Polityka ochrony danych osobowych
MAGNA SUPERSTES*
spółka z ograniczoną odpowiedzialnością
z siedzibą w Gdańsku
*Total Medic jest zarejestrowaną marką handlową należącą do MAGNA SUPERSTES Sp. z o.o.
Spis treści:
Deklaracja MAGNA SUPERSTES spółka z ograniczoną odpowiedzialnością o ustanowieniu Polityki ochrony danych osobowych
Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z najważniejszych praw podstawowych (vide Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej), które stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
Niniejszy dokument ma na celu przyczyniać się do budowania gwarancji właściwego przetwarzania danych osobowych przez MAGNA SUPERSTES spółka z ograniczoną odpowiedzialnością (dalej „MAGNA SUPERSTES”).
Biorąc pod uwagę fakt, że procesy przetwarzania danych osobowych posiadają kluczowe znaczenie dla MAGNA SUPERSTES, utrata jakichkolwiek danych, ich sfałszowanie, kradzież czy skutki innych form incydentów bezpieczeństwa mogłyby spowodować groźne następstwa. Równie groźne mogą okazać się m.in. niedbalstwo, pomyłki, złośliwe działanie, klęski żywiołowe, awarie, błędy sprzętowe i programowe, działania intruzów, odmowy usług oraz inne formy zagrożeń.
W związku z powyższym w MAGNA SUPERSTES ustanawia się niniejszą Politykę ochrony danych osobowych oraz zobowiązuje się do wdrożenia systemu zarządzania bezpieczeństwem informacji i wynikającego z niej oraz z opracowanych na jej podstawie polityk szczegółowych.
Z dniem zatwierdzenia postanowienia niniejszego dokumentu zastępują postanowienia wcześniejszych polityk oraz procedur ochrony danych osobowych w MAGNA SUPERSTES.
Cel i podstawa ustanowienia Polityki ochrony danych osobowych
Niniejsza Polityka ochrony danych osobowych odnosi się do wszystkich operacji przetwarzania danych prowadzonych przez MAGNA SUPERSTES sp. z o.o., w tym działalności związanej z marką Total Medic, obejmującej świadczenie usług dietetycznych, psychologicznych, sprzedaż produktów cyfrowych oraz prowadzenie Serwisu Total Medic.
Wobec zobowiązania wyrażonego w deklaracji o ustanowieniu Polityki ochrony danych osobowych w MAGNA SUPERSTES w zakresie opracowania polityk szczegółowych oraz zmiany w zakresie przepisów ochrony danych osobowych stosowanych w Polsce oraz w Unii Europejskiej, szczególnie wobec zastosowania od dnia 25.05.2018 r. przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO/GDPR) niezbędne jest określenie zasad ochrony informacji o charakterze osobowym gromadzonych lub przetwarzanych przez MAGNA SUPERSTES.
Polityka ma na celu:
⦁ doprecyzowanie stosowanych zasad bezpieczeństwa w kontekście ochrony danych osobowych;
⦁ wprowadzenie najwyższych standardów ochrony danych osobowych oraz metod i sposobów zarządzania ich bezpieczeństwem;
⦁ zapewnienie poufności, integralności oraz dostępności przetwarzanych przez MAGNA SUPERSTES danych osobowych niezbędnych do prowadzenia działalności;
⦁ zminimalizowania ryzyka naruszenia bezpieczeństwa danych osobowych oraz ograniczenia ewentualnych skutków naruszenia.
Niniejszy dokument został stworzony w oparciu m.in. o:
⦁ Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO/GDPR);
⦁ Normy PN-ISO/IES 27001 – Technika informatyczna – Techniki bezpieczeństwa – System zarządzania bezpieczeństwem informacji – Wymagania;
⦁ Normę PN-ISO/IEC 27005 – Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji;
⦁ Normę PN-ISO/IEC 31000 – Zarządzanie ryzykiem – Zasady i wytyczne.
Zakres stosowania
Polityka obejmuje wskazanie działań, jakie należy wykonać oraz stanowi zasady i reguły postępowania, które należy stosować, aby właściwie realizować obowiązki w zakresie przetwarzania i zabezpieczenia danych osobowych – zarówno tych, których Administratorem w rozumieniu RODO/GDPR jest MAGNA SUPERSTES oraz tych, których proces przetwarzania został MAGNA SUPERSTES przekazany (w zakresie zastosowania art. 28 RODO).
Postanowienia Polityki ochrony danych osobowych znajdą zastosowanie w stosunku do:
⦁ danych osobowych przetwarzanych oraz przechowywanych tradycyjnie w formie papierowej, zapisywanych w pamięci nośników informacji w postaci elektronicznej, przetwarzanych z wykorzystaniem systemów informatycznych;
⦁ informacji dotyczących bezpieczeństwa przetwarzania danych osobowych wykorzystywanych do uwierzytelnienia w systemach informatycznych służących do przetwarzania danych oraz dotyczących zastosowanych środków ochrony.
Odpowiedzialność i uprawnienia
Inspektor Ochrony Danych (IOD) -⦁ nadzór nad implementacją oraz realizacją zasad wynikających z Polityki z wymaganiami;
⦁ nadzór nad opracowaniem i aktualizacją dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające odpowiednią do zagrożeń oraz kategorii danych ochronę;
⦁ reagowanie na zgłaszane incydenty związane z naruszeniem zasad oraz środków ochrony danych osobowych, a także analizowanie przyczyn ich wystąpienia.
Uprawnienia/Obowiązki
⦁ informowanie MAGNA SUPERSTES, podmiotu przetwarzającego oraz pracowników/ współpracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy Polityki ochrony danych osobowych, krajowych oraz UE przepisów prawa o ochronie danych osobowych i doradzanie im w tej sprawie;
⦁ monitorowanie przestrzegania Polityki ochrony danych osobowych, krajowych oraz UE przepisów prawa o ochronie danych osobowych przez MAGNA SUPERSTES lub podmiot przetwarzający, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
⦁ pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym, w stosownych przypadkach prowadzenie konsultacji;
⦁ opracowanie lub aktualizacja dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające odpowiednią do zagrożeń oraz kategorii danych ochronę;
⦁ żądanie, bez względu na rangę stanowiska, udzielenia niezbędnej pomocy w szczególności w przypadku stwierdzenia, że doszło do naruszenia przepisów o ochronie danych osobowych, które może skutkować odpowiedzialnością MAGNA SUPERSTES;
⦁ wnioskowanie o ukaranie osób winnych naruszenia przepisów i zasad dotyczących ochrony danych osobowych;
⦁ nadawanie, modyfikacja oraz cofanie uprawnień do przetwarzania danych osobowych;
⦁ reprezentowanie MAGNA SUPERSTES w kontaktach z organem nadzorczym;
Zarząd (Z)
Odpowiedzialność:
Nadzór nad implementacją oraz realizacją zasad wynikających z Polityki oraz nad IOD, AS.
