POLITYKA PRYWATNOŚCI
SKLEPU INTERNETOWEGO
DARY PODLASIA
ZARZĄDZENIE NR
w sprawie wprowadzenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych w firmie Dary Podlasia Adam Nowicki.
- 1
W celu zapewnienia bezpieczeństwa danych osobowych w firmie Dary Podlasia Adam Nowicki:
- Politykę Bezpieczeństwa stanowi załącznik nr 1 do niniejszego zarządzenia,
- Instrukcję Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych stanowi załącznik nr 2 do niniejszego zarządzenia.
- 2
Nadzór nad wykonaniem zarządzenia powierza się Inspektorowi danych osobowych.
- 3
Zarządzenie wchodzi w życie z dniem podpisania.
Załącznik Nr 1
POLITYKA BEZPIECZEŃSTWA
ROZDZIAŁ I
- 1
Definicje
Pojęcia i skróty użyte w polityce bezpieczeństwa:
- administrator danych osobowych – Dary Podlasia Adam Nowicki,
- administrator systemu informatycznego - osoba lub osoby upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi
- Dary Podlasia Adam Nowicki, Ogrodowa 87A/3 17-100 Bielsk Podlaski, powiat bielski, województwo podlaskie
- dane wrażliwe - dane w rozumieniu art. 9 ust. 1 RODO, podlegające szczególnej ochronie,
- hasło - ośmioznakowy ciąg znaków literowych, cyfrowych, zwierających duże i małe litery oraz znaki specjalne,
- identyfikator użytkownika - ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
- integralność danych - właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- inspektor ochrony danych osobowych - osoba wyznaczona przez dyrektora do realizacji zadań określonych w art. 39 RODO
- osoba upoważniona - osoba zatrudniona na podstawie umowy o pracę, umowy zlecenia lub innej umowy, osoba odbywająca u administratora staż, praktykę studencką, której nadane zostało przez administratora upoważnienie do przetwarzania danych osobowych,
- polityka - polityka bezpieczeństwa,
- poufność danych - właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom,
- przetwarzanie danych osobowych - wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie,
- rozliczalność - właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
- RODO - Rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
- stacja robocza - stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie,
- system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
- użytkownik - osoba upoważniona do przetwarzania danych osobowych, której nadano uprawnienia do przetwarzania danych w systemie informatycznym,
- zbiór danych osobowych - uporządkowany zestaw danych osobowych dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie czy geograficznie.
- 2
Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. l,
- 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
- 4
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Dary Podlasia Adam Nowicki rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
- poufność danych - rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
- integralność danych - rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
- rozliczalność danych - rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
- integralność systemu - rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
- dostępność informacji - rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
- zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
ROZDZIAŁ II
- 1
- Dary Podlasia Adam Nowicki w myśl zasady praworządności, wyrażonej wart. 7 Konstytucji Rzeczypospolitej Polskiej, działa wyłącznie na podstawie i w granicach prawa. W oparciu o powyższe przetwarza dane osobowe jedynie wtedy, gdy służy to wypełnieniu określonych prawem zadań, obowiązków i upoważnień.
- Administrator danych osobowych, świadomy wagi zagrożeń danych osobowych przetwarzanych w związku z wykonywaniem zadań, obowiązków i upoważnień, deklaruje zamiar:
- podejmowania wszystkich działań niezbędnych do ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych,
- stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w zakresie problematyki bezpieczeństwa tych danych,
- traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby,
- podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych.
- Jednocześnie administrator danych zamierza ulepszać metody przetwarzania danych. Będzie stale doskonalił i rozwijał organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych w Dary Podlasia Adam Nowicki tak, aby skutecznie zapobiegać zagrożeniom związanym w szczególności z:
- awariami sprzętu lub oprogramowania
- nieautoryzowanym przetwarzaniem danych osobowych,
- ujawnieniem osobom nieupoważnionym procedur ochrony,
- cyber - atakami .
- Administrator danych osobowych realizując postanowienia RODO wprowadza niniejszą politykę bezpieczeństwa.
- Polityka bezpieczeństwa opisuje prawa, reguły i praktyczne doświadczenia dotyczące sposobu zarządzania, ochrony i dystrybucji danych osobowych przetwarzanych w Dary Podlasia Adam Nowicki. Niniejszy dokument odnosi się całościowo do problemu zapewnienia bezpieczeństwa danych osobowych tj. zarówno do zabezpieczenia danych przetwarzanych w zbiorach jak i poza zbiorami, w sposób tradycyjny (w aktach, kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych), jak również w systemach informatycznych.
- Celem polityki jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.
- Dane osobowe przetwarzane w Dary Podlasia Adam Nowicki chroni się w szczególności przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem.
