I. Wstęp.
§ 1
Niniejsza polityka bezpieczeństwa ochrony danych osobowych, zwana dalej „polityką bezpieczeństwa” została opracowana w rozumieniu przepisów ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 24.05.2018 r. poz. 1000) i Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
§ 2
Celem polityki bezpieczeństwa jest zabezpieczenie danych osobowych przetwarzanych przez Firmę zgodnie z wymogami prawa, a w szczególności zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, przetwarzaniem z naruszeniem przepisów prawa, zmianą, utratą, uszkodzeniem, zniszczeniem, włamaniem do pomieszczeń z danymi, systemu lub archiwów z danymi, a także innymi zdarzeniami mogącymi zagrozić lub naruszyć poufność, integralność i rozliczalność przetwarzanych danych.
§ 3
Zasady określone w polityce bezpieczeństwa obowiązują wszystkie osoby przetwarzające dane osobowe lub mające do nich dostęp, włączając w to osoby zatrudnione, i inne osoby świadczące usługi na podstawie umów cywilnoprawnych.
§ 4
W prowadzonej działalności bierze się pod uwagę i stosuje zasadę domyślnej ochrony danych osobowych przez monitorowanie przetwarzania danych osobowych.
§ 5
Akty prawne w polityce bezpieczeństwa:
1. ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 24.05.2018 r. poz. 1000),
2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych /RODO/GDPR),
3. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. 2015 r. poz. 719),
4. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015 p. 745),
5. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 poz. 1024),
6. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia danych do rejestracji Generalnemu Inspektorowi Danych Osobowych. (Dz.U. 2008 nr 229 poz. 1536).
Definicje:
dane osobowe – to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osoba możliwa do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań,
zbiór danych – to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
przetwarzanie danych – to jakiekolwiek operacje wykonywane na danych osobowych, jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
system informatyczny – to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
zabezpieczenie danych w systemie informatycznym – to wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
usuwanie danych – to zniszczenie danych osobowych lub taką ich modyfikacje, która nie pozwoli na ustalenie tożsamości osoby, której one dotyczą,
administrator danych – osoba fizyczna lub prawna, instytucja państwowa lub jakikolwiek inny organ, który samodzielnie lub razem z innym podmiotem określa cele i sposoby przetwarzania Danych osobowych (art. 4 pkt. 7 RODO).
procesor –osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art.4 pkt 8 RODO),
zgodzie osoby, której dane dotyczą – to oświadczenie woli, klauzula, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda może być odwołana w każdym czasie,
odbiorcy danych – to każdy, komu udostępnia się dane osobowe, z wyłączeniem osoby, której one dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela,
obszar przetwarzania danych – to wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
pracownik biura – to osoba wykonującą czynności w szczególności w oparciu o stosunek pracy, umowy cywilnoprawnej, porozumieniu o wolontariacie, praktykach,
poufność danych – to właściwość zapewniająca, że dane osobowe nie zostaną udostępnione nieupoważnionym podmiotom,
rozliczalności – to właściwość zapewniająca, że działanie podmiotu może być przypisane w sposób jednoznaczny, tylko temu podmiotowi,
integralność danych – to właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
polityka bezpieczeństwa – to zestaw zasad i reguł praktycznych oraz wytycznych regulujących sposób gromadzenia i przetwarzania danych osobowych wewnątrz Oddziału,
UOD – Urząd Ochrony Danych.
Zgoda to:
- oświadczenie lub wyraźne działanie udzielającego zgody,
- dobrowolna, konkretna, świadoma, jednoznaczna (motyw32 RODO),
- nie wymaga żadnej szczególnej formy,
- milczenie, okienka domyślnie zaznaczone lub nie podjęcie działania nie powinno oznaczać zgody (motyw 32 RODO),
- jeżeli przetwarzanie służy różnym celom potrzebna jest zgoda na wszystkie cele,
- zgoda na udostępnienie danych powinna stanowić oświadczenie odrębne od innych zgód,
- skuteczna zgoda to zgoda dobrze poinformowanego!
