POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
§ 1. Informacje ogólne
- Polityka bezpieczeństwa przetwarzania danych osobowych przez Jodavita Sp. z o.o. z siedzibą w Warszawie, ul. Połczyńska 89, KRS 0000349815 (dalej zwana „Spółką”) zwana dalej „Polityką”, została wydana w związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej „RODO”.
- Celem Polityki jest zapewnienie ochrony danych osobowych przetwarzanych w celach określonych w RODO przez Spółkę przed wszelkiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
- Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz wprowadzonych zabezpieczeń technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych.
- Przetwarzanie danych osobowych przez Spółkę odbywa się za pomocą systemów informatycznych.
§ 2. Definicje
- Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
- Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
- Przetwarzanie danych – wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
- System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
- Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
- Użytkownik danych – osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym, która posiada ustalony login i hasło;
§ 3. Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe
- Przetwarzanie danych osobowych odbywa się w siedzibie Spółki.
- Dane osobowe są przechowywane w następujących pomieszczeniach:
-
- Pokój administracji i działu operacyjnego w siedzibie Spółki – w trybie roboczym, w zależności od potrzeb;
- Pomieszczenie Zarządu – w trybie roboczym, w zależności od potrzeb;
- Pomieszczenie Archiwum – przechowywanie – dostęp zabezpieczony zamkiem.
- Kopie danych osobowych przechowywane są na dyskach komputerowych lub innych nośnikach danych, które przechowywane są w siedzibie Spółki, na komputerach pracowniczych, częściowo także na serwerach firmowych.
- Szafa w której znajdują się kopie zapasowe znajduje się w pomieszczeniu Archiwum.
- Osoby nieupoważnione mogą przebywać w pomieszczeniach, w których przechowuje się dane osobowe za zgodą Administratora lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
- Dostęp do pomieszczeń, w których znajduje się sprzęt komputerowy, podlega kontroli, w celu zabezpieczenia sprzętu oraz danych osobowych i oprogramowania przed ich wykorzystaniem lub zniszczeniem przez osoby trzecie.
- Pomieszczenia, w których znajduje się sprzęt komputerowy służący do przetwarzania danych osobowych wyposażone są w zamki. Ostatni z użytkowników danych, który opuszcza pomieszczenie ma obowiązek zamknąć drzwi na klucz.
- Administrator Biura prowadzi pisemną ewidencję wydawania kluczy do pomieszczeń w których przechowywane są dane osobowe.
§ 4. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
- Zbiory danych osobowych składają się z:
- danych osobowych pracowników oraz osób współpracujących w oparciu o umowy cywilne;
- danych osobowych klientów – w tym przede wszystkim jednoosobowe działalności gospodarcze, spółki
- Dane w zbiorach mają formę elektroniczną i są przetwarzane w zasobach systemu informatycznego oraz formę papierową i są przetwarzane w siedzibie Spółki.
- Do zasobów systemu informatycznego służącego do przetwarzania danych osobowych zalicza się:
- System Sage Symfonia – w którym przetwarzane są zbiory danych osobowych klientów
- System Sage Symfonia- w którym przetwarzane są zbiory danych osób zatrudnionych w Spółce na podstawie umów o pracę oraz osób współpracujących w oparciu o umowy cywilne;
- Pliki Word i Excel na komputerach – tworzone ad hoc – oddzielnie dla każdego kontrahenta.
Dane powinny być usuwane odpowiednio do potrzeb realizacji usługi, z zastrzeżeniem odpowiednich przepisów podatkowych, ubezpieczeniowych, okresu rękojmi i gwarancji.
§ 5. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
- W zbiorze danych przetwarzane są dane osobowe:
- pracowników oraz osób współpracujących w oparciu o umowy cywilne;
- klientów.
- Dane pracowników oraz osób współpracujących w oparciu o umowy cywilne zawierają:
1. Imię i nazwisko
2. adres zamieszkania/zameldowania;
3. PESEL;
4. NIP
5. Datę urodzenia;
6. Numer rachunku bankowego;
7. Numer telefonu;
8. Adres email.3. Dane Klientów i kontrahentów zawierają:
1. Imię i nazwisko;
2. adres zamieszkania;
3. adres siedziby
4. PESEL;
5. NIP;
6.Numer rachunku bankowego;
7. Numer telefonu;
8.Adres email.
§ 6. Sposób przepływu danych pomiędzy systemami
- Obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi Spółki powinien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych. W tym celu wykorzystuje się certyfikowane programy pocztowe oraz szyfrowane połączenia.
- Nie jest dozwolone kopiowanie danych niezaszyfrowanych, w szczególności ich przechowywanie lub przenoszenie na niezabezpieczonych hasłem nośnikach (pendrive, CD, DVD, email).
