1. Wstęp
Administrator Danych Osobowych ustanawia Politykę Ochrony Danych Osobowych, określającej standardy, systemy zabezpieczeń oraz sposoby postępowania w przypadkach naruszenia bezpieczeństwa danych osobowych, jednocześnie zobowiązując wszystkie osoby których ona dotyczy w całości lub we fragmentach do przestrzegania jej postanowień.
2. Podstawy prawne
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej RODO)
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst pierwotny: Dz. U. 2018 r. poz. 1000)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024)
3. Administrator Danych Osobowych, Administrator Systemów Informatycznych
Administratorem Danych Osobowych w rozumieniu przepisów powołanych wyżej jest Mega Trailers, Sp. z o.o, z siedzibą w Bełchatowie, Ludwików 1 A, 97-400 Bełchatów, wpisaną do rejestru przedsiębiorców prowadzone przez Sąd Rejonowy dla Łodzi Śródmieścia w Łodzi, XX Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000412247 posiadającą NIP: 7692219680, REGON 101372019
W celu usprawnienia realizacji obowiązków ochrony danych osobowych tworzy się dedykowany adres mailowy iod@enaczepy.pl
W obrębie struktury ochrony danych osobowych wyodrębnia się także Administratora Systemów Informatycznych, odpowiedzialnego za techniczną stronę wdrożenia, utrzymania i rozwoju systemu bezpieczeństwa danych osobowych w obrębie spółki.
4. Cele system ochrony danych i ich realizacja
System ochrony danych osobowych funkcjonujący w Mega Trailers ma na celu zabezpieczenie interesów osób których dane osobowe są przetwarzane przed nieautoryzowanym dostępem, zmianą, zniszczeniem lub zagubieniem jak również utrzymywanie ich w zgodzie ze stanem faktycznym. Dane o których mowa powyżej są gromadzone zgodnie z obowiązującymi przepisami prawa I przetwarzane w sposób minimalizujący ryzyka. W celu realizacji tych celów wprowadza się środki organizacyjne, prawne, strukturalne oraz informatyczne dostosowane do specyfiki przetwarzanych danych oraz działalności Administratora. Integralnym elementem strategii postępowania w zakresie ochrony danych osobowych są szkolenia pracowników oraz spójne procedury postępowania w przypadkach ryzyka naruszenia integralności I bezpieczeństwa danych osobowych.
5. Zabezpieczenie systemów informatycznych
Systemy informatyczne Mega Trailers spełniają standardy przetwarzania danych zapewniające wysokie bezpieczeństwo przechowywanych w nich danych. Systemy te są kontrolowane a ich funkcjonowanie objęte jest monitoringiem wykwalifikowanych pracowników. Celem utrzymywanie systemów w należytym stanie oraz reagowanie na pojawiające się nowe zagrożenia i trendy oraz wdrażanie adekwatnych środków zabezpieczeń.
6. Definicje
administrator danych osobowych | właściciel bazy danych osobowych, podmiot decydujący o celu i zakresie przetwarzania danych |
administrator systemów informatycznych | osoba lub jednostka wyznaczona przez Administratora odpowiedzialna za zarządzanie systemami informatycznymi i uprawnieniami użytkowników, za zapewnienie sprawności i konserwację oraz wdrażanie technicznych zabezpieczeń systemów informatycznych przetwarzających zbiory danych osobowych |
bezpieczeństwo danych osobowych | zapewnienie odpowiedniego poziomu poufności, integralności i dostępności danych osobowych, ochrona danych osobowych przed nieautoryzowanym dostępem, modyfikacją, zatajeniem, kradzieżą i zniszczeniem itp. |
dane osobowe | wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Osoba jest uznawana za osobę bezpośrednio lub pośrednio możliwą do zidentyfikowania poprzez odniesienie do danych takich jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla tej osoby fizycznej (cechy fizyczne, tożsamościowe, osobowościowe, genetyczne, religijne itp.). |
domena | zasoby komputerowe eksploatowane w sieci LAN przetwarzające informację w Mega Trailers wraz ze związanymi z nim osobami oraz zasobami technicznymi, finansowymi dostarczającymi i dystrybuującymi informacje |
dostępność danych osobowych | procesy gwarantujące, że osoby upoważnione mają dostęp do danych osobowych i związanych z nią aktywów wtedy, gdy istnieje taka potrzeba. |
inspektor ochrony danych osobowych | osoba formalnie wyznaczona przez Administratora w celu informowania i doradzania Administratorowi, podmiotowi przetwarzającemu oraz pracownikom w zakresie obowiązującego prawa o ochronie danych i Polityki, w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób, których dane są przetwarzane jak również dla podmiotów kontrolujących |