- ciężar dowodu wykazania uzyskania zgody spoczywa na administratorze!
- zgoda może być cofnięta w dowolnym momencie,
- skutkiem cofnięcia jest brak możliwości przetwarzania danych na podstawie zgody w przyszłości tj. po skutecznym odwołaniu zgody,
- osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie musi być równie łatwe jak wyrażenie (art.7 RODO).
II. Uprawnieni do przetwarzania danych osobowych i zakres przetwarzanych danych
§ 6
Administratorem Danych Osobowych (ADO) jest Pan Tomasz Jagiełło – właściciel (dane kontaktowe: Roty 62 04-420 Warszawa).
Obowiązki Administratora Danych Osobowych:
- oszacowania ryzyka i przeprowadzenia w sytuacjach tego wymagających oceny skutków dla ochrony danych (tzw. DPIA) oraz konsultacji z organem nadzoru,
- dostosowania środków ochrony do skali ryzyka (im ryzyko jest większe tym większy zakres obowiązków administratora),
- koncentrowania się na poszukiwaniu środków redukujących prawdopodobieństwo wystąpienia ryzyka,
- uwzględnienia ochrony danych osobowych w fazie projektowania oraz domyślna ochrona danych osobowych.
Rejestr wykonywanych czynności:
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (również podmioty, którym powierzono przetwarzanie),
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art.49 ust.1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Obowiązki Administratora w wypadku naruszenie ochrony danych osobowych:
- w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki,
- w miarę możliwości, nie później niż w terminie 72 godzin potwierdzeniu naruszenia,
- zgłasza je organowi nadzorczemu właściwemu zgodnie z art.55, chyba że jest mało prawdopodobne, by naruszenie to skutkował o ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia,
- podmiot przetwarzający potwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi,
- Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
- Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
Administrator dla należytego zarządzania ryzykiem naruszenia praw i wolności osób fizycznych przeanalizował, oszacował procesy przetwarzania danych według wytycznych art. 29 RODO dot. oceny skutków.
§ 7
Procesor – F U H „eMKa” s.c Marek Minior, Karol Minior, 00-910 Warszawa, Emilii Gierczak 5/22 952-204-05-46 posiada Umowę o powierzenie przetwarzana danych osobowych.
Pracownicy mający dostęp do biura przetwarzają dane osobowe posiadają upoważnienia do przetwarzania danych osobowych.
-Zenon Redliński mechanik Adam Stolarczyk mechanik Siergiej Wróblewski mechanik Sławomir Ostrowski doradca serwisowy
III. Zbieranie i Cele przetwarzania danych osobowych
§ 8
Zbieranie danych osobowych oparte jest na zgodzie tj. na dobrowolnym, konkretnym, świadomym i jednoznacznym oświadczeniu woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie jej danych osobowych. Jednocześnie zapewnia się możliwość wycofania zgody przez osobę, której dane dotyczą, tak samo łatwo jak udzielenie zgody i w dowolnym momencie.
§9
W Firmie:
1. przetwarzane dane osobowe są prawidłowe i aktualne,
2. dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, niezwłocznie są usuwane lub prostowane,
3. wszystkie informacje kierowane do osób, których dane dotyczą, formułuje się jasnym
i prostym językiem, zwięzłym i zrozumiałym – tj. zrozumiałym bez trudu,
4. każda osoba ma prawo mieć kontrolę nad dotyczącymi jej danymi osobowymi, gromadzonymi i przetwarzanymi zwłaszcza:
- bycia poinformowanym o operacjach przetwarzania,
- dostępu do danych,
- sprostowania lub uzupełnienia danych, usunięcia danych, ograniczenia przetwarzania,
- przenoszenia danych,
- sprzeciwu,
- nie podlegania profilowaniu.
W załączeniu klauzula do dokumentów.
§ 10
W przypadku zbierania danych dokonujący tej czynności zobowiązany jest do poinformowania osoby, której one dotyczą o:
a. adresie siedziby, b. celu zbierania danych osobowych, c. prawie dostępu do treści swoich danych oraz ich poprawiania,
d. dobrowolności albo obowiązku podania danych, jeżeli taki obowiązek istnieje, o jego podstawie prawnej,
e. okresie przez który dane będą przechowywane,
f. poinformowania osoby o prawie przenoszenia danych,
g. poinformowania osoby o „prawie bycia zapomnianym.
