RODO

1. Wstęp

 

Administrator Danych Osobowych ustanawia Politykę Ochrony Danych Osobowych, określającej standardy, systemy zabezpieczeń oraz sposoby postępowania w przypadkach naruszenia bezpieczeństwa danych osobowych, jednocześnie zobowiązując wszystkie osoby których ona dotyczy w całości lub we fragmentach do przestrzegania jej postanowień.

 

2. Podstawy prawne

 

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej RODO)

 

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst pierwotny: Dz. U. 2018 r. poz. 1000)

 

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024)

 

3. Administrator Danych Osobowych, Administrator Systemów Informatycznych

 

Administratorem Danych Osobowych w rozumieniu przepisów powołanych wyżej jest Mega Trailers, Sp. z o.o, z siedzibą w Bełchatowie, Ludwików 1 A, 97-400 Bełchatów, wpisaną do rejestru przedsiębiorców prowadzone przez Sąd Rejonowy dla Łodzi Śródmieścia w Łodzi, XX Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000412247 posiadającą NIP: 7692219680, REGON 101372019

 

W celu usprawnienia realizacji obowiązków ochrony danych osobowych tworzy się dedykowany adres mailowy iod@enaczepy.pl

W obrębie struktury ochrony danych osobowych wyodrębnia się także Administratora Systemów Informatycznych, odpowiedzialnego za techniczną stronę wdrożenia, utrzymania i rozwoju systemu bezpieczeństwa danych osobowych w obrębie spółki.

 

4. Cele system ochrony danych i ich realizacja

 

System ochrony danych osobowych funkcjonujący w Mega Trailers ma na celu zabezpieczenie interesów osób których dane osobowe są przetwarzane przed nieautoryzowanym dostępem, zmianą, zniszczeniem lub zagubieniem jak również utrzymywanie ich w zgodzie ze stanem faktycznym. Dane o których mowa powyżej są gromadzone zgodnie z obowiązującymi przepisami prawa I przetwarzane w sposób minimalizujący ryzyka. W celu realizacji tych celów wprowadza się środki organizacyjne, prawne, strukturalne oraz informatyczne dostosowane do specyfiki przetwarzanych danych oraz działalności Administratora. Integralnym elementem strategii postępowania w zakresie ochrony danych osobowych są szkolenia pracowników oraz spójne procedury postępowania w przypadkach ryzyka naruszenia integralności I bezpieczeństwa danych osobowych.

 

5. Zabezpieczenie systemów informatycznych

 

Systemy informatyczne Mega Trailers spełniają standardy przetwarzania danych zapewniające wysokie bezpieczeństwo przechowywanych w nich danych. Systemy te są kontrolowane a ich funkcjonowanie objęte jest monitoringiem wykwalifikowanych pracowników. Celem utrzymywanie systemów w należytym stanie oraz reagowanie na pojawiające się nowe zagrożenia i trendy oraz wdrażanie adekwatnych środków zabezpieczeń.

 

6. Definicje

 

