TenderPro Logoprzetargi, prościej
Ochrona danych

RODO

Polityka bezpieczeństwa danych osobowych

Podstawy prawne

  1. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz. U. z 2018 r. poz. 1000, 1669.

  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Rozdział I

Postanowienia ogólne

§ 1

  1. Celem wprowadzenie Polityki bezpieczeństwa jest osiągnięcie i utrzymanie akceptowalnego poziomu bezpieczeństwa przy przetwarzaniu danych osobowych w Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 KRS: 0000209107, NIP: 6422683651, z kapitałem zakładowym 1 000 000,00 zł poprzez wprowadzenie określonych zasad regulujących sposób zarządzania i ochrony danych osobowych.

  2. Polityka bezpieczeństwa ma zastosowanie w stosunku do wszystkich postaci informacji zawierających dane osobowe zarówno przetwarzanych tradycyjnie (dokumentów papierowych) jak i przetwarzanych w systemach informatycznych.

  3. Ochrona danych osobowych wynikająca z Polityki bezpieczeństwa realizowana jest na każdym etapie przetwarzania danych.

§ 2

Polityka bezpieczeństwa zawiera w szczególności:

  1. Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.

  2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

  3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

  4. Sposób przepływu danych pomiędzy poszczególnymi systemami.

  5. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalność przetwarzanych danych.

  6. Zasady korzystania z poczty elektronicznej.

  7. Zasady udostępniania danych.

  8. Zasady dotyczące powierzenia przetwarzania danych osobowych.

  9. Zasady postępowania w przypadku naruszenia ochrony bezpieczeństwa danych osobowych.

  10. Zadania Administratora bezpieczeństwa informacji, Administratora systemu informatycznego oraz kierowników komórek organizacyjnych.

Rozdział II

Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe

§ 3

  1. Realizując Politykę bezpieczeństwa wskazuje się budynki, pomieszczenia i części pomieszczeń, w których przetwarzane są dane osobowe.

  2. Za obszar przetwarzania danych osobowych uznaje się obszar, w którym wykonywana jest jakakolwiek czynność na danych osobowych, taka jak zbierania, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, w tym ta, która wykonywana jest w systemach informatycznych.

  3. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe w Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651 jest prowadzony przez Administratora danych osobowych.

Dostęp do pomieszczeń, w których przetwarzane są dane osobowe

§ 4

  1. Obszary przetwarzania danych osobowych w Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651 dostępne są tylko dla osób upoważnionych do przetwarzania danych i jedynie w godzinach pracy. Wydanie upoważnienia następuje na wniosek Administratora Danych. W przypadku, gdy dostęp wymagany jest poza godzinami pracy niezbędne jest posiadanie pisemnej zgody Administratora danych osobowych.

  2. Pomieszczenia i szafy, w których przetwarzane są dane osobowe winny być zamykane na klucz.

  3. Dane osobowe w formie papierowej mogą znajdować się na biurkach tylko przez okres niezbędny do dokonania określonych czynności, a następnie chowane do szaf.

  4. Pracownik odpowiada za wykonany wydruk, a w przypadku wykonania wydruku z użyciem drukarki sieciowej zobowiązany jest do niezwłocznego udania się do pomieszczenia, w którym zlokalizowana jest drukarka i przejęcia wydrukowanego dokumentu.

  5. Dopuszczalny jest dostęp do obszarów przetwarzania danych osobowych przy zachowaniu szczególnych środków ostrożności w tych pomieszczeniach, w których przebywają lub przyjmowani są goście, w tym w szczególności:

    1. szafy na korytarzach należy każdorazowo zamykać na klucz - niedopuszczalne jest pozostawienie otwartej szafy przez osobę upoważnioną do przetwarzana danych np.: poprzez wyjęcie dokumentów i udanie się z nimi do pokoju bez zamknięcia szafy,

    2. dostęp do danych osobowych przetwarzanych w formie papierowej należy zabezpieczyć przed dostępem do nich osób nieuprawnionych,

    3. ekrany komputerów powinny być usytuowane w sposób uniemożliwiający wgląd do nich przez osoby nieuprawnione,

    4. dokumenty w formie papierowej jak i nośniki elektroniczne winny być przechowywane
      w miejscach uniemożliwiających ich wykorzystanie przez osoby nieuprawnione.