Uprawnienia/Obowiązki:
⦁ weryfikacja stanu implementacji oraz realizacji obowiązków wynikających z Polityki ochrony danych osobowych;
⦁ powoływanie IOD, AS;
⦁ nadawanie, modyfikacja oraz cofanie uprawnień do przetwarzania danych osobowych.
Administrator Systemu (AS):
Odpowiedzialność:
⦁ nadzór nad implementacją oraz realizacją zasad wynikających z Polityki w zakresie systemów informatycznych wykorzystywanych do przetwarzania danych osobowych;
⦁ reagowanie na zgłaszane incydenty związane z naruszeniem zasad oraz środków ochrony danych osobowych, a także analizowanie przyczyn ich wystąpienia.
Uprawnienia/Obowiązki:
⦁ nadawanie praw dostępu do systemów wykorzystywanych do przetwarzania danych osobowych;
⦁ zapewnienie optymalnej ciągłości działania systemów informatycznych wykorzystywanych do przetwarzania;
⦁ kontrola przepływu danych pomiędzy siecią publiczną Internet a systemami informatycznymi wykorzystywanych do przetwarzania;
⦁ podjęcie natychmiastowych działań zabezpieczających stan systemów informatycznych w sytuacji otrzymania informacji o naruszeniu ich zabezpieczeń lub informacji o zmianach w sposobie działania wskazujących na naruszenie bezpieczeństwa danych osobowych.
Definicje
Dane osobowe informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Administrator MAGNA SUPERSTES, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Przetwarzający podmiot, który przetwarza dane osobowe w imieniu MAGNA SUPERSTES.
Odbiorca danych osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, MAGNA SUPERSTES ujawnia dane osobowe, niezależnie od tego, czy jest stroną trzecią.
Strona trzecia osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, MAGNA SUPERSTES, podmiot przetwarzający czy osoby, które – z upoważnienia MAGNA SUPERSTES lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.
Naruszenie zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
Organ nadzorczy organ publiczny zobowiązany do nadzoru nad procesami przetwarzania danych osobowych (w Polsce Prezes Urzędu Ochrony Danych Osobowych).
Zastosowanie mają również inne niż wskazane powyżej definicje legalne z zakresu ochrony danych osobowych zawarte w aktach prawnych prawa krajowego lub prawa Unii Europejskiej w szczególności zawarte w RODO/GDPR.
Zarządzania bezpieczeństwem danych osobowych
W celu właściwej realizacji założeń systemu bezpieczeństwa danych osobowych oraz zwiększenia jego skuteczności MAGNA SUPERSTES zapewnia, aby:
⦁ dokonywano okresowych sprawdzeń przestrzegania ustalonych zasad przetwarzania danych osobowych w tym kontroli uprawnień dostępowych w systemach informatycznych;
⦁ dokonywano stosownej analizy ryzyka oraz oceny skutków dla ochrony danych wobec procesów przetwarzania;
⦁ podejmowano niezbędne działania mające na celu przeciwdziałanie naruszeniom zasad oraz stosowanych środków bezpieczeństwa;
⦁ stale weryfikowano adekwatność systemu bezpieczeństwa informacji w odniesieniu do potencjalnych zagrożeń wystąpienia naruszenia oraz jego zgodności z odpowiednimi przepisami prawa ochrony danych osobowych.
W celu ochrony praw osób, których dane osobowe MAGNA SUPERSTES przetwarza – uwzględniając konieczność ochrony informacji już w momencie precyzowania sposobów przetwarzania jak i w czasie samego przetwarzania, a także uwzględniając:
⦁ stan wiedzy technicznej;
⦁ koszt wdrożenia;
⦁ charakter, zakres, kontekst oraz cele przetwarzania;
⦁ ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z przetwarzania.
MAGNA SUPERSTES wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych osobowych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń.
Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z upoważnieniem, kompetencjami lub rolą sprawowaną w procesie przetwarzania oraz wewnętrznej strukturze MAGNA SUPERSTES.
W ramach struktury organizacyjnej obowiązki MAGNA SUPERSTES jako Administratora w zakresie przepisów prawa ochrony danych osobowych pełni Zarząd – wobec rozproszenia prowadzonej działalności każdy kierownik wydzielonej jednostki organizacyjnej MAGNA SUPERSTES (oddziału).
⦁ Stosowanie, aktualizacja, dokumenty powiązane
Niniejszy dokument powinien być znany i stosowany przez wszystkich pracowników
i współpracowników MAGNA SUPERSTES oraz jednostek zależnych, którzy w ich imieniu i na ich rzecz przetwarzają dane objęte obowiązkiem ochrony.
Ponadto treść Polityki ochrony danych osobowych (w tym wszelkie dokumenty funkcjonalnie z nią powiązane) powinna być aktualizowana wobec zmieniających się przepisów prawa oraz zmian faktycznych zaistniałych wewnętrznie w MAGNA SUPERSTES, a które to mogłyby spowodować, że reguły określone w dokumencie okażą się nieaktualne bądź nieadekwatne do ryzyka wystąpienia zagrożeń.
Politykę ochrony danych osobowych uzupełniają m.in. dokumenty:
⦁ ewidencja osób upoważnionych przez MAGNA SUPERSTES do przetwarzania;
⦁ ewidencja przetwarzanych zbiorów danych osobowych;
⦁ rejestr czynności przetwarzania;
⦁ rejestr kategorii czynności przetwarzania;
⦁ ewidencja zdefiniowanych obszarów przetwarzania;
⦁ ewidencja udostępnień;
⦁ inne dokumenty oraz rejestry dotyczące przetwarzania i zabezpieczenia danych osobowych (w tym uchwały, ewidencje, wykazy, zarządzenia oraz wewnętrzne procedury ochrony i zabezpieczenia).
Zasady przetwarzania danych osobowych
MAGNA SUPERSTES dba, aby wszelkie procesy przetwarzania danych osobowych były zgodne z prawem ochrony danych osobowych, rzetelne oraz przejrzyste.
