POLITYKA OCHRONY DANYCH OSOBOWYCH
§1
Celem Polityki Ochrony Danych Osobowych, zwanej dalej ?Polityką? w Orchard Tomasz Dąbrowski z siedzibą w Dąbrowa 10, 26 -420 Nowe Miasto nad Pilicą, zwanej dalej ?Administratorem?, jest zapewnienie zgodnego z obowiązującymi aktami prawnymi poziomu ochrony danych osobowych, przetwarzanych przez Administratora, przed wszelkiego rodzaju zagrożeniami, tak zewnętrznymi jak i wewnętrznymi.
§2
Polityka została opracowana w oparciu o wymagania zawarte w:
1. Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (?RODO?,?ogólne rozporządzenie o ochronie danych?(Dz. Urz. UE.L nr 119,str.1),
2. Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych /Dz. U. z 2018 r., poz. 1000/ (Ustawa),
3. Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
§3
Obszarem przetwarzania przez Administratora danych osobowych są wydzielone pomieszczenia w budynku w miejscowości Dąbrowa 10, 26-420 Nowe Miasto nad Pilicą
§4
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia techniczne i organizacyjne, proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
§5
1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych przez Administratora rozumiane jest jako zapewnienie ich poufności, integralności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
a) poufność danych ? rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
b) integralność danych ? rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c) integralność systemu ? rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
d) dostępność informacji ? rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
e) zarządzanie ryzykiem ? rozumiane jako proces identyfikowania, kontrolowania
f ) minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§6
Podmioty, którym Administrator powierzył przetwarzanie danych osobowych na podstawie zawartej umowy powierzenia, są Podmiotami Przetwarzającymi.
§7
Administrator nie powołał inspektora ochrony danych.
ROZDZIAŁ 2 DEFINICJE
§8
Przez użyte w Polityce określenia należy rozumieć:
1. Administrator ? Orchard Tomasz Dąbrowski z siedzibą w Dąbrowa 10, 26-420 Nowe Miasto nad Pilicą, NIP 797-195-13-68,
2. dane osobowe ? wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
3. zbiór danych osobowych ? uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
4. przetwarzane danych ? każda operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
5. system informatyczny ? zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
6. system tradycyjny ? zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
7. zabezpieczenie danych w systemie informatycznym ? wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
8. administrator systemu informatycznego ? osoba lub osoby, upoważnione przez Administratora do administrowania i zarządzania systemami informatycznymi,
9. odbiorca danych ? osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot któremu ujawnia się dane osobowe na jakiejkolwiek podstawie,
10. strona trzecia ? osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia Administratora mogą przetwarzać dane osobowe,
11. identyfikator użytkownika(login) ? ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
12. hasło ? ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
ROZDZIAŁ 3 ZAKRES STOSOWANIA
§9
Administrator przetwarza dane osobowe, w tym dane osobowe pracowników, kandydatów do pracy, klientów, partnerów biznesowych, dystrybutorów itp., zebrane w zbiorach danych osobowych. Dane osobowe są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej. Polityka zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Innymi dokumentami regulującymi ochronę danych osobowych przetwarzanych przez Administratora są:
a) instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych przez Administratora,
b) ewidencja osób upoważnionych do przetwarzania danych osobowych,
c) rejestr czynności przetwarzania danych osobowych,
d) instrukcja postępowania w przypadku naruszenia ochrony danych osobowych,
e) Procedura – zasady postępowania z danymi osobowymi w formie papierowej
§10
Politykę stosuje się w szczególności do:
1. Danych osobowych przetwarzanych w stosowanych przez Administratora systemach informatycznych.
2. Informacji dotyczących danych identyfikacyjnych pracowników, klientów i kontrahentów.
3. Rejestru podmiotów przetwarzających, którym powierzono dane osobowe do przetwarzania w oparciu o umowy powierzenia
4. Informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych
5. Innych dokumentów i nośników zawierających dane osobowe.
§11
1. Zakresy ochrony danych osobowych określone przez Politykę oraz inne z nią związane akty normatywne mają zastosowanie do:
a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe,
b) wszystkich lokalizacji ? budynków i pomieszczeń, w których są lub będą przetwarzane dane osobowe,
c) wszystkich osób fizycznych mających dostęp do informacji podlegających ochronie.
2. Do stosowania zasad określonych przez Politykę oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy, współpracownicy, stażyści oraz inne osoby mające dostęp . do danych osobowych.
3. Informacje niejawne nie są objęte zakresem niniejszej Polityki.
ROZDZIAŁ 4 WYKAZ ZBIORÓW DANYCH OSOBOWYCH
§12
Dane osobowe gromadzone są w następujących zbiorach:
1. ewidencja osób upoważnionych do przetwarzania danych osobowych,
2. akta osobowe pracowników,
3. rejestr wypadków przy pracy,
4. umowy cywilno-prawne,
5.umowy zawierane z kontrahentami,
6. rejestr klientów,
7. archiwum,
§13
Zbiory danych osobowych wymienione w §12 podlegają przetwarzaniu w sposób tradycyjny lub przy użyciu systemu informatycznego.
ROZDZIAŁ 5 ŚRODKI ORGANIZACYJNE I TECHNICZNE ZABEZPIECZENIA DANYCH OSOBOWYCH
§14
1. Zabezpieczenia organizacyjne:
a. opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych i akty wymienione w §9 ust. 4,
b. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez Administratora,
c. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
d. osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy,
e. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
f. przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
g. dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
2. Zabezpieczenia techniczne:
a. wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej
b. stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
c. komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła;
3. Środki ochrony fizycznej:
a. obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest alarmem, b. obszar, na którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem,
c. urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach,
d. dokumenty i nośniki informacji zawierające dane osobowe przechowuje się zamykanych na klucz szafach.
ROZDZIAŁ 6 SZKOLENIA Z ZAKRESU OCHRONY DANYCH OSOBOWYCH
§15
Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie zasad ochrony danych osobowych w zbiorach elektronicznych i papierowych oraz zobowiązany do ich przestrzegania. Za przeprowadzenie szkolenia odpowiada Administrator. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami RODO, ustawy o ochronie danych osobowych, wydanych na jej podstawie aktów wykonawczych oraz instrukcjami obowiązującymi u Administratora. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych. Oświadczenie wskazane w ust. 4 jest przechowywane w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.
ROZDZIAŁ 7 POSTANOWIENIA KONCOWE
§16
Niniejsza procedura wchodzi w życie z dniem 23 styczeń 2020 r.