Polityka prywatności

1. Wprowadzenie

Administratorem danych osobowych jest SALWASPORT JOANNA SALWA, ul. G. Rossiniego 13/4 03-289 Warszawa, NIP: 9930592867, REGON 146581564, zwany dalej ADO.  

1.1. Informacje podstawowe o Polityce Bezpieczeństwa – zakres i zastosowanie oraz podstawa prawna

Dokument Polityki Bezpieczeństwa jest instrukcją zawierającą zasady oraz procedury stosowane podczas przetwarzania danych osobowych przez ADO, który został stworzony i wdrożony w celu zapewnienia zgodności przetwarzania danych osobowych z powszechnie obowiązującymi normami prawnymi.  Niniejszy dokument obejmuje zasady przetwarzania danych osobowych Klientów ADO powierzone mu przez Klientów dla celów administracyjnych, identyfikacyjnych obejmujących przesyłanie informacji telefonicznie lub elektronicznie, sprzedaży, dystrybucji produktów i usług siecią teleinformatyczną, reklamy, szkoleń, marketingu  zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922). Polityka Bezpieczeństwa obejmuje 

  • wykaz budynków i pomieszczeń w których przetwarzane są dane osobowe, tzw. „obszar”
  • wykaz zbiorów danych osobowych
  • opis zbiorów danych osobowych
  • wykaz środków technicznych i organizacyjnych koniecznych dla zapewnienia prawidłowego przetwarzania danych osobowych, zapewnienia poufności, integralności i rozliczalności dokonywanych czynności.

Niniejsza Polityka Bezpieczeństwa jest bezpośrednio stosowana w celu ochrony danych osobowych przetwarzanych w SALWASPORT JOANNA SALWA. Integralną część Polityki Bezpieczeństwa stanowi Instrukcja Zarządzania Systemem Informatycznym. Stosuje się ją do wszelkich czynności których przedmiotem w rozumieniu ustawy jest przetwarzanie danych osobowych. 

ADO zobowiązuje się do zapewnienia środków bezpieczeństwa oraz zachowa należytą staranność podczas przetwarzania danych osobowych tak, by czynności wykonywane przez niego były zgodne z prawem, przetwarzanie danych było związane bezpośrednio z wykonywaną przez ADO usługą i nieprzekazywane dalej, by dane były starannie przechowywane, nieudostępniane osobom nieupoważnionych, po wykorzystaniu danych zostały zarchiwizowane.

Podstawę prawną niniejszego dokumentu stanowi:

  1. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (D.U.2016.922)
  2. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.  w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024) 
  3. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U.2015.0.719)
  4. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U.2015.0.745)

2.2 Objaśnienia zwrotów użytych w Polityce Bezpieczeństwa

Administrator danych osobowych – osoba lub podmiot w rozumienia art. 3 ustawy o ochronie danych osobowych stanowiąca o celu i sposobie przetwarzania danych osobowych, zwana dalej w niniejszym dokumencie ADO

Dane osobowe – informacje zawierające dane udostępnione przez Klienta ADO, podlegające przetworzeniu zawierające w szczególności: imię, nazwisko, nr telefonu, adres, adres mailowy, płeć, umożliwiające identyfikację osoby udostępniającej dane

Przetwarzanie danych – czynności wykonywane na danych osobowych przez ADO, w szczególności, zbieranie, utrwalanie, przechowywanie, opracowywanie, udostępnianie, zmienianie oraz inne związane z wykonywaniem usług przez ADO na rzecz Klienta

Naruszenie ochrony danych osobowych – każdego rodzaju niezgodne z prawem pozyskanie, ujawnienie danych, nieupoważniony dostęp do danych osobowych, nieupoważnioną modyfikację, zniszczenie danych osobowych 

Klient – osoba fizyczna, prawna, jednostka organizacyjna nieposiadająca osobowości prawnej korzystająca z usług oferowanych przez ADO, w tym szeroko rozumianych usług e – commerce