administrator danych osobowychwłaściciel bazy danych osobowych, podmiot decydujący o celu i zakresie przetwarzania danych
administrator systemów informatycznychosoba lub jednostka wyznaczona przez Administratora odpowiedzialna za zarządzanie systemami informatycznymi i uprawnieniami użytkowników, za zapewnienie sprawności i konserwację oraz wdrażanie technicznych zabezpieczeń systemów informatycznych przetwarzających zbiory danych osobowych
bezpieczeństwo danych osobowychzapewnienie odpowiedniego poziomu poufności, integralności i dostępności danych osobowych, ochrona danych osobowych przed nieautoryzowanym dostępem, modyfikacją, zatajeniem, kradzieżą i zniszczeniem itp.
dane osobowewszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Osoba jest uznawana za osobę bezpośrednio lub pośrednio możliwą do zidentyfikowania poprzez odniesienie do danych takich jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla tej osoby fizycznej (cechy fizyczne, tożsamościowe, osobowościowe, genetyczne, religijne itp.).
domenazasoby komputerowe eksploatowane w sieci LAN przetwarzające informację w Mega Trailers wraz ze związanymi z nim osobami oraz zasobami technicznymi, finansowymi dostarczającymi i dystrybuującymi informacje
dostępność danych osobowychprocesy gwarantujące, że osoby upoważnione mają dostęp do danych osobowych i związanych z nią aktywów wtedy, gdy istnieje taka potrzeba.
inspektor ochrony danych osobowychosoba formalnie wyznaczona przez Administratora w celu informowania i doradzania Administratorowi, podmiotowi przetwarzającemu oraz pracownikom w zakresie obowiązującego prawa o ochronie danych i Polityki, w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób, których dane są przetwarzane jak również dla podmiotów kontrolujących
integralność danych osobowychprocesy gwarantujące, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, lub nieuprawniony.
naruszenie ochrony danych osobowychprzypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
klientosoba korzystająca z usług lub załatwiająca sprawę w Mega Trailers
odbiorcaosoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe
ograniczenie przetwarzaniaoznaczenie przetwarzanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania
osoba trzeciaosoba nieupoważniona i przez to nieuprawniona do przetwarzania danych osobowych lub zbiorów tych danych. Osobą trzecią jest również osoba posiadająca upoważnienie wydane przez Administratora Danych Osobowych w zakresie podejmowanych czynności, przekraczająca ramy udzielonego jej upoważnienia.
profilowaniedowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
podmiot przetwarzającyosoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu administratora.
przetwarzanie danychjakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
RODOrozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016)
system informatycznyzespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
szczególne kategorie danychdane które ujawniają pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, członkostwo w organizacjach, preferencje seksualne, obejmują przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące stanu zdrowia.
usuwanie danych osobowychzniszczenie danych osobowych oraz ich kopii lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą.
zbiór danych osobowychustrukturyzowany zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, trwały lub doraźny (tymczasowy).
zgoda na przetwarzaniedowolne, dowolnie określone, konkretne, świadome, jednoznaczne i udokumentowane wskazanie osoby, której dane dotyczą, za pomocą oświadczenia lub wyraźnego działania potwierdzającego, wyrażającego zgodę na przetwarzanie danych osobowych z nim związanych.

 

7. Wykaz stref przetwarzania

 

L.P.adresoznaczenie pomieszczeniaużytkownikochrona
(jednostka organizacyjna)
1siedziba Administratora – Mega Trailers, Sp. z o.o, ul. Ludwików 1 A, 97-400 BełchatówWydzielone pomieszczeniaPracownicyOchrona fizyczna, monitoring, monitoring wizyjny

 

8. Wykaz zbiorów danych

 

  1. Dane klientów
    1. Imię i nazwisko
    2. Dane adresowe
    3. NIP, REGON
    4. Adres e-mail
    5. Numer telefonu
    6. Numer konta bankowego

 

  1. Dane reklamacyjne klientów
    1. Imię i nazwisko
    2. Dane adresowe
    3. Adres e-mail
    4. Numer telefonu
    5. Numer konta bankowego

 

  1. Dane pracownicze (kadrowe)
    1. Imię i nazwisko
    2. Imiona rodziców
    3. Dane adresowe
    4. Numer PESEL
    5. Numer NIP *
    6. Imię i nazwisko współmałżonka
    7. Imiona dzieci
    8. Numer konta bankowego
    9. Informacje o sądowych / komorniczych obciążeniach konta
    10. Informacje o stanie zdrowia (zwolnienia lekarskie, wyniki badań wstępnych / okresowych pracowników)
    11. Dane urzędu skarbowego
    12. Adres e-mail
    13. Numer telefonu

 

9. Przypadki zagrożeń

 

W związku z faktem, że Mega Trailers przetwarza dane osobowe w ograniczonym zakresie, który nie stwarza na chwilę obecną wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, nie realizuje procesów zautomatyzowanego przetwarzania ani nie przetwarza szczególnych kategorii danych nie zachodzą przesłanki art. 35 RODO zobowiązujące Administratora do dokonania przed rozpoczęciem przetwarzania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Według oceny Administratora wspartego wstępną analizą działalności w przypadku Mega Trailers można wyodrębnić następujące przypadki zagrożeń o niskim prawdopodobieństwie, na które narażone mogą być dane osobowe:

 

1włamanie do jednej ze stref przetwarzania danych osobowych, kradzież i / lub zniszczenie sprzętu komputerowego, dokumentacji
2zniszczenie lub trwale uszkodzenie sprzętu komputerowego służącego do przetwarzania danych osobowych na skutek działania klęski żywiołowej (powódź, pożar, zalanie, wichura, wyładowania atmosferyczne)
3uszkodzenie, zniszczenie lub kradzież nośników zawierających dane osobowe
4przechwycenie lub uszkodzenie bazy danych, naruszenie jej integralności poprzez fizyczne włączenie się do systemu przetwarzania danych osobowych
5nieautoryzowany dostęp do sieci wewnętrznej za pośrednictwem sieci publicznej (internet)
6nieautoryzowany dostęp, skopiowanie i/lub naruszenie integralności danych
7nieautoryzowany wgląd do danych osobowych
8błąd pracownika skutkujący uszkodzeniem struktur danych, także połączony z ich utratą
9omyłkowe przekazanie nośników zawierających dane osobowe w niepowołane ręce
10awaria zasilania skutkująca uszkodzeniem bazy danych