§ 10
Firma w ramach swojej działalności przetwarza dane osobowe w celu prowadzenia:
- działu kadr i płac, współpracy z kontrahentami,
- działu księgowości wewnętrznej,
- działu księgowości zewnętrznej,
- napraw i serwisu.
Wszystkie te cele służą realizacji usług zleconych przez klientów.
§ 11
Wykaz zbiorów danych osobowych zawiera także wykaz czynności przetwarzanych danych osobowych załącznik nr 3 do polityki.
§ 12
Prawo do bycia zapomnianym oznacza usunięcie danych przez Administratora danych osobowych danych osoby, która chciałaby być zapomniana, w całości systemu. Dotyczy to także usunięcia danych przez inne podmioty, przetwarzające dane w imieniu Firmy.
IV. Audyt dokumentacji
§ 13
Administrator wprowadził obowiązek informowania o obowiązku ochrony danych osobowych:
1. w dokumentacji dotyczącej:
- likwidacji szkody przesyłanej do firm ubezpieczeniowych załączane jest upoważnienie o przetwarzaniu danych osobowych – załącznik,
- w formularzach dotyczących zgłoszenia napraw, serwisu, jest zapis o wyrażeniu dobrowolnej zgody przez klienta, terminie jej wygaśnięcia i sposobie jej wycofania – klauzula;
2. pracownicy posiadają upoważnienia do przetwarzania danych osobowych, zostali poinformowani do używania na komputerach firmy tylko programów z licencjami i nie podłączania do komputera dysków zewnętrznych i pendrive bez zgody Administratora danych osobowych – załącznik;
3. firmy ubezpieczeniowe, z którymi Firma współpracuje otrzymują upoważnienia przetwarzania danych osobowych;
4. w pozostałych dokumentach jak: zgłoszenia do napraw, serwisu, zleceniodawca klient podpisuje zgodę do przetwarzania danych i czas przetwarzania klauzulę;
5. współpracujący rzeczoznawcy posiadają upoważnienia do przetwarzania danych osobowych bezpośrednio od zleceniodawców. Zbierane są kopie upoważnień;
6. dokumentację kadrową firmy prowadzi – Administrator danych – właściciel; 7. dokumentację księgową (faktury, umowy, deklaracje ZUS) prowadzi procesor 8. Administrator prowadzi rejestr wydanych upoważnień – załącznik nr 1 do polityki;
9. przy przetwarzaniu danych w likwidacji szkód przesyła upoważnienie powierzenia przetwarzania danych osobowych wraz z dokumentacją do firm ubezpieczeniowych – załącznik;
11. w dokumentach pobieranych z strony elektronicznych zawierającymi dane osobowe znajduje się oświadczenie o wyrażeniu zgody na przetwarzanie danych;
12. Administrator wprowadził w biurze zasadę czystego biurka, zobligował pracowników – do ciągłego przestrzegania;
13. Administrator dokonał przeglądu dokumentów papierowych i zasobów elektronicznych pod kątem ograniczenia gromadzenia danych osobowych niezbędnych do zawarcia umowy lub zlecenia.
V. Środki techniczne i organizacyjne
§ 16
W celu ochrony danych osobowych spełnia się wymogi: 1. administrator danych powołał administratora bezpieczeństwa informacji – dotyczy nie dotyczy;
2. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych;
3. prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
4. opracowano i wdrożono politykę bezpieczeństwa;
5. opracowano instrukcję przetwarzania systemów informatycznych;
6. wdrożono Instrukcję postępowania w sytuacji naruszenia danych osobowych – załącznik;
§ 17
W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych – opis:
1. siedziba biura posiada jedno pomieszczenie zabezpieczone do którego ma dostęp właściciel – Administrator i upoważnieni pracownicy;
2. drzwi antywłamaniowe metalowe otwierane i zamykane przez Administratora danych. 3. zbiory danych osobowych przechowywane są w pomieszczeniu biura i zabezpieczone w szafie zamykanej;
4. pomieszczenia, w których przechowywane są zbiory danych osobowych, zabezpieczone są przed skutkami pożaru za pomocą wiszących gaśnic, 5. niszczenie brudnopisów, zleceń błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści, w szczególności w sposób mechaniczny za pomocą niszczarki dokumentów.