integralność danych osobowych | procesy gwarantujące, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, lub nieuprawniony. |
naruszenie ochrony danych osobowych | przypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. |
klient | osoba korzystająca z usług lub załatwiająca sprawę w Mega Trailers |
odbiorca | osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe |
ograniczenie przetwarzania | oznaczenie przetwarzanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania |
osoba trzecia | osoba nieupoważniona i przez to nieuprawniona do przetwarzania danych osobowych lub zbiorów tych danych. Osobą trzecią jest również osoba posiadająca upoważnienie wydane przez Administratora Danych Osobowych w zakresie podejmowanych czynności, przekraczająca ramy udzielonego jej upoważnienia. |
profilowanie | dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. |
podmiot przetwarzający | osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu administratora. |
przetwarzanie danych | jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. |
RODO | rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) |
system informatyczny | zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. |
szczególne kategorie danych | dane które ujawniają pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, członkostwo w organizacjach, preferencje seksualne, obejmują przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące stanu zdrowia. |
usuwanie danych osobowych | zniszczenie danych osobowych oraz ich kopii lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą. |
zbiór danych osobowych | ustrukturyzowany zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, trwały lub doraźny (tymczasowy). |
zgoda na przetwarzanie | dowolne, dowolnie określone, konkretne, świadome, jednoznaczne i udokumentowane wskazanie osoby, której dane dotyczą, za pomocą oświadczenia lub wyraźnego działania potwierdzającego, wyrażającego zgodę na przetwarzanie danych osobowych z nim związanych. |
7. Wykaz stref przetwarzania
L.P. | adres | oznaczenie pomieszczenia | użytkownik | ochrona |
(jednostka organizacyjna) | ||||
1 | siedziba Administratora – Mega Trailers, Sp. z o.o, ul. Ludwików 1 A, 97-400 Bełchatów | Wydzielone pomieszczenia | Pracownicy | Ochrona fizyczna, monitoring, monitoring wizyjny |
8. Wykaz zbiorów danych
- Dane klientów
- Imię i nazwisko
- Dane adresowe
- NIP, REGON
- Adres e-mail
- Numer telefonu
- Numer konta bankowego
- Dane reklamacyjne klientów
- Imię i nazwisko
- Dane adresowe
- Adres e-mail
- Numer telefonu
- Numer konta bankowego
- Dane pracownicze (kadrowe)
- Imię i nazwisko
- Imiona rodziców
- Dane adresowe
- Numer PESEL
- Numer NIP *
- Imię i nazwisko współmałżonka
- Imiona dzieci
- Numer konta bankowego
- Informacje o sądowych / komorniczych obciążeniach konta
- Informacje o stanie zdrowia (zwolnienia lekarskie, wyniki badań wstępnych / okresowych pracowników)
- Dane urzędu skarbowego
- Adres e-mail
- Numer telefonu
9. Przypadki zagrożeń
W związku z faktem, że Mega Trailers przetwarza dane osobowe w ograniczonym zakresie, który nie stwarza na chwilę obecną wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, nie realizuje procesów zautomatyzowanego przetwarzania ani nie przetwarza szczególnych kategorii danych nie zachodzą przesłanki art. 35 RODO zobowiązujące Administratora do dokonania przed rozpoczęciem przetwarzania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Według oceny Administratora wspartego wstępną analizą działalności w przypadku Mega Trailers można wyodrębnić następujące przypadki zagrożeń o niskim prawdopodobieństwie, na które narażone mogą być dane osobowe:
1 | włamanie do jednej ze stref przetwarzania danych osobowych, kradzież i / lub zniszczenie sprzętu komputerowego, dokumentacji |
2 | zniszczenie lub trwale uszkodzenie sprzętu komputerowego służącego do przetwarzania danych osobowych na skutek działania klęski żywiołowej (powódź, pożar, zalanie, wichura, wyładowania atmosferyczne) |
3 | uszkodzenie, zniszczenie lub kradzież nośników zawierających dane osobowe |
4 | przechwycenie lub uszkodzenie bazy danych, naruszenie jej integralności poprzez fizyczne włączenie się do systemu przetwarzania danych osobowych |
5 | nieautoryzowany dostęp do sieci wewnętrznej za pośrednictwem sieci publicznej (internet) |