Odbiorca danych – osoba, której dane są udostępniane z pominięciem osoby której dane dotyczą, ADO, przedstawiciela o którym mowa w art. 31 a ustawy o ochronie danych osobowych oraz podmiotu o którym mowa w art. 31 ustawy o ochronie danych osobowych

Zgoda – oświadczenie woli osoby której dane dotyczą, którego treścią jest zgoda na przetwarzanie danych przez ADO wyrażona w sposób bezpośredni a nie dorozumiany

Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (D.U.2016.922)

Rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.  w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024) 

Zbiór danych – zbiór danych jednego rodzaju, zgromadzony i usystematyzowany w sposób ułatwiający dostęp do informacji w nim zawartych

2. Kto jest odpowiedzialny za ochronę danych osobowych

2.1. Informacje podstawowe  – osoba odpowiedzialna za dane osobowe

Osobą odpowiedzialną za przetwarzanie danych osobowych zgodnie z przepisami Ustawy, Rozporządzenia, Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym a także za ich bezpieczeństwo i poufność, odpowiedzialny jest Administrator Danych Osobowych zwany dalej ADO, wskazany w pkt. 1 Polityki Bezpieczeństwa, oraz każda osoba wykonująca pracę lub świadcząca usługi na rzecz ADO, która przetwarza dane osobowe na podstawie upoważnienia.

2.2. Administrator Danych Osobowych (ADO)

Administratorem danych osobowych jest SALWASPORT JOANNA SALWA, ul. G. Rossiniego 13/4 03-289 Warszawa, NIP: 9930592867, REGON 146581564, zwany dalej ADO. Na nim ciąży wykonywanie obowiązków wynikających z Ustawy oraz Rozporządzenia w szczególności:

  • nadzorowanie treści Polityki Bezpieczeństwa oraz Instrukcji  Zarządzania Systemem Informatycznym oraz zgodności z Ustawą i Rozporządzeniem
  • uaktualnianie ww dokumentów
  • kontrolowanie poprawności przetwarzania danych osobowych z Ustawą i Rozporządzeniem
  • prowadzenie rejestru zbiorów danych
  • obecność podczas kontroli przeprowadzanej przez Inspektora Generalnego Inspektora Ochrony Danych Osobowych
  • nadawanie upoważnień do przetwarzania danych osobowych oraz ich odbieranie
  • prowadzenie rejestru osób posiadających upoważnienie do przetwarzania danych osobowych
  • obowiązki informacyjne wobec osób których dane dotyczą, obowiązek zaznajomienia osób którym udzielane są upoważnienia z Ustawą, Rozporządzeniem Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym
  • stosowanie środków technicznych oraz organizacyjnych w celu zapewnienia bezpieczeństwa i ochrony danych osobowych i ich przetwarzania
  • kontrolowanie działalności wdrożonych środków technicznych oraz organizacyjnych
  • podejmowanie działań po zaistnieniu naruszeń danych osobowych
  • aktywne wdrażanie nowych systemów zabezpieczeń danych osobowych i ich przetwarzania
  • podejmowanie czynności niewymienionych powyżej a wskazanych w Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym.

2.3. Dostęp osób upoważnionych do przetwarzania danych osobowych

Osoba będąca pracownikiem ADO, która na podstawie upoważnienia udzielonego przez ADO uzyskała dostęp do danych osobowych Klientów oraz upoważnienie do ich przetwarzania jest zobowiązana do ich ochrony tak, jak wymagają tego Ustawa, Rozporządzenie, Polityka Bezpieczeństwa oraz Instrukcja Zarządzania Systemem Informatycznym. 

Dostęp do konkretnych zbiorów danych pracownik uzyskuje na podstawie upoważnienia stanowiącego Załącznik nr 1 do niniejszego dokumentu. 