6. w biurze pracuje 3 komputery przenośne na których przetwarzane są dane osobowe i inne procesy związane z działalnością firmy.
§ 18
W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
1. zbiory danych osobowych przetwarzane są przy pomocy komputerów przenośnych,
2. komputery służące do przetwarzania danych nie są połączone z lokalną siecią komputerową,
3. dostęp do systemu operacyjnego każdego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem hasła,
4. polityka plików cookie aktywna, występuje na stronie firmy www.ismserwis.pl
5. zastosowano środki ochrony przed szkodliwym oprogramowaniem – program antywirusowy,
§ 19
W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi i baz danych:
1. dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem hasła,
2. zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe nie dotyczy;
3. komputery pracują na legalnych oprogramowanych i zabezpieczone są programami antywirusowymi.
§ 20
W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:
1. biuro zabezpieczonych zamkiem,
2. upoważnionym od otwarcia i zamknięcia biura jest właściciel,
3. klucze do pomieszczeń zabezpieczane są przez właściciela,
4. obiekt ubezpieczony od OC (kradzież, spalenie zalanie),
5. osoby zatrudnione i osoby upoważnione z racji pełnionych funkcji przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy – załącznik,
6. monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane,
7. niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych i organizacyjnych, a za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia,
8. przebywanie osób nieupoważnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem,
9. w miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. „czystego biurka”, co oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym,
10. pracownicy do zamykania na klucz wszelkich pomieszczeń wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczaniu pracy lub działania, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach,
11. Firma nie zatrudnia osób sprzątających, ani firmy ochroniarskiej– brak dostępu osób trzecich.
VI. Upoważnienia do przetwarzania danych osobowych.
§ 21
Każdy pracownik biura, praktykant i stażysta, przetwarzający dane osobowe musi otrzymać stosowne upoważnienie.
§ 22
Wydawanie i cofanie upoważnienia do przetwarzania danych osobowych należy do zakresu czynności Administratora danych.
§ 23
Osoba uzyskująca upoważnienie do przetwarzania danych podpisuje „Oświadczenie o zachowaniu poufności i zapoznania się z przepisami”.
VIII. Kontrola polityki bezpieczeństwa.
§ 24
W kontroli bezpieczeństwa ochrony danych osobowych wyróżnia się dwie formy sprawowania kontroli:
1. sprawdzanie – weryfikacja zgodności przetwarzania danych osobowych z przepisami ustawy,
2. sprawowanie nadzoru – weryfikacja aktualności dokumentacji ochrony danych osobowych a także badanie zgodności ze stanem faktycznym przewidzianych w dokumentacji środków technicznych i organizacyjnych oraz ogólnych zasad i obowiązków określonych w dokumentacji.
§ 25
Tryb przeprowadzania kontroli określa Administrator Danych Osobowych.
XI. Tryb postępowania w sytuacji naruszenia ochrony danych osobowych.
§ 26
Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych osobowych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłoczne zgłosić Administratorowi Danych Osobowych.
§ 27
Szczegółowy tryb postępowania w przypadku naruszenia ochrony danych osobowych:
1. W przypadku wystąpienia naruszenia danych osobowych, fakt ten zgłasza się do UOD w ciągu 72 godzin od momentu wykrycia lub uzyskania informacji o naruszeniu.
2. W przypadku naruszenia danych osobowych powiadamia się osobę, której dane zostały naruszone.
IX Podsumowanie.
1. Administrator dba o zasadności zbierania danych ograniczania zbiorów. Wdraża na bieżąco zmiany w pracy z danymi.
23.05.2018 r.