 

 

10. Upoważnienia

 

Osoby zatrudnione przy przetwarzaniu danych osobowych Mega Trailers w zakresie poszczególnych lub wszystkich zbiorów danych osobowych przechodzą szkolenie z zasad i technik przetwarzania danych oraz o zachowaniu poufności. Po zrealizowaniu szkolenia pracownik podpisuje następujące oświadczenia:

  • zobowiązanie do przestrzegania procedur bezpieczeństwa przetwarzania danych osobowych zgodnych z instrukcjami i regulaminami obowiązującymi w Mega Trailers;
  • o zachowaniu poufności w zakresie pozyskanych danych osobowych i uzyskanych informacji
  • o realizacji szkolenia z zakresu ochrony i bezpieczeństwa danych osobowych
  • o odpowiedzialności (w szczególności administracyjnej, dyscyplinarnej oraz karnej) grożącej z tytułu naruszenia procedur ochrony i bezpieczeństwa danych osobowych

 

  1. Za nadawanie upoważnień do przetwarzania danych osobowych odpowiada Administrator, który zleca to zadanie wskazanej przez siebie osobie
  2. Przetwarzanie danych odbywa się na polecenie administratora, które może mieć formę pisemną, ustną, lub też wynikać z umowy o pracę i określonych tam zakresów obowiązków;
  3. Upoważnienia nadawane są do zbiorów na wniosek przełożonych osób. Nadane upoważnienia wynikają z przydzielonego pisemnie zakresu obowiązków.
  4. Upoważnienia mogą być także nadawane w formie poleceń, pisemnego polecenia administratora lub w postaci umowy powierzenia

 

11. Procedura postępowania z incydentami bezpieczeństwa

 

  1. W przypadku stwierdzenia wystąpienia któregokolwiek z poniższych przypadków należy powiadomić pracodawcę lub osobę upoważnioną w zakresie bezpieczeństwa przetwarzania danych
    1. brak zabezpieczenia systemów informatycznych
    2. niezamknięte pomieszczenia w których przetwarzane są dane osobowe
    3. ignorowanie zaleceń w zakresie przetwarzania danych osobowych
    4. wystąpienie zdarzenia losowego
    5. wystąpienie incydentu typu włamanie, kradzież, wyciek danych
    6. ujawnienie danych osobom nieupoważnionym
    7. celowe lub przypadkowe zniszczenie dokumentów osobowych
    8. awaria systemu informatycznego lub infekcja wirusem komputerowy
  2. Pracownik który stwierdza jakąkolwiek sytuację mogącą grozić naruszeniem ochrony danych osobowych zgłasza ją na adres iod@mega-trailers.pl
  3. Administrator lub upoważniona osoba dokumentuje powyższe naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania mające na celu minimalizację skutków zdarzenia
  4. W przypadku naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

 

12. Procedura przywrócenia dostępności danych osobowych

 

Administrator wdrożył rozwiązania proceduralne i techniczne umożliwiające szybkie przywrocenie dostępności danych osobowych w razie incydentu fizycznego lub technicznego. Procedury przywracania opisane są w procedurze przywrócenia dostępności danych osobowych.

 

13. Regulamin ochrony danych osobowych

 

Administrator ustanawia Regulamin Ochrony Danych Osobowych, stanowiący załącznik do niniejszego dokumentu. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się z Regulaminem oraz do potwierdzenia znajomości tych zasad i deklaracji ich stosowania.

 

14. Szkolenia

 

W celu minimalizacji ryzyka związanego z naruszeniem bezpieczeństwa danych osobowych przeprowadza się cykliczne szkolenia w tym zakresie.

 

Program szkoleń obejmuje wszystkie stanowiska związane z przetwarzaniem danych osobowych i składa się z następujących elementów:

  1. system ochrony fizycznej miejsc przetwarzania danych osobowych
  2. system bezpieczeństwa sieci komputerowej
  3. przetwarzanie danych osobowych w systemach komputerowych
  4. główne postanowienia Ustawy o Ochronie Danych Osobowych oraz RODO
  5. sposób postępowania na wypadek naruszenia zabezpieczeń systemu ochrony danych osobowych (Instrukcja)
  6. sposób pracy w systemie informatycznym
  7. procedura przesyłania danych przy użyciu nośników przenośnych

 

Za przeprowadzanie szkoleń odpowiada Administrator lub wskazana przez niego osoba. Przeprowadzanie szkoleń pracowników może być również powierzone osobie przeprowadzającej szkolenie wdrożeniowe nowego pracownika w oparciu o plan szkolenia i materiał szkoleniowy.