Dla podmiotów danych (osób, których dane dotyczą) powinno być jasne i wyraźne, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane przez MAGNA SUPERSTES określonym celu oraz w jakim stopniu te dane są lub będą przetwarzane.
MAGNA SUPERSTES dba, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Zasada jasności i przejrzystości komunikacji dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości MAGNA SUPERSTES, celach przetwarzania oraz innych informacjach mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia oraz informacji o przetwarzanych danych osobowych ich dotyczących.
MAGNA SUPERSTES stara się zdefiniować ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania uprawnień przysługujących podmiotom danych w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania.
Dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, dla których są lub będą przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.
Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, MAGNA SUPERSTES ustala termin ich usuwania (o ile jest to możliwe) lub okresowego przeglądu przydatności posiadanych danych osobowych.
MAGNA SUPERSTES podejmuje wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe bądź nieprzydatne.
Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.
Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo oraz odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych oraz z tego sprzętu.
W celu realizacji powyższych zasad tj.:
⦁ zgodności przetwarzania z prawem, rzetelności oraz przejrzystości;
⦁ celowości;
⦁ minimalizacji danych;
⦁ prawidłowości;
⦁ ograniczoności przechowywania;
⦁ zabezpieczenia, poufności.
MAGNA SUPERSTES w szczególności:
⦁ wyznacza osoby odpowiedzialne za monitorowanie stanu przetwarzania, w tym IOD;
⦁ określa cele i strategie ochrony danych;
⦁ dzieli zadania i obowiązki związane z organizacją danych;
⦁ zapewnia środki oraz warunki konieczne do wykazania przestrzegania odpowiednich zasad określonych w Polityce ochrony danych osobowych;
⦁ przyjmuje i zatwierdza niezbędne, w tym wymagane przez przepisy prawa, dokumenty regulujące ochronę danych osobowych;
⦁ zapewnia środki finansowe niezbędne do ochrony danych przetwarzanych w systemach informatycznych oraz tych przechowywanych w formie tradycyjnej;
⦁ zapewnia środki finansowe na merytoryczne przygotowanie osób odpowiedzialnych za nadzór nad ochroną danych w tym na szkolenia dla osób dopuszczonych do przetwarzania danych w zakresie ochrony danych oraz zagrożeń związanych z procesem ich przetwarzania.
⦁ Status Inspektora Ochrony Danych
MAGNA SUPERSTES, mając na uwadze konieczność prowadzenia stałego nadzoru nad przestrzeganiem zasad ochrony danych osobowych, a także stosowania odpowiednich środków ochrony powołuje pełnomocnika ds. Polityki ochrony danych osobowych w postaci Inspektora Ochrony Danych (IOD).
IOD podlega bezpośrednio Zarządowi MAGNA SUPERSTES i działa na podstawie udzielonego mu upoważnienia.
MAGNA SUPERSTES zapewnia środki oraz organizacyjną odrębność IOD niezbędną do niezależnego wykonywania przez niego zadań. Zarząd oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania powierzonych mu do realizacji zadań.
O ile jest to możliwe IOD może wykonywać inne zadania i obowiązki. Zarząd lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów
Zarząd oraz podmiot przetwarzający wspierają IOD w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz w sytuacjach tego wymagających dostęp do danych osobowych oraz operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
⦁ Przystąpienie do procesu przetwarzania
Zgodnie z art. 29 RODO każda osoba działająca z upoważnienia MAGNA SUPERSTES lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie MAGNA SUPERSTES.
Przystąpienie do przetwarzania jest możliwe wyłącznie po uzyskaniu upoważnienia do przetwarzania danych osobowych oraz złożeniu deklaracji o zachowaniu ich poufności.
W procesie udzielania upoważnienia bezpośredni przełożony osoby uzyskującej dostęp do danych upoważnia osobę do przetwarzania danych osobowych i przekazuje stosowną informację IOD (w celu ewidencji) oraz AS (w celu udzielenia dostępu do danych w systemach).
Osoba udzielająca upoważnienia odpowiada za niezwłoczne zgłoszenie do IOD osób, które uzyskały albo utraciły uprawnienia dostępu do danych bądź zakres ich upoważnienia uległ zmianie.
Obowiązki osoby upoważnionej
W każdym przypadku osoba upoważniona do przetwarzania jest zobowiązana w szczególności do:
⦁ zapoznania się i postępowania zgodnie z zasadami przetwarzania danych w MAGNA SUPERSTES;
⦁ zachowania poufności danych osobowych oraz informacji o sposobach ich zabezpieczenia;
⦁ ochrony danych chronionych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
⦁ wykonywania konkretnych działań i procesów w celu zapewnienia najwyższego poziomu bezpieczeństwa danych osobowych;
⦁ informowania o każdym przypadku bądź podejrzeniu naruszenia zasad lub środków ochrony danych;
⦁ przechowywania dokumentów lub nośników informacji zawierających dane osobowe w miejscu niedostępnym dla osób spoza grona podmiotów i osób upoważnionych do ich przetwarzania;
⦁ niepozostawiania informacji zawierających dane osobowe przy urządzeniach służących do wydruku, do których mogą mieć dostęp osoby nieupoważnione tj. przy kopiarkach, drukarkach czy faksach;
⦁ pracy w systemach informatycznych służących do przetwarzania danych jedynie na przypisanych kontach;
⦁ zachowania poufności udostępnionych haseł oraz kodów dostępu;
⦁ odpowiedniego zabezpieczenia pomieszczenia obejmującego obszar przetwarzania, jeżeli nie pozostaje w nim inna osoba upoważniona, zarówno w godzinach pracy, jak i po jej zakończeniu;
⦁ niepozostawiania bez nadzoru jakichkolwiek dokumentów zawierających dane osobowe;
⦁ niszczenia nieprzydatnych dokumentów zawierających informacje chronione w sposób uniemożliwiający ich ponowne odczytanie.
Obszar przetwarzania danych osobowych
Dane osobowe znajdujące się w posiadaniu MAGNA SUPERSTES powinny być przetwarzane w wyznaczonych do tego pomieszczeniach lub strefach, na które mogą składać się m.in. pomieszczenia biurowe oraz ich części, gdzie MAGNA SUPERSTES prowadzi swoją działalność bądź lokuje dane objęte obowiązkiem ochrony.
