Polityka ochrony danych osobowych
Polityka ochrony danych osobowych
Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych
w ramach działalności gospodarczej prowadzonej przez Stojak Studio Kamila Stojanow ul. Olimpijska 12/25, 94-043 Łódź NIP: 727-276-07-86, email: kontakt@stojakstudio.com.
Rozdział I
Postanowienia ogólne
§ 1
Celem niniejszej polityki jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe, w tym zapewnienie ochrony danych osobowych przed wszelkiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi
§2
Niniejsza polityka została wdrożona w związku z treścią art. 24 ust. 2 RODO jako dowód dołożenia należytej staranności w zakresie ochrony danych osobowych.
§ 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz samych użytkowników.
§ 4
Obok niniejszej polityki opracowano i wdrożono instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Określa ona sposób zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa.
§ 5
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych rozumiane jest jako zapewnienie ich poufności, integralności, rozliczności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej
- dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§ 6
- Administrator danych osobowych nie wyznaczył administratora systemów informatycznych i wszelkie jego obowiązki wykonuje samodzielnie.
Rozdział II
Zakres stosowania
§ 7
Polityka bezpieczeństwa zawiera informacje dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
§ 8
Politykę bezpieczeństwa stosuje się w szczególności do:
- danych osobowych przetwarzanych w formie papierowej,
- danych osobowych przetwarzanych w systemach informatycznych,
- informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
- rejestru osób dopuszczonych do przetwarzania danych osobowych,
- innych dokumentów zawierających dane osobowe.
§ 9
- Zakresy ochrony danych osobowych określone przez niniejszą politykę mają zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w szczególności do:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych, w których przetwarzane są dane osobowe podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich pracowników, zleceniobiorców, wykonawców umów o dzieło, wykonawców umów o świadczenie usług, praktykantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie.
- Do stosowania zasad określonych przez Politykę bezpieczeństwa zobowiązani są wszyscy pracownicy, zleceniobiorcy, wykonawcy umów o dzieło, wykonawcy umów o świadczenie usług, praktykanci, stażyści i inne osoby mające dostęp do informacji podlegających ochronie.
- Polityka bezpieczeństwa nie dotyczy podmiotów zewnętrznych, które przetwarzają dane osobowe powierzone im do przetwarzania przez administratora danych osobowych na podstawie stosownych umów powierzenia. Podmioty te stosują własne procedury i środki bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa, do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych osobowych.
Rozdział III
Opis działalności administratora danych osobowych, obszar przetwarzania danych osobowych i sprzęt wykorzystywany do przetwarzania danych osobowych
§ 10
- Administrator danych osobowych prowadzi działalność gospodarczą, w związku z czym dochodzi do przetwarzania danych osobowych.
- Dane osobowe przetwarzane są zarówno w formie elektronicznej, jak i papierowej.
§ 11
- Dane osobowe przetwarzane są w obrębie siedziby administratora danych osobowych. Siedziba znajduje się pod następującym adresem: ul. Olimpijska 12/25, 94-043 Łódź.
- Dane osobowe w formie papierowej przechowywane są w obrębie siedziby administratora danych osobowych.
- Dane osobowe w formie elektronicznej przetwarzane są w obrębie siedziby administratora danych osobowych, ale mogą być przetwarzane z dowolnego miejsca i w dowolnym czasie, ponieważ przetwarzanie odbywa się z wykorzystaniem komputerów oraz innych urządzeń przenośnych. Ponadto, przetwarzanie odbywa się w ramach systemów informatycznych, do których dostęp następuje on-line, a systemy te nie są zainstalowane lokalnie na komputerach.
- Ponieważ administrator danych osobowych powierza przetwarzanie danych osobowych podmiotom trzecim, do przetwarzania danych osobowych dochodzi również w innych lokalizacjach, ale w tym zakresie czynności przetwarzania dokonuje podmiot trzeci lub ewentualnie podmioty do tego przez niego upoważnione. Administrator danych osobowych nie ma szczegółowej wiedzy na temat lokalizacji, w obrębie których dochodzi do przetwarzania danych przez podmioty, którym powierzył przetwarzanie danych osobowych, ale podmioty te zobowiązały się do stosowania odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez przepisy prawa.
- Odpowiednie środki ochrony danych osobowych zostały wdrożone w lokalizacji, o której mowa w ust. 1 powyżej oraz na urządzeniach wykorzystywanych do przetwarzania danych osobowych. Jeżeli chodzi o podmioty, którym administrator powierzył przetwarzanie danych osobowych, oświadczyły one, że wdrożyły odpowiednie środki ochrony i bezpieczeństwa danych osobowych wymagane przez przepisy prawa i zobowiązały się je utrzymywać przez okres powierzenia przetwarzania danych.
§ 12
- Dane osobowe przetwarzane są przy wykorzystaniu komputera stacjonarnego, tabletu oraz smartfonu.
- Przetwarzanie danych przy wykorzystaniu wskazanych powyżej urządzeń polega na tym, że następuje z nich logowanie do systemów, w ramach których przetwarzane są dane osobowe. Dane są również przechowywane na dyskach komputerów.