- UG realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:
- przetwarzane zgodnie z prawem,
- zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
- przechowywane w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
- 2
- Pod szczególną ochroną pozostają wrażliwe dane osobowe wymienione w art. 9 ust. 1 RODO.
- Przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących wskazań , orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym dopuszczalne jest tylko w związku z realizacja celów statutowych Centrum i w granicach wynikających z przepisów RODO.
- Niniejsza polityka bezpieczeństwa zawiera:
- organizację przetwarzania danych osobowych w Dary Podlasia Adam Nowicki (ROZDZIAŁ III),
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (ROZDZIAŁ IV),
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych (ROZDZIAŁ V),
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między mmi (ROZDZIAŁ VI),
- opis sposobu przepływu danych pomiędzy poszczególnymi systemami (ROZDZIAŁ VII),
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych (ROZDZIAŁ VIII),
- postanowienia końcowe (ROZDZIAŁ IX).
ROZDZIAŁ III
Organizacja przetwarzania danych osobowych
- 1
1 Zabezpieczenia organizacyjne:
- opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych,
- sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji,
- stworzono zasady postępowania w sytuacji naruszenia ochrony danych osobowych,
- opracowano i bieżąco prowadzi się rejestr czynności przetwarzania
- wyznaczono inspektora ochrony danych,
- do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną,
- osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
- osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
- przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
- dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
- Zabezpieczenia techniczne:
- wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej,
- stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
- komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła,
- Środki ochrony fizycznej:
- Budynek zamykany jest na klucz a dostęp do budynku posiadają tylko osoby upoważnione
przez administratora ochrony danych,
- urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych
pomieszczeniach,
- dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach.
- 2
- Do najważniejszych obowiązków administratora danych osobowych należy:
- organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO,
- zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
- przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych - w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
- nadzór nad bezpieczeństwem danych osobowych,
- kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
- Zadania administratora systemu informatycznego:
- bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
- optymalizację wydajności systemu informatycznego, instalacje i konfiguracje sprzętu sieciowego i serwerowego,
- instalacje i konfiguracje oprogramowania systemowego, sieciowego,
- konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem,
- nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
- współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych,
- zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
- zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
- przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
- przyznawanie na wniosek administratora danych osobowych lub inspektora ochrony danych ściśle określonych praw dostępu do informacji w danym systemie,
- wnioskowanie do administratora danych osobowych lub inspektora ochrony danych w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń,
- zarządzanie licencjami, procedurami ich dotyczącymi,
- prowadzenie profilaktyki antywirusowej.
ROZDZIAŁ IV
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
przetwarzane są dane osobowe
Miejsca przetwarzania |
Budynek |
Numer pomieszczenia |
miejsca, w których wykonuje się operacje na danych osobowych (np. wpisuje, modyfikuje, kopiuje) |
Ogrodowa 87A/3 17-100 Bielsk Podlaski |
|
miejsca, gdzie przechowywane są wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacja papierową bądź komputerowymi nośnikami informacji, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe) |
Ogrodowa 87A/3 17-100 Bielsk Podlaski |
|
miejsca, gdzie składowane są uszkodzone komputerowe nośniki danych (tj. np. taśmy, dyski, płyty CD, niesprawne komputery i inne urządzenia z nośnikami zawierającymi dane osobowe) |
Ogrodowa 87A/3 17-100 Bielsk Podlaski |
|
archiwum , gdzie przechowywane są dokumenty źródłowe |
Ogrodowa 87A/3 17-100 Bielsk Podlaski; Klejniki 131 17-207 Czyże |
|
ROZDZIAŁ V
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych
Wykaz zawiera wskazania nazw zbiorów danych, sposobów przetwarzania zbiorów, nazw systemów informatycznych oraz miejsc przetwarzania danych w zbiorze. Wykaz służy identyfikacji zbiorów danych osobowych oraz systemów informatycznych używanych do ich przetwarzania. W przypadku wprowadzenia do przetwarzania nowych zbiorów danych osobowych lub nowych programów, które je obsługują niniejszy wykaz należy niezwłocznie zaktualizować.
Lp. |
Nazwa zbioru |
Sposób przetwarzania zbioru |
Nazwa systemu informatycznego |
Miejsce przetwarzania zbioru |
1. |
Faktury |
tradycyjnie, w systemie informatycznym |
https://fakturownia.pl |
|
2. |
Klienci |
tradycyjnie, w systemie informatycznym |
|
|
3. |
Rejestr Zamówień |
tradycyjnie, w systemie informatycznym |
|
|
4. |
Dane wysyłkowe |
tradycyjnie, w systemie informatycznym |
https://e-nadawca.poczta-polska.pl |
|
5. |
|
tradycyjnie, w systemie informatycznym |
|
|
6. |
|
tradycyjnie, w systemie informatycznym |
|
|
7. |
|
tradycyjnie, w systemie informatycznym |
|
|