Przetwarzanie danych osobowych poza zdefiniowanym obszarem przetwarzania jest dopuszczalne jedynie w przypadku, gdy jest to niezbędne do realizacji celu przetwarzania lub osoba upoważniona wykorzystuje do tego urządzenie przenośne udostępnione jej przez MAGNA SUPERSTES bądź urządzenie własne spełniające warunki bezpieczeństwa zgodnie z normami MAGNA SUPERSTES.
W obszarze przetwarzania przebywać mogą jedynie osoby do tego upoważnione lub „goście” pod stałym nadzorem.
Osoba nieupoważniona może przebywać w obszarze przetwarzania jedynie pod nadzorem osoby upoważnionej lub za zgodą Z/IOD samodzielnie.
Pomieszczenia wchodzące w skład obszaru przetwarzania powinny być (o ile to możliwe) zamykane podczas nieobecności osób upoważnionych lub po godzinach pracy w sposób skutecznie ograniczający możliwość dostępu do nich osobom nieupoważnionym.
Ochrona obszarów przetwarzania powinna być gwarantowana przez odpowiednie fizyczne zabezpieczenia wejścia zapewniające, że tylko osoby upoważnione mogą uzyskać do nich dostęp. W tym celu osoby upoważnione są zobowiązane do zapewnienia:
⦁ nadzoru pobytu osób nie będących pracownikami/współpracownikami MAGNA SUPERSTES;
⦁ kontroli oraz ograniczenia dostępu do obszarów przetwarzania przez osoby nieuprawnione.
Serwerownie
Dostęp do serwerowi lub urządzeń sieciowych ograniczony jest jedynie dla:
⦁ osób realizujących zadania wsparcia IT w tym administratorów systemu;
⦁ Zarządu lub kierowników jednostek podległych MAGNA SUPERSTES – odpowiednio w zakresie poszczególnych jednostek.
MAGNA SUPERSTES prowadzi ewidencję obszarów przetwarzania oraz stosowanych fizycznych i organizacyjnych środków zabezpieczeń.
⦁ Przetwarzanie danych poza obszarem biura
Przetwarzanie bądź przechowywanie danych osobowych na urządzeniach przenośnych (m.in. komputerach przenośnych oraz urządzeniach mobilnych) lub zewnętrznych nośnikach pamięci poza określonym obszarem przetwarzania MAGNA SUPERSTES powinno być ograniczone do niezbędnego minimum.
Zabezpieczenie urządzeń przenośnych oraz zewnętrznych nośników pamięci.
Każde urządzenie przenośne oraz zewnętrzny nośnik pamięci w celu ochrony danych musi być zabezpieczony indywidualnym hasłem oraz loginem – w przypadku urządzeń przenośnych. Dodatkowo urządzenia te powinny być wyposażone w mechanizm szyfrowania danych.
Użytkownik urządzenia przenośnego lub zewnętrznego nośnika pamięci wykorzystywanego do przetwarzania danych poza zdefiniowanym obszarem przetwarzania zobowiązany jest do:
⦁ przechowywania przedmiotowych danych na dysku szyfrowanym oraz zabezpieczonym hasłem;
⦁ cyklicznej zmiany stosowanych haseł gwarantującej odpowiedni poziom bezpieczeństwa w odniesieniu do skali zagrożeń oraz ryzyka naruszenia;
⦁ transportu urządzenia w sposób minimalizujący ryzyko jego kradzieży lub zniszczenia;
⦁ korzystania w sposób minimalizujący ryzyko podejrzenia lub przejęcia przetwarzanych danych przez osoby nieupoważnione (w szczególności zaleca się unikanie z korzystania, z urządzenia przenośnego bądź zewnętrznego nośnika w miejscach publicznych);
⦁ uniemożliwienia korzystania z urządzenia przenośnego lub zewnętrznego nośnika osobom do tego nieuprawnionym w tym: rodzinie, dzieciom, znajomym;
⦁ zabezpieczenia urządzenia przenośnego hasłem i utrzymania konfiguracji oprogramowania systemowego w stanie wymuszającym korzystanie z hasła;
⦁ blokowania dostępu do urządzenia przenośnego lub zewnętrznego nośnika w przypadku, gdy nie są wykorzystywane;
⦁ niepodłączania do niezabezpieczonych sieci bezprzewodowych poza obszarem przetwarzania;
⦁ niepodłączania zewnętrznych nośników, na których znajdują się informacje chronione do urządzeń nienależących do MAGNA SUPERSTES;
⦁ regularnego i częstego kopiowania danych przetwarzanych na urządzeniu przenośnym lub przechowywanych na zewnętrznych nośnikach do systemów MAGNA SUPERSTES – w celu umożliwienia wykonania kopii zapasowej;
⦁ cyklicznego podłączania urządzenia przenośnego do sieci w celu wykonania aktualizacji oprogramowania (w tym oprogramowania odpowiadającego za zabezpieczenie).
Za pierwotne zabezpieczenie urządzeń przenośnych oraz wykorzystywanych przez osoby uprawnione zewnętrznych nośników odpowiada MAGNA SUPERSTES. Stan urządzeń powinien być kontrolowany w okresowych sprawdzeniach niemniej osoby uprawnione do korzystania są zobowiązane do stałej kontroli środków zabezpieczeń.
Zabezpieczenie urządzeń przenośnych oraz nośników powinno polegać na:
⦁ zabezpieczeniu danych dodatkowo poprzez np. wykorzystanie oprogramowania szyfrującego;
⦁ instalacji, konfiguracji oraz stałej aktualizacji oprogramowania antywirusowego.
W przypadku zgubienia lub kradzieży urządzenia przenośnego, bądź zewnętrznego nośnika danych, osoba uprawniona zobowiązana jest do natychmiastowego powiadomienia o takim zdarzeniu zgodnie z zasadami informowania w przypadku naruszenia zasad ochrony danych osobowych.
MAGNA SUPERSTES prowadzi ewidencję urządzeń przenośnych wykorzystywanych do przetwarzania danych poza zdefiniowanym obszarem przetwarzania.
Użytkowanie prywatnych urządzeń przenośnych w celach służbowych nie jest co do zasady dopuszczalne, chyba, że wymaga tego rodzaj powierzonych obowiązków i pod warunkiem, iż osoba wykorzystująca prywatne urządzenie przenośne zapewni ochronę danych tożsamą z ochroną urządzeń MAGNA SUPERSTES.