6 | nieautoryzowany dostęp, skopiowanie i/lub naruszenie integralności danych |
7 | nieautoryzowany wgląd do danych osobowych |
8 | błąd pracownika skutkujący uszkodzeniem struktur danych, także połączony z ich utratą |
9 | omyłkowe przekazanie nośników zawierających dane osobowe w niepowołane ręce |
10 | awaria zasilania skutkująca uszkodzeniem bazy danych |
10. Upoważnienia
Osoby zatrudnione przy przetwarzaniu danych osobowych Mega Trailers w zakresie poszczególnych lub wszystkich zbiorów danych osobowych przechodzą szkolenie z zasad i technik przetwarzania danych oraz o zachowaniu poufności. Po zrealizowaniu szkolenia pracownik podpisuje następujące oświadczenia:
- zobowiązanie do przestrzegania procedur bezpieczeństwa przetwarzania danych osobowych zgodnych z instrukcjami i regulaminami obowiązującymi w Mega Trailers;
- o zachowaniu poufności w zakresie pozyskanych danych osobowych i uzyskanych informacji
- o realizacji szkolenia z zakresu ochrony i bezpieczeństwa danych osobowych
- o odpowiedzialności (w szczególności administracyjnej, dyscyplinarnej oraz karnej) grożącej z tytułu naruszenia procedur ochrony i bezpieczeństwa danych osobowych
- Za nadawanie upoważnień do przetwarzania danych osobowych odpowiada Administrator, który zleca to zadanie wskazanej przez siebie osobie
- Przetwarzanie danych odbywa się na polecenie administratora, które może mieć formę pisemną, ustną, lub też wynikać z umowy o pracę i określonych tam zakresów obowiązków;
- Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Nadane upoważnienia wynikają z przydzielonego pisemnie zakresu obowiązków.
- Upoważnienia mogą być także nadawane w formie poleceń, pisemnego polecenia administratora lub w postaci umowy powierzenia
11. Procedura postępowania z incydentami bezpieczeństwa
- W przypadku stwierdzenia wystąpienia któregokolwiek z poniższych przypadków należy powiadomić pracodawcę lub osobę upoważnioną w zakresie bezpieczeństwa przetwarzania danych
- brak zabezpieczenia systemów informatycznych
- niezamknięte pomieszczenia w których przetwarzane są dane osobowe
- ignorowanie zaleceń w zakresie przetwarzania danych osobowych
- wystąpienie zdarzenia losowego
- wystąpienie incydentu typu włamanie, kradzież, wyciek danych
- ujawnienie danych osobom nieupoważnionym
- celowe lub przypadkowe zniszczenie dokumentów osobowych
- awaria systemu informatycznego lub infekcja wirusem komputerowy
- Pracownik który stwierdza jakąkolwiek sytuację mogącą grozić naruszeniem ochrony danych osobowych zgłasza ją na adres iod@mega-trailers.pl
- Administrator lub upoważniona osoba dokumentuje powyższe naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania mające na celu minimalizację skutków zdarzenia
- W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.
12. Procedura przywrócenia dostępności danych osobowych
Administrator wdrożył rozwiązania proceduralne i techniczne umożliwiające szybkie przywrocenie dostępności danych osobowych w razie incydentu fizycznego lub technicznego. Procedury przywracania opisane są w procedurze przywrócenia dostępności danych osobowych.
13. Regulamin ochrony danych osobowych
Administrator ustanawia Regulamin Ochrony Danych Osobowych, stanowiący załącznik do niniejszego dokumentu. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się z Regulaminem oraz do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.
14. Szkolenia
W celu minimalizacji ryzyka związanego z naruszeniem bezpieczeństwa danych osobowych przeprowadza się cykliczne szkolenia w tym zakresie.
Program szkoleń obejmuje wszystkie stanowiska związane z przetwarzaniem danych osobowych i składa się z następujących elementów:
- system ochrony fizycznej miejsc przetwarzania danych osobowych
- system bezpieczeństwa sieci komputerowej
- przetwarzanie danych osobowych w systemach komputerowych
- główne postanowienia Ustawy o Ochronie Danych Osobowych oraz RODO
- sposób postępowania na wypadek naruszenia zabezpieczeń systemu ochrony danych osobowych (Instrukcja)
- sposób pracy w systemie informatycznym
- procedura przesyłania danych przy użyciu nośników przenośnych
Za przeprowadzanie szkoleń odpowiada Administrator lub wskazana przez niego osoba. Przeprowadzanie szkoleń pracowników może być również powierzone osobie przeprowadzającej szkolenie wdrożeniowe nowego pracownika w oparciu o plan szkolenia i materiał szkoleniowy.