Pracownicy zatrudniani przez ADO, bez względu na rodzaj umowy ( umowa o pracę, umowa cywilnoprawna) a także Stażyści oraz Praktykanci przy wykonywaniu czynności związanych z przetwarzaniem danych osobowych zobowiązani są do zachowania tajemnicy danych osobowych a także w zakresie stosowanych przez ADO środków zabezpieczających. Obowiązek ten ciąży na pracowniku także po zakończeniu współpracy z ADO. Oświadczenie o zachowaniu tajemnicy stanowi Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa.

Za naruszenie ochrony danych osobowych a także obowiązku tajemnicy danych osobowych może grozić odpowiedzialnością karną na podstawie przepisów Ustawy a także może stanowić naruszenie obowiązków pracowniczych i być podstawą rozwiązania umowy o pracę na podstawie art. 52 Kodeksu Pracy.

3. Zasady upoważniania do przetwarzania danych osobowych

Danymi osobowymi i ich przetwarzaniem mogą zajmować się wyłącznie osoby posiadające upoważnienie nadane przez ADO. Upoważnienia są indywidualne.

Upoważnionymi do przetwarzania danych osobowych mogą być wyłącznie pracownicy ADO oraz stażyści i praktykanci a także osoby współpracujące z ADO i znajdującego się w jego strukturze administracyjnej na podstawie umów cywilnoprawnych.

Przed nadaniem upoważnienia pracownik musi odbyć szkolenie w zakresie ochrony i przetwarzania danych osobowych. Szkolenie prowadzi ADO. Po przejściu szkolenia pracownikom nadawane jest upoważnienie do przetwarzania danych osobowych, pracownik podpisuje upoważnienie w dwóch egzemplarzach i zostaje zobowiązany do przestrzegania i stosowania zasad ochrony danych osobowych poprzez złożenie podpisu na upoważnienie. Jeden egzemplarz zostaje wydany pracownikowi drugi egzemplarz upoważnienia zostaje złożony do akt pracowniczych pracownika. Zakres dostępu do danych osobowych i ich przetwarzania określa upoważnienia. Zakres może być modyfikowany i każdorazowo wymaga aktualizacji w trybie nadawania upoważnień.

Pracownik może utracić prawo do przetwarzania danych osobowych poprzez

  • rozwiązanie stosunku pracy
  • zmiana stanowiska zajmowanego przez pracownika na stanowisko bez konieczności przetwarzania danych osobowych
  • umyślne naruszenie zasad ochrony danych osobowych określonych Ustawą, Rozporządzeniem, Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym.

4. Podstawowe zasady bezpieczeństwa

Za bezpieczeństwo danych osobowych odpowiada ADO oraz osoba upoważniona do ich przetwarzania i mająca dostęp do danych. Pracownicy posiadający upoważnienie do przetwarzania danych osobowych zobowiązani są zachować je w tajemnicy i nie mają prawa ujawniać danych osobom nieupoważnionych zarówno w pracy jak i poza nią. 

Pracownicy ADO zajmujący się przetwarzaniem danych osobowych w wersji papierowej zobowiązani są stosować zasadę „czystego biurka” poprzez nie pozostawianie żadnych dokumentów oraz innych papierowych materiałów zawierających dane osobowe w miejscach do których dostęp mają osoby nieupoważnione. Dokumenty i materiały zawierające dane osobowe które nie będą już w przyszłości używane powinny być zniszczone w taki sposób, by dane osobowe nie mogły być z nich odczytane i ujawnione, np. przy użyciu profesjonalnych niszczarek. Pracownicy nie mogą wynosić z obszaru, w którym przetwarzane są dane osobowe materiałów zawierających dane osobowe. Jest to możliwe jedynie w przypadku realizacji obowiązków służbowych poza miejscem pracy, jednakże za bezpieczeństwo i zwrot danych osobowych odpowiedzialność ponosi pracownik wynoszący dane. Osoby nieupoważnione nie mogą przebywać w obszarze, w którym przetwarzane są dane osobowe. Pracownik upoważniony do przetwarzania danych osobowych, zobowiązany jest do stosowania wszystkich zasad bezpieczeństwa ochrony danych osobowych.