W przypadku utraty prywatnego urządzenia przenośnego, na którym zapisano informacje MAGNA SUPERSTES – zdarzenie to jest traktowane jako incydent bezpieczeństwa i osoba upoważniona jest zobowiązana niezwłocznie poinformować o zaistniałym fakcie.
Udostępnienie danych osobowych
Udostępnienie danych osobowych osobie nieupoważnionej do przetwarzania może nastąpić wyłącznie za zgodą MAGNA SUPERSTES oraz zgodnie z przepisami prawa ochrony danych osobowych.
Ponadto – na skutek akceptacji uzasadnionego wniosku, dane osobowe mogą być udostępnione podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
Weryfikacji każdego przypadku żądania udostępnienia przed jego zrealizowaniem wniosku dokonuje IOD.
W przypadku wniosku pochodzącego od osoby, której dane dotyczą udostępnienie informacji zgodnie z zakresem jej uprawnień powinno nastąpić nie później niż w terminie 30 dni liczonego od daty otrzymania stosownego wniosku.
Udostępniając dane osobowe należy zaznaczyć, że można je wykorzystywać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
MAGNA SUPERSTES ma prawo odmówić udostępnienia danych chronionych w szczególności, gdy spowodowałoby to:
⦁ ujawnienie wiadomości zawierających informacje niejawne;
⦁ zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego;
⦁ zagrożenie dla podstawowego interesu gospodarczego lub finansowego MAGNA SUPERSTES;
⦁ istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
MAGNA SUPERSTES prowadzi ewidencję udostępnień danych osobowych.
Przekazanie przetwarzania danych osobowych
MAGNA SUPERSTES dopuszcza możliwość przekazania przetwarzania danych osobowych poza zakres własnej struktury organizacyjnej. Zgodnie z art. 28 RODO podmiot otrzymujący procesy przetwarzania („Procesor”) może realizować je w imieniu MAGNA SUPERSTES.
Jeżeli przetwarzanie ma być dokonywane w imieniu MAGNA SUPERSTES lub jednostki podległej, korzysta ona wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało odpowiednie wymogi i chroniło prawa osób, których dane dotyczą.
Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody MAGNA SUPERSTES. W przypadku ogólnej pisemnej zgody podmiot przetwarzający powinien informować MAGNA SUPERSTES o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym MAGNA SUPERSTES możliwość wyrażenia sprzeciwu.
Umowa przekazania przetwarzania danych osobowych
Przekazanie przetwarzania odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii Europejskiej lub prawu polskiemu i wiążą podmiot przetwarzający oraz MAGNA SUPERSTES, określającej w szczególności:
⦁ przedmiot i czas trwania przetwarzania;
⦁ charakter i cel przetwarzania;
⦁ rodzaj danych osobowych oraz kategorie osób, których dane dotyczą;
⦁ obowiązki i prawa przekazującego jak i przetwarzającego – procesora.
Ponadto umowa lub inny instrument prawny powinien stanowić w szczególności, że podmiot przetwarzający:
⦁ przetwarza dane osobowe wyłącznie na udokumentowane polecenie MAGNA SUPERSTES;
⦁ zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu prawnemu obowiązkowi zachowania tajemnicy;
⦁ podejmuje wszelkie środki bezpieczeństwa oraz przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;
⦁ biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga MAGNA SUPERSTES poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej uprawnień;
⦁ po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji MAGNA SUPERSTES usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że przepisy prawa nakazują przechowywanie;
⦁ udostępnia MAGNA SUPERSTES wszelkie informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwia MAGNA SUPERSTES lub audytorowi upoważnionemu przez MAGNA SUPERSTES przeprowadzanie audytów, w tym sprawdzeń.
Wszelkie informacje w zakresie przekazania bądź planowanego przekazania powinny być kierowane do Z/IOD w celu weryfikacji spełnienia odpowiednich warunków przekazania przez podmiot przetwarzający.
MAGNA SUPERSTES prowadzi ewidencję przekazania przetwarzania danych osobowych.
W zakresie uzyskiwania przez MAGNA SUPERSTES danych osobowych na zasadzie „powierzenia” postanowienia niniejszego pkt mają odpowiednie zastosowanie.
Przetwarzanie danych w zbiorach nieinformatycznych
Zbiory nieinformatyczne (prowadzone w formie tradycyjnej – papierowej) zawierające dane osobowe powinny być odpowiednio zabezpieczone przed nieuprawnionym dostępem oraz zniszczeniem.
Dokumenty oraz wydruki, zawierające dane osobowe, należy przechowywać w pomieszczeniach do których dostęp mają jedynie osoby uprawnione.
Na czas, gdy dokumenty i wydruki zawierające dane osobowe nie są wykorzystywane powinny być niedostępne dla osób nieuprawnionych.
Wydruki robocze, błędne lub zdezaktualizowane powinny być niezwłocznie niszczone w sposób mechaniczny z wykorzystaniem niszczarek lub w inny sposób zapewniający skuteczne ich usunięcie lub zanonimizowanie.
Przetwarzanie danych osobowych w zbiorach informatycznych
Standardy systemu informatycznego służącego do przetwarzania danych osobowych
Każdy z systemów informatycznych wykorzystywanych do przetwarzania danych osobowych powinien spełniać standardy określone w niniejszym dokumencie.
Zasady użytkowania i zarządzania systemem służącym do przetwarzania danych osobowych oraz wytyczne powinny być przekazane osobom odpowiedzialnym w MAGNA SUPERSTES oraz jednostkach podległych, za ich realizację stosownie do przydzielonych uprawnień, zakresu obowiązków oraz odpowiedzialności.
Chronione zasoby
⦁ Sprzęt komputerowy
⦁ serwery;
⦁ notebooki, laptopy oraz inne urządzenia przenośne;
⦁ jednostki robocze;
⦁ infrastruktura sieciowa.
Oprogramowanie
⦁ system pocztowy;
⦁ systemy telemarketingowe;
⦁ inne narzędzia wykorzystywane do prowadzenia działalności.
Dane
⦁ systemów pocztowych;
⦁ systemów telemarketingowych;
⦁ serwerów plików.
Ludzie
⦁ użytkownicy oraz osoby o dostępie uprzywilejowanym (administratorzy).
Dokumentacja
⦁ sprzętu;
⦁ oprogramowania, lokalnych regulaminów i procedur postępowania.
Inne materialne zasoby
⦁ serwerownie;
⦁ archiwa.