  6. Pracownik, w razie chwilowego opuszczenia pomieszczenia, w którym przetwarza dane osobowe zobowiązany jest je odpowiednio zabezpieczyć, w szczególności poprzez zabezpieczenie danych osobowych występujących w formach tradycyjnych i zablokowania stacji roboczej. Ponadto, gdy w pomieszczeniu nie przebywają inne osoby upoważnione do przetwarzania danych osobowych należy zamknąć pomieszczenie na klucz - bez pozostawiania klucza w drzwiach. Przez chwilowe opuszczenie pomieszczenia należy rozumieć wyjście z pomieszczenia w celu załatwienia określonych czynności z zamiarem powrotu do pomieszczenia - po ich realizacji.

  7. W sytuacji całkowitego opuszczenia pomieszczenia, w którym przetwarzane są dane osobowe, należy zabezpieczyć dane, w szczególności poprzez umieszczenie danych osobowych występujących w formach tradycyjnych w zamkniętych miejscach (szafach) ich stałego przechowywania i dokonać niezbędnych operacji w systemie informatycznym celem zamknięcia otwartych aplikacji i wyłączenia komputera. Ponadto, zastosować dostępne środki zabezpieczające to pomieszczenie, przed wejściem osób nieupoważnionych. Przez całkowite opuszczenie pomieszczenia należy rozumieć ostateczne wyjście z pomieszczenia po zakończeniu pracy w Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651, w danym dniu.

  8. Osoby nieupoważnione mogą przebywać w budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar przetwarzania danych osobowych po godzinach pracy - wyłącznie w obecności upoważnionego pracownika Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651 lub (w razie jego nieobecności) na podstawie upoważnienia wydanego przez Administratora danych osobowych - tylko na czas wykonywania określonych czynności lub prac zleconych na rzecz Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651.

Rozdział III

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

§ 5

  1. Dane osobowe przetwarzane są w Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651 w postaci elektronicznej. Do przetwarzania zbiorów danych osobowych w systemie informatycznym wykorzystywane są pakiety biurowe i wyspecjalizowane aplikacje (programy).

  2. W systemie zbierane są dane związane z prowadzoną przez Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651 działalnością, zawierające informacje o osobach, których dane przetwarzane są zgodnie z prawem.

Rozdział IV

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

§ 6

Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651 współpracuje i przetwarza dane osobowe w oparciu o programy następujących dostawców systemów IT

  1. Google CLOUD POLAND spółka z o.o.

  2. Mailchimp c/o The Rocket Science Group, LLC

  3. Airtable

  4. Sendgrid

  5. Slack

  6. Google Workspace

Zasady korzystania z poczty elektronicznej

§7

  1. Administrator danych osobowych przyznaje uprawnienie do prowadzenia korespondencji służbowej za pomocą poczty elektronicznej.

  2. Korespondencja wysyłana i odbierana na wskazanych przez Administratora danych osobowych stanowiskach komputerowych winna być prowadzona poprzez oficjalne konta, założone przez Administratora systemu informatycznego.

  3. Poprzez oficjalne konta zabronione jest prowadzenie korespondencji prywatnej.

  4. W odniesieniu do korespondencji elektronicznej obowiązują analogiczne zasady jak w przypadku korespondencji prowadzonej w sposób tradycyjny, z ewentualnymi modyfikacjami wynikającymi z technologii.

Rozdział V

Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalność przetwarzanych danych

§ 8

Środki techniczne i organizacyjne zastosowane w procesie przetwarzania danych osobowych w Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651, winny zapewnić:

  1. poufność danych - właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym podmiotom,

  2. integralność danych - właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

  3. rozliczalność - właściwość zapewniającą, że działania podmiotu mogą być w sposób jednoznaczny przypisane tylko temu podmiotowi.

§ 9

Środki techniczne zastosowane do zapewnienia właściwości, o których mowa w § 8:

  1. Środki ochrony fizycznej - urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych przed dostępem osób nieupoważnionych. Dostęp do pomieszczenia serwerowni ma tylko Administrator danych osobowych, Administrator bezpieczeństwa informacji i Administrator systemu informatycznego oraz w szczególnie uzasadnionych przypadkach osoba uprawniona przez Administratora danych osobowych.