Rozdział IV
Środki techniczne i organizacyjne zabezpieczenia danych
§ 13
- W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wprowadzono zabezpieczenia organizacyjne i techniczne.
- Zabezpieczenia organizacyjne:
- sporządzono i wdrożono politykę ochrony danych osobowych,
- sporządzono i wdrożono instrukcję zarządzania systemami informatycznymi,
- do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych osobowych,
- osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
- osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
- dane osobowe przetwarzane są w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- dane osobowe w formie papierowej przechowywane są w zamkniętej, metalowej szafce,
- dokumenty zawierające dane osobowe są po ustaniu przydatności niszczone,
- monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
- kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafce.
- Zabezpieczenia techniczne:
- zastosowano system Firewall do ochrony dostępu do sieci komputerowej,
- zastosowano środki ochrony przed szkodliwym oprogramowaniem,
- zastosowano uwierzytelnienie z wykorzystaniem identyfikatora użytkownika oraz hasła przy dostępie do zbioru danych,
- zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych,
- zastosowano uwierzytelnienie z wykorzystaniem identyfikatora użytkownika oraz hasła przy starcie systemu operacyjnego komputera,
- zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji,
- zastosowano kryptograficzne środki ochrony danych przechowywanych na dyskach komputerów,
- zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych,
- zastosowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
- Wskazane powyżej środki techniczne i organizacyjne zabezpieczenia danych dotyczą wyłącznie środków wdrożonych bezpośrednio przez administratora danych osobowych. W zakresie, w jakim administrator danych osobowych powierzył przetwarzanie danych osobowych innym podmiotom, podmioty te zobowiązały się utrzymywać odpowiednie środki ochrony danych osobowych wymagane przez przepisy prawa.
Rozdział V
Zadania administratora danych osobowych i administratora systemu informatycznego
§ 14
- Do najważniejszych obowiązków administratora danych osobowych należy:
- organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami obowiązujących przepisów prawa,
- zapewnienie przetwarzania danych zgodnie z uregulowaniami niniejszej polityki,
- wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych i zgłoszenie faktu naruszenia organowi nadzorczemu oraz zawiadomienie o tym osobę, której dane dotyczą,
- nadzór nad bezpieczeństwem danych osobowych,
- inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
- przeprowadzanie szkoleń użytkowników zgodnie z ust. 2, 3, 4, 5 poniżej.
- Każdy użytkownik, za wyjątkiem administratora danych osobowych, przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
- Zakres szkolenia powinien obejmować zaznajomienie użytkownika z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych oraz z instrukcjami obowiązującymi u administratora danych osobowych.
§ 15
- Administratorem systemu informatycznego jest osoba określona przez administratora danych osobowych. Powołanie administratora systemu informatycznego dokonywane jest w formie pisemnej. Jeżeli administrator systemu informatycznego nie zostanie powołany, jego zadania wykonuje administrator danych osobowych.
- Administrator systemu informatycznego odpowiedzialny jest za:
- bieżący monitoring i zapewnienie ciągłości działania komputerów i innych urządzeń wykorzystywanych do przetwarzania danych osobowych oraz systemów operacyjnych,
- optymalizację wydajności komputerów i innych urządzeń wykorzystywanych do przetwarzania danych osobowych oraz systemów operacyjnych,
- instalację i konfiguracje sprzętu sieciowego i serwerowego,
- instalację i konfigurację oprogramowania systemowego, sieciowego,
- konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem,
- nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
- współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego,
- zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
- zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
- przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
- przyznawanie na wniosek administratora danych osobowych ściśle określonych praw dostępu do informacji w danym systemie,
- wnioskowanie do administratora danych osobowych w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń,
- zarządzanie licencjami, procedurami ich dotyczącymi,
- prowadzenie profilaktyki antywirusowej.
- Praca administratora systemu informatycznego jest nadzorowana przez administratora danych osobowych, chyba, że administrator danych osobowych nie powołał administratora systemu informatycznego – wtedy jego zadania realizuje samodzielnie administrator danych osobowych.
Rozdział VI
Zgłaszanie i zawiadamianie o naruszeniu ochrony danych osobowych
§ 16
- Każde naruszenie ochrony danych osobowych powinno być niezwłocznie zgłaszane przez użytkowników administratorowi danych osobowych. Szczegóły w zakresie postępowania w związku ze stwierdzonym naruszeniem ochrony danych osobowych przy korzystaniu z systemów informatycznych opisane zostały w Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
- Administrator danych osobowych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte środki zaradcze. Dokumentacja odbywa się z wykorzystaniem zestawienia incydentów naruszenia ochrony danych osobowych.
- W przypadku naruszenia ochrony danych osobowych, na administratorze danych osobowych ciąży obowiązek zgłoszenia tego faktu do organu nadzorczego zgodnie z postanowieniami art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z postanowieniami art. 34 RODO.
Rozdział VII
Postanowienia końcowe
§ 17
- Administrator danych osobowych ma obowiązek zapoznać z treścią niniejszej polityki każdego użytkownika.
- Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej polityce.