Dbałość o ciągłość działania systemów – zasilanie, przywracanie
Zaleca się, aby kluczowe urządzenia systemów przetwarzania danych były podłączone do urządzeń podtrzymujących napięcie (UPS). Serwisowanie urządzeń oraz sprzętu związanego z bezpieczeństwem przetwarzania informacji powinno następować w możliwie najkrótszym czasie od wykrycia jego awarii.
Szybkie przywrócenie właściwego stanu technicznego urządzeń ma na celu wyeliminowanie z użycia sprzętu, który nie spełnia parametrów określonych przez szczegółowe instrukcje dotyczące elementów systemu przetwarzania danych osobowych. W szczególności oznacza to, iż nie jest dopuszczalne rezygnowanie z zabezpieczeń, z powodu ich wadliwego działania spowodowanego awarią (np. pominięcie firewalla z powodu uszkodzenia).
W czasie, gdy sprzęt będący istotnym elementem infrastruktury IT MAGNA SUPERSTES przebywa w serwisie, MAGNA SUPERSTES powinno zapewnić sprzęt o właściwościach identycznych lub przewyższających go funkcjonalnością. Może w tym celu zastosować urządzenia mniej ważnej części podległej sieci, lub może zwrócić się do jednostki nadrzędnej o użyczenie sprzętu na czas usunięcia awarii.
Sposób przepływu danych osobowych pomiędzy systemami
Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami powinien zostać opisany w dokumentacji tych systemów, lub w dokumentacji technicznej połączenia systemów. Należy zamieścić również informacje o danych, które przenoszone są pomiędzy systemami w sposób manualny (przy wykorzystaniu zewnętrznych nośników danych) lub półautomatycznie – za pomocą teletransmisji (przy wykorzystaniu funkcji eksportu/importu danych), wykonywanych w określonych odstępach czasu, np. wysyłka plików do CRM.
Dla identyfikacji procesów przetwarzania danych osobowych szczególne znaczenie ma przepływ danych w systemach z rozproszonymi bazami danych. W rozproszonej bazie danych, dane zlokalizowane są w rożnych lokalizacjach oddalonych od siebie terytorialnie i mogą zawierać, w zależności od lokalizacji, rożne zakresy danych. Należy wskazać zakres przesyłanych danych, podmiotu lub kategorii podmiotów, do których dane są przekazywane oraz ogólnych informacji na temat sposobu przesyłania danych (Internet, poczta elektroniczna, inne rozwiązania), które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa podczas teletransmisji.
Dostęp do zasobów
Każdy użytkownik uzyskuje prawo dostępu do wybranych zasobów z racji wykonywanych obowiązków, a w ślad za tym przynależności do poszczególnych grup zabezpieczeń. Dodatkowo użytkownik może uzyskać dostęp do innych zasobów po uprzednim uzyskaniu zgody przełożonego. Wszelkie wnioski o dostęp do systemów i zasobów muszą być kierowane do pracowników działu IT lub AS.
Dostęp do zasobów monitorowany jest w następujących obszarach kontroli:
⦁ dostępu do sieci;
⦁ dostępu do aplikacji.
Dostęp zdalny do zasobów MAGNA SUPERSTES lub jednostki podległej poza siecią lokalną MAGNA SUPERSTES możliwy jest poprzez VPN, oraz do poczty służbowej poprzez kanał szyfrowany.
Telefony komórkowe
Telefony komórkowe mogą posiadać dostęp do poczty służbowej, dlatego bezwzględnie należy stosować blokadę urządzenia za pomocą kodu oraz inne środki gwarantujące poufność i zabezpieczenie dostępu do danych.
W przypadku korzystania z funkcjonalności poczty służbowej w telefonie Użytkownik ma obowiązek posiadania co najmniej włączonej opcji „kodu blokady” oraz szyfrowania danych.
W przypadku utraty urządzenia, należy bezzwłocznie zgłosić ten fakt do przełożonego zgodnie z procedurami zgłaszania naruszenia.
Konta użytkowników
Każdy pracownik/współpracownik zatrudniony w MAGNA SUPERSTES lub jednostce podległej, może posiadać konto dostępowe.
Z konta może korzystać tylko osoba, do której zostało ono przypisane.
Konto dostępowe użytkownika upoważnia go do logowania następujących systemów m.in.:
⦁ jednostek roboczych;
⦁ skrzynki pocztowej;
⦁ systemu telemarketingu;
⦁ serwera plików oraz innych systemów zgodnie z udzielonymi dostępami.
Techniczne oraz organizacyjne środki ochrony
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o rożnym prawdopodobieństwie wystąpienia i wadze zagrożenia systemy informatyczne służące do przetwarzania danych osobowych eksploatowane przez MAGNA SUPERSTES powinny w stosownym przypadku posiadać mechanizmy zapewniające w szczególności:
⦁ ochronę i kontrolę dostępu do aplikacji użytkowych;
⦁ analizę modyfikacji danych;
⦁ kontrolę błędów wprowadzanych danych;
⦁ analizę poprawności przesyłanych danych;
⦁ kontrolę uprawnień;
⦁ szyfrowanie danych.
MAGNA SUPERSTES wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa danych osobowych odpowiadający ryzyku naruszenia o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w tym między innymi w stosownym przypadku:
⦁ pseudonimizację i szyfrowanie danych osobowych;
⦁ zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania;
⦁ zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
⦁ regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, MAGNA SUPERSTES uwzględnia ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Klasy użytkowników – środki ochrony dostępu. Każdy z systemów informatycznych służących do przetwarzania danych osobowych powinien posiadać co najmniej 2 (dwie) klasy użytkowników:
⦁ Administratorzy – użytkownicy zarządzający systemem informatycznym upoważnieni do nadawania praw dostępu do systemu;
⦁ Użytkownicy – pozostali użytkownicy systemu informatycznego, którzy uzyskali uprawnienia do korzystania z systemu w celu realizacji obowiązków służbowych.
Użytkownicy systemów informatycznych służących do przetwarzania danych osobowych powinni zostać przeszkoleni przed rozpoczęciem pracy w systemie w zakresie zasad ich zabezpieczenia.
Identyfikatory oraz hasła (lub inne środki uwierzytelniania) umożliwiające dostęp do systemu powinny być przekazane w formie zapewniającej ich poufność.
Każdy z systemów informatycznych służących do przetwarzania danych osobowych powinien używać odpowiednich metod ochrony podczas autoryzacji użytkowników oraz zapewniać odpowiednio wysoki poziom bezpieczeństwa transmisji i przetwarzania danych.