 

15. Rejestr czynności przetwarzania

 

Zgodnie z obowiązującym prawem, Mega Trailers, jako podmiot który nie spełnia przesłanek art 30 RODO nie jest zobowiązane rejestrować czynności przetwarzania.

 

16. Audyty i aktualizacja Polityki

 

W celu zapewnienia poziomu zabezpieczeń adekwatnego do poziomu ryzyka regularnie testuje się, mierzy i ocenia skuteczność stosowanych zabezpieczeń w zakresie systemów przetwarzania danych osobowych. Audyty przeprowadza Administrator lub wskazana przez niego osoba.

 

Jednocześnie ustanawia się mechanizm aktualizacji Polityki Bezpieczeństwa pod kątem aktualności i stosowalności nie rzadziej niż raz do roku. Przeglądu dokonuje Administrator lub wskazana przez niego osoba.

 

17. Wykaz zabezpieczeń

 

Określenie zabezpieczeń adekwatnych do zagrożeń i ryzyka:

 

 kategoria zagrożeńdzialania ograniczające możliwość wystąpienia i skutki
1włamanie do jednej ze stref przetwarzania danych osobowych, kradzież i / lub zniszczenie sprzętu komputerowego, dokumentacjiStrefy przetwarzania danych są zamykane, co zabezpiecza przed dostępem osób niepowołanych poza godzinami pracy, przestrzeń jest monitorowana (czujki ruchu przy wejściu do pomieszczeń) oraz objęta działaniami wyspecjalizowanej firmy zapewniającej ochronę fizyczną.
2zniszczenie lub trwale uszkodzenie sprzętu komputerowego służącego do przetwarzania danych osobowych na skutek działania klęski żywiołowej (powódź, pożar, zalanie, wichura, wyładowania atmosferyczne)Wdrożono procedury odzyskania danych z regularnie tworzonych kopii bezpieczeństwa, które umożliwiają również uruchomienie serwera awaryjnego na wypadek wystąpienia zdarzeń losowych
3uszkodzenie, zniszczenie lub kradzież nośników zawierających dane osoboweWdrożono procedury mające na celu zminimalizowanie ilości przypadków w których konieczne jest stosowanie nośników wymiennych, oraz szyfrowanie danych
4przechwycenie lub uszkodzenie bazy danych, naruszenie jej integralności poprzez fizyczne włączenie się do systemu przetwarzania danych osobowychStrefy przetwarzania danych oraz sieć wewnętrzna firmy są odseparowane fizycznie od sieci publicznej za pomocą zapory sieciowej (firewall) a przed dostępem z wewnątrz zabezpiecza kontrola dostępu i ochrona fizyczna
5nieautoryzowany dostęp do sieci wewnętrznej za pośrednictwem sieci publicznej (internet)Strefy przetwarzania danych oraz sieć wewnętrzna firmy są odseparowane fizycznie od sieci publicznej za pomocą zapory sieciowej (firewall) a przed dostępem z wewnątrz zabezpiecza kontrola dostępu i ochrona fizyczna
6nieautoryzowany dostęp, skopiowanie i/lub naruszenie integralności danychDane przechowywane są w systemie dostępnym po zalogowaniu, z hasłem zmienianym co 30 dni. W przypadku naruszenia możliwe jest odtworzenie z posiadanej kopii bezpieczeństwa
7nieautoryzowany wgląd do danych osobowychW siedzibie spółki dostęp osób z zewnątrz jest kontrolowany.
8błąd pracownika skutkujący uszkodzeniem struktur danych, także połączony z ich utratąW przypadku naruszenia możliwe jest odtworzenie z posiadanej kopii bezpieczeństwa
9omyłkowe przekazanie nośników zawierających dane osobowe w niepowołane ręceWdrożono procedury mające na celu zminimalizowanie ilości przypadków w których konieczne jest stosowanie nośników wymiennych oraz szyfrowanie danych.
10awaria zasilania skutkująca uszkodzeniem bazy danychSerwer wyposażony jest w system zasilania awaryjnego pozwalający na zapewnienie ciągłości funkcjonowania w przypadku awarii nie dłuższej niż 3 godziny.