  2. Środki sprzętowe, informatyczne i telekomunikacyjne - stosuje się niszczarki dokumentów. Urządzenia wchodzące w skład systemu informatycznego, na których przetwarzane są dane osobowe zabezpieczone są - przed zakłóceniami i przepięciami sieci - filtrami i urządzeniami podtrzymujące zasilenie. Sieć lokalna podłączona jest do Internetu poprzez router spełniający jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną. W przypadku lokalnego przetwarzania danych osobowych kopie zapasowe wykonywane są co miesiąc, w osobnym folderze na wydzielonym dysku sieciowym.

  3. Środki ochrony w ramach oprogramowania urządzeń teletransmisji - na komputerach użytkowników systemu działa program antywirusowy. Na komputerach użytkowników systemu działa programowy firewall. Dostęp do serwera zawierającego dane osobowe zabezpieczony jest hasłem i dwustopniową weryfikacją.

  4. Środki ochrony w ramach oprogramowania systemu - dostęp do baz danych osobowych zastrzeżony jest wyłącznie dla osób upoważnionych. System informatyczny pozwala zdefiniować odpowiednie prawa dostępu, w tym modyfikacji, przeglądu, drukowania odrębnie dla każdej upoważnionej osoby. Oprogramowanie antywirusowe instalowane jest na poszczególnych komputerach.

  5. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych - zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji. Dla każdego użytkownika systemu wyznaczony jest odrębny identyfikator. Użytkownicy mają dostęp do aplikacji umożliwiający dostęp tylko do tych danych osobowych, do których mają uprawnienia.

  6. Środki ochrony w ramach systemu użytkowego - zastosowano blokowanie stacji roboczej, wylogowanie się z systemu i wygaszanie ekranu w przypadku nieaktywności użytkownika dłuższej niż 30 minut. Ponowne rozpoczęcie pracy użytkownika w systemie informatycznym następuje po wprowadzeniu hasła.

§ 10

Środki organizacyjne zastosowane do zapewnienia właściwości, o których mowa w § 8:

  1. Dostęp do danych osobowych mają wyłącznie osoby posiadający pisemne, imienne upoważnienia nadane przez Administratora danych osobowych.

  2. Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.

  3. Osoba przetwarzająca dane osobowa zobowiązana jest do zachowania ich w tajemnicy
    i zabezpieczania przed dostępem osób nieupoważnionych.

  4. Określenie zasad udostępniania danych.

  5. Budynki, pomieszczenia lub ich części tworzące obszar, w których przetwarzane są dane osobowe zamykane są na klucze, a dostęp do nich mają wyłącznie osoby upoważnione.

  6. Dostęp do pomieszczeń, o których mowa w ust. 7 możliwy jest wyłącznie w godzinach pracy, a w sytuacji, gdy dostęp wymagany jest poza godzinami, niezbędna jest pisemna zgoda Administratora danych osobowych.

  7. Określenie zasad związanych z przebywaniem osób nieupoważnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych.

  8. Rejestracji podlegają wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy.

ROZDZIAŁ VI

Zasady udostępniania danych

§ 11

  1. W przypadku udostępniania danych osobowych do innego podmiotu zewnętrznego, osoba je udostępniająca zobowiązana jest sprawdzić, czy istnieją przesłanki prawne uprawniające do tych czynności, w tym w szczególności:

    1. Zapis w umowie z podmiotem współpracującym,

      1. Pisemny wniosek od podmiotu uprawnionego ze wskazaniem podstawy prawnej do posiadania danych (ich udostępnienia) i celu, dla jakiego są one pozyskiwane.

ROZDZIAŁ VII

Powierzenie przetwarzania danych osobowych

§ 17

  1. Powierzenie przetwarzania przez Red Sky sp. z o.o. z siedzibą w Szczecinie, adres: Jerzego Janosika 17, 71-424 NIP: 6422683651 danych osobowych innemu podmiotowi możliwe jest wyłącznie na podstawie pisemnej umowy.