5. Ogólne zasady postępowania po naruszeniu ochrony danych osobowych

Każde naruszenie bezpieczeństwa danych osobowych należy bez zbędnej zwłoki zgłosić ADO. Obowiązek ten ciąży na każdej osobie, która poweźmie informację o naruszeniu. Osoba zawiadamiająca ADO powinna dokonać wszelkich czynności uniemożliwiających dalsze naruszanie bezpieczeństwa danych osobowych, zaniechać działań które doprowadziły do naruszenia, opisać zaistniałą sytuację oraz wykonane czynności. Po zapoznaniu się z sytuacją ADO podejmuje decyzję o zastosowaniu działań zmierzających do przywrócenia stanu sprzed naruszeń oraz dokonuje oceny i skali naruszeń. Z przeprowadzonych czynności ADO sporządza notatkę pisemną zawierającą datę, godzinę, miejsce, dane osób uczestniczących w sytuacji, zdarzenie oraz przeprowadzone działania. Następnie ADO wdraża działania zmierzające do wyeliminowania zaistnienia podobnych zdarzeń w przyszłości oraz dokonuje analizy i oceny stanu zabezpieczeń danych osobowych pod kątem wdrożenia nowych systemów.

6. Zasady przeprowadzania kontroli systemu przetwarzania danych osobowych oraz stosowanych środków ochronnych

ADO sprawuje nadzór i kontrolę nad ochroną danych osobowych przetwarzanych w systemach informatycznych zajmujących się przetwarzaniem danych osobowych w  SALWASPORT JOANNA SALWA. Kontrola jest wykonywana co pół roku. Po przeprowadzeniu kontroli zostaje sporządzony przez ADO protokół z opisem zakresu kontroli oraz systemu zabezpieczeń. Raz do roku ADO dokonuje analizy protokółów pod kątem bezpieczeństwa danych osobowych.

7. Opis zbiorów danych osobowych wraz z wykazem zbiorów danych

Dane osobowe przetwarzane przez ADO są zawarte w zbiorach danych zwanych Wykaz Zbiorów Danych Osobowych zawartych w Załączniku nr 3 do Polityki Bezpieczeństwa. Zbiór danych zawiera w szczególności:

  • nazwę zbioru
  • system przetwarzania
  • lokalizację miejsca przetwarzania danych
  • stosowane oprogramowanie

Dane osobowe przetwarzane są na serwerze oraz na stacjach roboczych.

8. Obszar przetwarzania danych osobowych wraz z wykazem obszarów

Obszarem w którym przetwarzane są dane osobowe jest budynek, pomieszczenie i ich części a także miejsca gdzie przechowywane są nośniki informacji zawierające dane osobowe. 

Obszarem przetwarzania danych osobowych przez ADO jest siedziba firmy. 

9. Sposoby zapewnienia bezpieczeństwa danych osobowych oraz ich przetwarzania wraz z wykazem zabezpieczeń

W celu zapewnienia bezpieczeństwa danych osobowych oraz ich przetwarzania ADO stosuje następujące środki bezpieczeństwa:

Środki organizacyjne:

  • stworzono i wdrożona została Polityka Bezpieczeństwa
  • stworzono i wdrożono Instrukcję Zarządzania Systemem Informatycznym 
  • jest wyznaczony ADO
  • dane osobowe są przetwarzane jedynie przez osoby upoważnione oraz po szkoleniu i zapoznaniu ich z Ustawą, Rozporządzeniem, Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym 
  • komputery które są używane do przetwarzania danych osobowych są zaopatrzone  w system antywirusowy 

10. Postanowienia końcowe

Do sprawy, które nie zostały uregulowanie niniejszą Polityką Bezpieczeństwa zastosowanie mają przepisy Ustawy oraz Rozporządzenia.

Treść Polityki Bezpieczeństwa może ulec zmianie w przypadku zmiany przepisów Ustawy lub Rozporządzenia. Zmian w treści Polityki Bezpieczeństwa dokonuje ADO.

Polityka obowiązuje od dnia 1.04.2018.