- Przekazywanie danych w systemie informatycznym odbywa się w sposób szyfrowany.
§ 7. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych
- Do zastosowanych przez Administratora Danych i osoby przez niego upoważnione, środków organizacyjnych służących zapewnieniu poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych należy:
- Opracowanie i wdrożenie niniejszej Polityki;
- Zarządzanie systemami informatycznymi Spółki w sposób zapewniający odpowiednie bezpieczeństwo, szyfrowanie, back-up danych zabezpieczające przed nieautoryzowanym dostępem osób trzecich;
- Nadanie przez Spółkę członkom organów Spółki, pracownikom, osobom współpracującym upoważnienia do przetwarzania danych osobowych;
- Sprawowanie przez Spółkę kontroli i nadzoru nad procesem wprowadzenia danych osobowych do zbioru oraz ich udostępnienia.
- Prowadzenie rejestru czynności związanych z przetwarzaniem danych.
- Dostęp do danych wprowadzonych przez użytkowników danych mają jedynie Administrator Danych, osoby upoważnione oraz Spółkę.
- Każdy komputer oraz nośnik danych, na którym znajdują się dane osobowe posiada aktualne oprogramowanie antywirusowe.
- Kopie danych zawartych w systemie tworzy się jeden raz miesiącu.
- Kopia danych oraz systemu informatycznego tworzona jest przez każdego użytkownika, który po sporządzeniu kopii jest zobowiązany do jej zabezpieczenia jej.
- Kopia zapasowa danych zabezpieczana jest hasłem przekazanym przełożonemu.
- Dostęp do danych osobowych przetwarzanych w systemach informatycznych chroniony jest poprzez zastosowanie loginów i haseł uniemożliwiających nieuprawnione korzystanie osobom nieuprawnionym.
- Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą zgodnie z RODO.
- Każda osoba zobowiązana jest niezwłocznie informować przełożonego o każdym stwierdzonym przypadku naruszenia zasad przetwarzania danych, wraz z podaniem wszystkich okoliczności zdarzenia. W szczególności zobowiązana jest do zawiadomienia o każdym przypadku zgłoszenia zastrzeżeń, roszczeń przez osoby trzecie.
§ 8. Nadawanie i zmiana uprawnień do przetwarzania danych osobowych
- Tylko osoby, posiadające upoważnienie udzielone przez Spółkę mają dostęp i mogą przetwarzać dane osobowe.
- Przed przystąpieniem do przetwarzania danych osobowych, każdy użytkownik danych musi zapoznać się z następującymi dokumentami:
- RODO;
- niniejszą Polityką bezpieczeństwa;
- Zapoznanie się z powyższymi dokumentacji użytkownik danych potwierdza własnoręcznym podpisem.
- Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na wprowadzeniu do systemu dla każdego użytkownika danych unikalnego identyfikatora (loginu) oraz hasła ze wskazaniem zakresu dostępnych danych i operacji.
- Użytkownik danych zobowiązany jest do zmiany hasła przynajmniej co 30 dni i przekazać je przełożonemu.
- Użytkownik danych ponosi wszelką odpowiedzialność za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła dostępu.
- Wszelkie przekroczenia lub jakiekolwiek próby przekroczenia przyznanych uprawnień, traktowane będą jako naruszenie podstawowych obowiązków pracowniczych.
- Użytkownik danych zobowiązany jest do zachowania ich w poufności oraz dołożenia wszelkich starań, aby dane osobowe nie zostały przekazane osobom nieuprawnionym.
- Spółka jest zobowiązana do prowadzenia i ochrony rejestru użytkowników danych i ich uprawnień w systemie informatycznym.
§ 9 Postanowienia końcowe
- Osoby, które zapoznały się z niniejszym dokumentem zobowiązują się do stosowania zasad w nim zawartych.
- Spółka prowadzi ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych.
- Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce może być podstawą rozwiązania stosunku pracy bez wypowiedzenia, lub wypowiedzenia umowy cywilnoprawnej z osobą, która dopuściła się naruszenia.
- Wdrożenie Polityki bezpieczeństwa odbywa się poprzez zapoznanie osób wchodzących w skład organów organizacji, pracowników, osób współpracujących na podstawie umów cywilnych z jej treścią.
- Polityka bezpieczeństwa wchodzi w życie z dniem 25 maja 2018 roku.
- Zmiany w Polityce bezpieczeństwa będą wchodzić w życie w terminach określonych w odpowiednim zawiadomieniu przesyłanym za pośrednictwem poczty email.
- W sprawach nieobjętych niniejszą Polityką bezpieczeństwa mają zastosowanie przepisy RODO i odpowiednich ustaw wydanych na podstawie RODO.
Agnieszka Tuszko – Prezes Zarządu