Za nadzór nad skutecznością środków technicznych własnych systemów MAGNA SUPERSTES odpowiada personel IT lub AS.
Nadawanie uprawnień dostępu
Do przetwarzania danych osobowych w systemach powinny być dopuszczone jedynie osoby posiadające upoważnienie do przetwarzania.
Osoba, która otrzymała upoważnienie do przetwarzania danych osobowych uzyskuje dane dostępowe w wymaganym zakresie. Rejestrujący uprawnienia dostępu tworzy dla osoby upoważnionej:
⦁ jednoznaczny i niepowtarzalny identyfikator logowania;
⦁ hasło, które użytkownik powinien zmienić z chwilą pierwszego zalogowania się;
⦁ dostęp do przetwarzania danych zgodnie z zakresem obowiązków służbowych;
⦁ przydzielający uprawnienia dostępowe może znać hasło użytkownika tylko w momencie jego nadawania, hasła powinny być przechowywane w systemie informatycznym w postaci zaszyfrowanej.
Użytkownik jest w pełni odpowiedzialny za wszystkie czynności wykonywane w systemie przy użyciu posiadanego identyfikatora oraz hasła.
Użytkownik nielogujący się do systemu informatycznego przez okres dłuższy niż miesiąc powinien posiadać zablokowane konto.
W przypadku zaistnienia okoliczności utraty przez użytkownika stosownych uprawnień do przetwarzania danych, dział IT/AS dokonuje wszelkich czynności mających na celu pozbawienie dostępu do systemu informatycznego i uniemożliwienie przetwarzania danych przez takiego użytkownika. W takiej sytuacji Identyfikator użytkownika jest blokowany uniemożliwiając tym samym zalogowanie się do systemu z jego wykorzystaniem.
Identyfikator użytkownika raz przydzielony nie podlega ponownemu przydzieleniu lub zmianie (chyba, że dotyczy to funkcyjnych ról w systemie. Zmiana identyfikatora może nastąpić jedynie wtedy, gdy pierwotny zostanie ujawniony i wykorzystany w celu uzyskania dostępu do systemu przez osobę nieuprawnioną.
Eksploatacja, konserwacja systemów oraz sprzętu, niszczenie nośników
Przeglądów i konserwacji sprzętu wykorzystywanego do przetwarzania danych osobowych dokonuje się w miarę potrzeb wynikających z jego obciążenia, warunków użytkowania oraz przydatności sprzętu w aspekcie funkcjonowania całości systemu informatycznego.
Prace dotyczące przeglądów, konserwacji oraz naprawy powinny być dokonywane bezpośrednio przez dział IT/AS, bądź przez wykwalifikowane podmioty pod nadzorem personelu MAGNA SUPERSTES bez możliwości dostępu przez nie do danych chronionych np. z wykorzystaniem odpowiednich dysków serwisowych.
Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
⦁ likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza się je w sposób, uniemożliwiający ich odczytanie;
⦁ przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
⦁ naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem pracownika IT/AS.
Usuwanie danych osobowych, zawartych na nośnikach może nastąpić poprzez powierzenie tych nośników wyspecjalizowanemu w tym zakresie podmiotowi trzeciemu.
Usunięcie danych osobowych może nastąpić również w procesie nadpisania usuwanych informacji w sposób uniemożliwiający ich ponowny odczyt.
W celu usunięcia danych chronionych może zostać zastosowana również metoda fizycznego zniszczenia nośnika, w sposób uniemożliwiający ich ponowny odczyt.
Użytkowanie urządzeń oraz oprogramowania
Sprzęt służący do przetwarzania danych osobowych powinien być wykorzystywany jedynie w celach związanych z wykonywaniem powierzonych osobie uprawnionej obowiązków służbowych.
Zabronione jest:
⦁ wykorzystywanie urządzenia służbowego do celów powszechnie uznanych za szkodliwe, niewłaściwe, niemoralne lub nielegalne;
⦁ pobieranie z sieci Internet oraz rozsyłanie przy pomocy poczty elektronicznej informacji niezwiązanych
z realizowanymi obowiązkami;
⦁ nieprzestrzeganie praw autorskich w stosunku do materiałów zamieszczanych w sieci Internet.
Zabronione jest również dokonywanie zmian w systemie, instalacja zewnętrznego oprogramowania bądź ingerencja w sprzęt służący do przetwarzania danych osobowych, jeżeli może wpłynąć to na funkcjonowanie zastosowanych środków bezpieczeństwa danych osobowych lub też MAGNA SUPERSTES nie posiada uprawnień do wykorzystywania oprogramowania np. z powodu braku wymaganych licencji.
