o znanych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
    3. prawie wglądu do swoich danych oraz ich poprawiania,
    4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
  2. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
    1. adresie swojej siedziby i pełnej nazwie,
    2. celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
    3. źródle danych,
    4. prawie wglądu do swoich danych oraz ich poprawiania,
    5. prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, jeżeli nawet przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą,
    6. prawie wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

 

Art. 6

  1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dokłada się  szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: 
    1. przetwarzane zgodnie z prawem,
    2. zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
    3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
    4. przechowywane w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 
  2. Pod szczególną ochroną pozostają wrażliwe dane osobowe wymienione w art. 27 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

 

Art. 7

  1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed: 
    1. udostępnieniem osobom nieupoważnionym,
    2. zabraniem przez osobę nieuprawnioną,
    3. przetwarzaniem z naruszeniem ustawy,
    4. zmianą, utratą, uszkodzeniem lub zniszczeniem.
  2. W zakresie ochrony danych osobowych dąży się do systematycznego unowocześniania stosowanych technicznych i organizacyjnych środków ochrony.

 

Art. 8

  1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych sprawuje się  kontrole i nadzór nad niszczeniem zbędnych danych osobowych lub ich zbiorów.
  2. Niszczenie zbędnych danych osobowych lub ich zbiorów polegać powinno w szczególności na:
    1. trwałym, fizycznym zniszczeniu danych osobowych lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod,
    2. anonimizacji danych osobowych lub ich zbiorów polegającej na pozbawieniu danych osobowych lub ich zbiorów cech pozwalających na identyfikacje osób fizycznych, których anonimizowane dane dotyczą. 

 

PRZETWARZANIE I UDOSTĘPNIANIE DANYCH OSOBOWYCH

Art. 9

  1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dopuszcza się do ich przetwarzania i udostępniania w systemie informatycznym lub tradycyjnym wyłącznie osobom do tego upoważnionym.
  2. Upoważnienie, o którym mowa w ustępie powyżej wynikać może w szczególności:
    1. z charakteru pracy wykonywanej na danym stanowisku,
    2. z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku, lub
    3. z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych,
    4. odrębnej umowy,
  3. Przetwarzanie danych w systemie informatycznym uregulowane jest w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych.

 

Art. 10

Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upoważnienia administratora danych osobowych lub upoważnionej przezeń osoby może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii.

 

Art. 11

Osoby upoważnione do przetwarzania danych osobowych zostają zaznajomione z zakresem informacji objętych tajemnicą w związku z wykonywaną przez siebie pracą. W szczególności są one informowane o powinności zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.

 

PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

Art. 12

  1. Osobom, których dane osobowe są przetwarzane zapewnia się realizację uprawnień wynikających z  obowiązujących przepisów prawa.
  2. W szczególności każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a także prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych na zasadach określonych w art. 32 – 35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

 

POMIESZCZENIA, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE

Art. 13

  1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych wyznacza się zespół pomieszczeń w siedzibie Spółki jako pomieszczenia, w których przetwarzane są dane osobowe.
  2. Wyznaczone lokale, w których przetwarza się dane osobowe uniemożliwiają lub co najmniej ograniczają niekontrolowany dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu. 

 

Art. 14

Całkowite opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe musi wiązać się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób niepowołanych.

 

ZBIORY DANYCH OSOBOWYCH

Art. 15

  1. Spółka realizuje politykę bezpieczeństwa w zakresie ochrony danych osobowych dotyczących zbioru danych o Klientach Spółki przetwarzanych w formie pisemnej oraz elektronicznej.
  2. Zabrania się tworzenia zbiorów danych osobowych, a także gromadzenia w zbiorach lub poza nimi kategorii danych osobowych innych niż niezbędne dla realizacji celów Spółki.

 

Art. 16

  1. Do przetwarzania danych osobowych w formie elektronicznej wykorzystuje się  programy komputerowe do tego przeznaczone.
  2. Do przetwarzania danych osobowych dopuszcza się wykorzystywanie także programów z pakietu Microsoft Office przy zachowaniu wymogów określonych w Instrukcji oraz Polityce Bezpieczeństwa. 

 

Art. 17

  1. W systemie zbierane są dane zawierające informacje o osobach będących klientami Spółki, które przetwarzane są zgodnie z Ustawą oraz/lub zgodziły się na ich przetwarzanie.
  2. Struktura zbioru danych przedstawiona jest w załączniku nr 1 do niniejszej Polityki Bezpieczeństwa.

 

Art. 18

  1. Zbiór danych o Klientach Spółki przetwarzany jest w systemie papierowym, a następnie następuje ich przepływ do systemu informatycznego do odczytu, edycji oraz zapisu lub też zbiór ten przetwarzany jest bezpośrednio w systemie informatycznym.  Po przepływie informacji system informatyczny stanowi odrębny zbiór danych.
  2. Przepływ danych z systemu papierowego do elektronicznego następuje przez osoby uprawnione.
  3. Do systemu elektronicznego następuje przepływ danych zgodnie ze schematem programu.
  4. Przepływ danych o Klientach Spółki w systemie elektronicznym następuje jedynie pomiędzy podmiotami uprawnionymi.
  5. W przypadku korzystania z pakietu Microsoft Office programy te są niezależne i posiadają samodzielne bazy danych.
  6. Zasady korzystania z systemu informatycznego zostały uregulowane w Instrukcji.

 

ŚRODKI TECHNICZNE I ORGANIZACYJNE DO ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI

Art. 19

W spółce stosuje się w szczególności następujące środki ochrony fizycznej:

  1. zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami,
  2. pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy,

 

Art. 20

W spółce stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

  1. dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
  2. środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych,
  3. system rejestracji dostępu do systemu/zbioru danych osobowych,
  4. środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity,
  5. system Firewall do ochrony dostępu do sieci komputerowej.

 

Art. 21

W spółce stosuje się w szczególności  następujące środki ochrony w ramach narzędzi programowych i baz danych:

  1. środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych,
  2. środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych,
  3. dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
  4. systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego,
  5. wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
  6. mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

 

Art. 22

W spółce stosuje się w szczególności  następujące środki ochrony w ramach środków organizacyjnych:

  1. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
  2. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego,
  3. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
  4. monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane,
  5. ustalono Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych,

 

POSTANOWIENIA KOŃCOWE

§ 23.

W sprawach nie uregulowanych niniejszą Instrukcją zastosowanie znajdują:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.).
  2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100 poz. 1024).

 

Załącznik nr 1 – struktura zbioru danych – do polityki bezpieczeństwa w zakresie ochrony danych osobowych w AKJAX Jacek Anzorge s.c.

Zbiór składa się z danych wymaganych przez system informatyczny, tj. w szczególności:

  1. Imienia i nazwiska Klienta,
  2. Adresu zamieszkania Klienta,
  3. Numer telefonu Klienta,
  4. Adres e-mail Klienta,
  5. Adres korespondencyjny Klienta,
  6. Numer Identyfikacji Podatkowej (NIP) Klienta,
  7. Numer PESEL Klienta,
  8. Numer dowodu tożsamości Klienta,

 

Załącznik nr 2 – wzór ewidencji osób upoważnionych do przetwarzania danych –  do polityki bezpieczeństwa w zakresie ochrony danych osobowych w AKJAX Jacek Anzorge s.c.

Lp.

Imię i nazwisko

Data nadania upoważnienia

Data ustania upoważnienia

Zakres upoważnienia do przetwarzania danych osobowych