15. Rejestr czynności przetwarzania
Zgodnie z obowiązującym prawem, Mega Trailers, jako podmiot który nie spełnia przesłanek art 30 RODO nie jest zobowiązane rejestrować czynności przetwarzania.
16. Audyty i aktualizacja Polityki
W celu zapewnienia poziomu zabezpieczeń adekwatnego do poziomu ryzyka regularnie testuje się, mierzy i ocenia skuteczność stosowanych zabezpieczeń w zakresie systemów przetwarzania danych osobowych. Audyty przeprowadza Administrator lub wskazana przez niego osoba.
Jednocześnie ustanawia się mechanizm aktualizacji Polityki Bezpieczeństwa pod kątem aktualności i stosowalności nie rzadziej niż raz do roku. Przeglądu dokonuje Administrator lub wskazana przez niego osoba.
17. Wykaz zabezpieczeń
Określenie zabezpieczeń adekwatnych do zagrożeń i ryzyka:
kategoria zagrożeń | dzialania ograniczające możliwość wystąpienia i skutki | |
1 | włamanie do jednej ze stref przetwarzania danych osobowych, kradzież i / lub zniszczenie sprzętu komputerowego, dokumentacji | Strefy przetwarzania danych są zamykane, co zabezpiecza przed dostępem osób niepowołanych poza godzinami pracy, przestrzeń jest monitorowana (czujki ruchu przy wejściu do pomieszczeń) oraz objęta działaniami wyspecjalizowanej firmy zapewniającej ochronę fizyczną. |
2 | zniszczenie lub trwale uszkodzenie sprzętu komputerowego służącego do przetwarzania danych osobowych na skutek działania klęski żywiołowej (powódź, pożar, zalanie, wichura, wyładowania atmosferyczne) | Wdrożono procedury odzyskania danych z regularnie tworzonych kopii bezpieczeństwa, które umożliwiają również uruchomienie serwera awaryjnego na wypadek wystąpienia zdarzeń losowych |
3 | uszkodzenie, zniszczenie lub kradzież nośników zawierających dane osobowe | Wdrożono procedury mające na celu zminimalizowanie ilości przypadków w których konieczne jest stosowanie nośników wymiennych, oraz szyfrowanie danych |
4 | przechwycenie lub uszkodzenie bazy danych, naruszenie jej integralności poprzez fizyczne włączenie się do systemu przetwarzania danych osobowych | Strefy przetwarzania danych oraz sieć wewnętrzna firmy są odseparowane fizycznie od sieci publicznej za pomocą zapory sieciowej (firewall) a przed dostępem z wewnątrz zabezpiecza kontrola dostępu i ochrona fizyczna |
5 | nieautoryzowany dostęp do sieci wewnętrznej za pośrednictwem sieci publicznej (internet) | Strefy przetwarzania danych oraz sieć wewnętrzna firmy są odseparowane fizycznie od sieci publicznej za pomocą zapory sieciowej (firewall) a przed dostępem z wewnątrz zabezpiecza kontrola dostępu i ochrona fizyczna |
6 | nieautoryzowany dostęp, skopiowanie i/lub naruszenie integralności danych | Dane przechowywane są w systemie dostępnym po zalogowaniu, z hasłem zmienianym co 30 dni. W przypadku naruszenia możliwe jest odtworzenie z posiadanej kopii bezpieczeństwa |
7 | nieautoryzowany wgląd do danych osobowych | W siedzibie spółki dostęp osób z zewnątrz jest kontrolowany. |
8 | błąd pracownika skutkujący uszkodzeniem struktur danych, także połączony z ich utratą | W przypadku naruszenia możliwe jest odtworzenie z posiadanej kopii bezpieczeństwa |
9 | omyłkowe przekazanie nośników zawierających dane osobowe w niepowołane ręce | Wdrożono procedury mające na celu zminimalizowanie ilości przypadków w których konieczne jest stosowanie nośników wymiennych oraz szyfrowanie danych. |
10 | awaria zasilania skutkująca uszkodzeniem bazy danych | Serwer wyposażony jest w system zasilania awaryjnego pozwalający na zapewnienie ciągłości funkcjonowania w przypadku awarii nie dłuższej niż 3 godziny. |