  2. Podmiot, o którym mowa w ust. 1 może przetwarzać dane wyłącznie w zakresie i w celu przewidzianym w umowie.

§ 18

  1. Niezależnie od umowy powierzenia przetwarzania danych osobowych, z podmiotem, o którym mowa w § 17 niezbędne jest zawarcie umowy o zachowaniu poufności przetwarzania danych osobowych.

ROZDZIAŁ VIII

Zasady postępowania w przypadku naruszenia ochrony bezpieczeństwa danych osobowych

§ 19

Zasady postępowania w przypadku naruszenia ochrony bezpieczeństwa danych osobowych:

  1. W przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych, a w tym zakresie
    w szczególności:

    1. zabezpieczeń systemu informatycznego lub technicznego stanu urządzeń,

    2. braku możliwości zalogowania się do systemu informatycznego,

    3. stwierdzenia fizycznej ingerencji w przetwarzane dane, użytkowane narzędzia programowe lub sprzętowe, należy niezwłocznie powiadomić Administratora danych. W razie braku możliwości zawiadomienia wskazanych osób, należy zawiadomić bezpośredniego przełożonego.

  2. Za przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe uważa się
    w szczególności:

    1. awarie losowe np.: pożar, zalanie pomieszczeń,

    2. awarie sprzętu lub wpływ wyładowań atmosferycznych,

    3. oprogramowanie, którego działanie wyraźnie wskazuje na umyślne naruszenia ochrony danych,

    4. jakość danych osobowych w systemie wskazuje na działanie wirusa lub inne modyfikacje w systemie,

    5. ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedury ich przetwarzania bądź innych strzeżonych elementów systemu zabezpieczeń,

    6. praca w systemie wykazuje nieprzypadkowe odstępstwa od standardowego rytmu pracy zmierzające do zniesienia ochrony danych osobowych,

    7. informacje z sieci komputerowej wskazujące na dostęp do systemu osób nieupoważnionych,

    8. umyślna podmiana lub niszczenie nośników z danymi osobowym i bez odpowiedniego upoważnienia, niedozwolone kopiowanie danych osobowych lub ich modyfikacja,

    9. rażące złamanie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji.

  3. Administrator dokumentuje przypadek naruszenia bezpieczeństwa danych wraz z poinformowaniem Administratora systemu informatycznego o zdarzeniu oraz sporządza na tę okoliczność raport.

  4. Raport, o którym mowa przekazuje Administratorowi danych osobowych celem przeprowadzenia analizy i dokonania oceny zaistniałego zdarzenia. Ocena zdarzenia winna polegać na wskazaniu osób odpowiedzialnych oraz przedstawieniu wniosków w zakresie proceduralnym, organizacyjnym, technicznym mającym zapobiec naruszeniom w przyszłości.

  5. Administrator danych osobowych prowadzi rejestr naruszeń bezpieczeństwa (w tym problemów, incydentów) i podjętych w tym zakresie działań korygujących i zapobiegawczych.

§ 20

Celem zapewnienia właściwego poziomu ochrony danych osobowych przetwarzanych zarówno w systemach informatycznych jak i zbiorach tradycyjnych ustala się zadania, Administratora systemu informatycznego.

Administrator systemu informatycznego

§ 21

Administrator systemu informatycznego nadzoruje przestrzeganie zasad ochrony przetwarzania danych osobowych w systemach informatycznych w szczególności poprzez:

  1. prowadzenie wykazu programów zainstalowanych na stacjach roboczych użytkowników systemów informatycznych,

  2. dokonywanie okresowej analizy zagrożeń dla bezpieczeństwa danych osobowych w systemach informatycznych,

  3. kontrolowanie przestrzegania Polityki bezpieczeństwa.

  4. wykonywanie zaleceń Administratora danych w zakresie ochrony danych osobowych w systemach informatycznych.

ROZDZIAŁ IX

Postanowienia końcowe

§ 22

  1. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki bezpieczeństwa, w szczególności przez osobę, która wobec naruszenia ochrony danych osobowych lub uzasadnionego domniemania takiego naruszenia, nie podjęła działań określonych w niniejszym dokumencie, mogą być potraktowane jako rażące naruszenie obowiązków pracowniczych lub zapisów umowy współpracy B2B.