Polityka bezpieczeństwa przetwarzania danych osobowych
w Radosław Kaźmierczak Firma Usługowa
NIP: 6871755584
Rozdział 1
Postanowienia ogólne
§ 1
Dla celów bezpieczeństwa przetwarzania danych osobowych u usługodawcy Radosław Kaźmierczak Firma Usługowa zwanego dalej „Organizacją” lub „Usługodawcą” tworzy się niniejszą Politykę Bezpieczeństwa.
Celem niniejszej Polityki Bezpieczeństwa”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.
§ 2
Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w:
- Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1
- w oparciu o obowiązujące przepisy krajowe, w tym o przepisy ustawy z dnia 24 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000)
§ 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
§ 4
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Organizacji rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej.
- dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§ 5
- Administratorem danych osobowych przetwarzanych w Radosław Kaźmierczak Firma Usługowa jest Radosław Kaźmierczak.
- Administrator danych osobowych powołał inspektora ochrony danych, zgodnie art. 37 RODO. Zadania inspektora ochrony danych zawarte są w art. 39 RODO. /*/
Rozdział 2
Definicje
§ 6
Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:
- administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
- inspektor ochrony danych – osoba wyznaczona przez administratora danych osobowych, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO i przepisach krajowych,
- ustawa – ustawa z dnia 24 maja 2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz. 1000)
- RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
- dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
- zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
- przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
- system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
- system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
- zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
- administrator systemu informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
- odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
- strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
- identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
- hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Rozdział 3
Zakres stosowania
§ 7
- W Organizacji przetwarzane są dane osobowe oraz wizerunek klientów – narzeczonych planujących wesele – a zebrane są one w zbiorach danych osobowych.
- Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej.
- Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
§ 8
Politykę bezpieczeństwa stosuje się w szczególności do:
- danych osobowych przetwarzanych w systemie: Windows 10,
- wizerunku, przetwarzanego w programie graficznym w celu realizacji usługi.
- odbiorców danych osobowych.
- informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
- innych dokumentów zawierających dane osobowe w tym w szczególności do pisemnych umów zawieranych z klientami.
§ 9
- Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich pracowników, stażystów i innych osób mogących mieć dostęp do informacji podlegających ochronie (obecnie Usługodawca nie korzysta z jakiejkolwiek pracy lub pomocy osób trzecich w zakresie realizacji usług)
- Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy, stażyści oraz inne osoby mające dostęp do danych osobowych podlegających ochronie.
Rozdział 4
Wykaz zbiorów danych osobowych
§ 10
1. Dane osobowe gromadzone są w zbiorach:
- Umowy zawierane z Usługobiorcami,
- Rejestr księgowy.
- Archiwum fotograficzne i w zakresie wizerunku i danych Usługobiorców.
§ 11
Zbiory danych osobowych wymienione w § 10 ust. 1 i 2 podlegają przetwarzaniu w sposób tradycyjny, a zbiory określone w ust. 3 gromadzone są i przetwarzane przy użyciu systemu informatycznego opatrzonego technicznym zabezpieczeniem informatycznym.
Rozdział 5
Wykaz budynków, pomieszczeń, w których wykonywane są operacje przetwarzania danych osobowych
§ 12
Dane osobowe przetwarzane są w budynku, mieszczącym się w miejscowości Zadwórze 1 a 38-700 Ustrzyki Dolne.
1. | pomieszczenia, w których przetwarzane są dane osobowe (wskazanie konkretnych nr pomieszczeń) | pokój nr 1 |
2. | pomieszczenia, w których znajdują się komputery | np. pokój nr 1 |
3. | Pomieszczenia, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe | np. pokój nr 1 |
4. | pomieszczenia, w których składowane są uszkodzone komputerowe nośniki danych | np. pokój 1 |
5. | pomieszczenia archiwum | np. pokój 1 |
Rozdział 6
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
§ 13
Lp. | Zbiór danych | Dział/ jednostka organizacyjna | Program | Lokalizacja bazy danych | Miejsce przetwarzania danych |
1. | Zbiór danych – w postaci chmury internetowej | Chmura informatyczna | Zadwórze 1a | ||
2. | Zbiór umów w formie papierowej | Zadwórze 1a |
Rozdział 7
Środki organizacyjne i techniczne zabezpieczenia danych osobowych
§ 14
- Zabezpieczenia organizacyjne
- opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych,
- sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji,
- stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych,
- przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
- dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
- Zabezpieczenia techniczne
- stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
- komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i hasła dostępu.
- Środki ochrony fizycznej:
- urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach,
- dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanym na klucz sejfie.
Rozdział 8
Zadania administratora danych osobowych
§ 15
Do najważniejszych obowiązków administratora danych osobowych lub administratora bezpieczeństwa informacji należy:
- organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
- zapewnienie przetwarzania danych zgodnie z uregulowaniami polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
- przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych – w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
- wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
- nadzór nad bezpieczeństwem danych osobowych,
- kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
Rozdział 9
Postanowienia końcowe
§ 16
- Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
- Za przeprowadzenie szkolenia odpowiada administrator danych osobowych.
- Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz polityką bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi u administratora danych osobowych,
- Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.