Zasady korzystania z Internetu
MAGNA SUPERSTES zezwala pracownikom na dostęp do sieci publicznej Internet. Każdy pracownik powinien dbać o publiczny wizerunek MAGNA SUPERSTES w Internecie i stosować się do poniższych wytycznych:
⦁ pracownik sięgający do Internetu reprezentujący MAGNA SUPERSTES na zewnątrz powinien korzystać z Sieci w sposób efektywny, etyczny oraz zgodny z prawem;
⦁ służbowe rozmowy za pośrednictwem komunikatorów powinny być wykorzystywane głównie do prowadzenia działalności MAGNA SUPERSTES lub jednostek podległych albo uzyskiwania pomocy technicznej;
⦁ do baz danych należy sięgać jedynie w celu uzyskania potrzebnych informacji;
⦁ poczta elektroniczna powinna być używana do celów korespondencji służbowej;
⦁ używanie Internetu nie może przeszkadzać w wykorzystywaniu sieci lokalnej MAGNA SUPERSTES;
⦁ korzystanie z Internetu nie może szkodzić wydajności pracownika oraz sprzętu. Dostęp każdego pracownika może zostać ograniczony przez kierownictwo jednostki;
⦁ każdy pracownik jest odpowiedzialny za tekstową, dźwiękową czy graficzną zawartość wysyłanych oraz odbieranych informacji. Zabrania się przesyłania informacji oszukańczych, napastliwych czy obscenicznych. Każda wiadomość musi być opatrzona identyfikatorem nadawcy, przy czym nadawca nie może udawać kogoś innego czy w jakikolwiek sposób ukrywać pochodzenie informacji;
⦁ użytkownikom nie wolno kopiować, usuwać czy zmieniać nazw informacji lub programów należących do innych osób lub MAGNA SUPERSTES;
MAGNA SUPERSTES posiada uprawnienie dostępu do informacji wysyłanych lub otrzymywanych przez pracowników z wykorzystaniem służbowych kanałów korespondencji. Wszystkie informacje mogą podlegać wglądowi stron trzecich, np. organów prawa;
⦁ zabrania się napastowania innych osób z pobudek rasowych, religijnych, narodowych, seksualnych
i jakichkolwiek innych lub przetwarzania w tym zakresie danych osobowych;
⦁ pracownikowi nie wolno wykorzystywać danych czy oprogramowania innych osób bez ich zezwolenia;
⦁ zabronione jest stosowanie programów dekodujących hasła i używanie technik omijających środki bezpieczeństwa MAGNA SUPERSTES;
⦁ nie wolno wykorzystywać systemów MAGNA SUPERSTES dla prowadzenia działalności politycznej;
⦁ zabrania się szkodzenia systemom firmy i jej zasobom informacyjnym przez rozpowszechnianie szkodliwych kodów czy niszczenie plików;
⦁ pracownik nie może używać służbowej poczty elektronicznej i innych technik komunikacyjnych dla napastowania, zastraszania czy jakiegokolwiek niepokojenia innych osób;
⦁ zabronione jest wykorzystywanie systemów MAGNA SUPERSTES do uzyskiwania osobistych korzyści majątkowych;
⦁ nie zezwala się na pobieranie i instalowanie oprogramowania typu public domain, freeware i shareware bez uprzedniej zgody pracownika działu IT lub przełożonego jeżeli oprogramowanie to może negatywnie wpłynąć na zastosowane środki bezpieczeństwa;
⦁ nie wolno instalować i uruchamiać oprogramowania czy otwierać jakichkolwiek pobranych materiałów bez uprzedniej kontroli antywirusowej;
⦁ każde naruszenie zasad może pociągnąć za sobą postępowanie dyscyplinarne ze strony MAGNA SUPERSTES lub jednostki podległej.
Sieć lokalna
Sieć lokalna MAGNA SUPERSTES zabezpieczona jest przed dostępem z zewnątrz mechanizmem firewall, dodatkowo na urządzeniach przenośnych zainstalowane powinny być osobiste zapory uniemożliwiające nieautoryzowany dostęp do maszyny, kiedy ta znajduje się poza obszarem przetwarzania.
Zabezpieczenie sieci:
⦁ wewnętrzne serwery, stacje robocze, pracują w różnych podsieciach;
⦁ kontrola dostępu sieciowego do serwerów;
⦁ kontrola dostęp do urządzeń sieciowych;
⦁ VPN;
Kopie bezpieczeństwa
W MAGNA SUPERSTES tworzy się kopie zapasowe danych chronionych oraz programów i narzędzi programowych służących do ich przetwarzania.
W zależności od struktury systemu informatycznego służącego do przetwarzania danych tworzone są:
⦁ kopie przyrostowe danych oraz systemu informatycznego używanego do ich przetwarzania;
⦁ kopie pełne danych oraz systemu informatycznego używanego do ich przetwarzania.
Kopie mogą być tworzone z użyciem pamięci przenośnej, trwałych nośników informacji bądź innej technologii gwarantującej odpowiednio wysoki poziom zabezpieczenia danych.
Posiadane kopie danych powinny być:
⦁ sprawdzane cyklicznie pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii systemu informatycznego;
⦁ usuwane bezzwłocznie po ustaniu ich użyteczności w sposób trwały i uniemożliwiający ponowny odczyt.
Oprogramowanie zabezpieczające, programy zabronione
Systemy oraz narzędzia wykorzystywane do przetwarzania danych osobowych powinny być zabezpieczone w mechanizmy ochrony przed działaniem szkodliwego oprogramowania. Zabezpieczone powinny być w szczególności następujące obszary:
⦁ ochrona komputerów;
⦁ ochrona serwera poczty;
⦁ system antyspamowy;
⦁ ochrona serwerów.
Ochrona antywirusowa powinna być monitorowana, pod kątem intensywności zagrożeń, aktualizacji baz. Zabronione jest wyłączanie narzędzi przeciwdziałających szkodliwemu oprogramowaniu.
Można dopuścić instalowanie przez pracowników oprogramowania dodatkowego nieuwzględnionego domyślnie w urządzeniu, pod warunkiem, że nie wpływa negatywnie na poziom bezpieczeństwa.
Całkowicie zabronione jest instalowanie na urządzeniach programów:
⦁ do wymiany plików typu P2P (Kaza, BTorent i inne);
⦁ darmowych z licencją typu Adware.
⦁ Postępowanie w przypadku naruszenia ochrony danych osobowych.
Okoliczności naruszenia ochrony danych
Przed przystąpieniem do przetwarzania danych chronionych osoba upoważniona do ich przetwarzania jest zobowiązana sprawdzić stan urządzeń służących do przetwarzania danych oraz dokonać oględzin obszaru przetwarzania w celu sprawdzenia, czy nie zaszły okoliczności wskazujące na naruszenie zasad ochrony informacji lub zastosowanych środków bezpieczeństwa.
Za okoliczności wskazujące na naruszenie zasad ochrony i zastosowanych środków bezpieczeństwa uznaje się w szczególności:
⦁ nieuprawniony dostęp bądź próba nieuprawnionego dostępu do obszaru przetwarzania;
⦁ stwierdzenie udostępnienia danych objętych poufnością osobie nieupoważnionej;
⦁ stwierdzenie zewnętrznego naruszenia integralności systemu informatycznego służącego do przetwarzania danych;
⦁ zalogowanie się do systemu informatycznego służącego do przetwarzania danych z wykorzystaniem identyfikatora oraz hasła innego użytkownika;
⦁ kradzież sprzętu z użyciem, którego są przetwarzane dane osobowe lub nośników danych na których dane się znajdują;
⦁ dokonanie nieautoryzowanej kopii danych z użyciem nośnika zewnętrznego;
⦁ ujawnienie wirusów komputerowych lub innych programów, które mogą mieć negatywny wpływ na funkcjonowanie systemu informatycznego bądź też integralność, dostępność lub poufność danych;
⦁ inne wydarzenia losowe wskazujące bezpośrednio na naruszenie zasad lub środków bezpieczeństwa ochrony danych.
Działania wobec naruszenia
W przypadku stwierdzenia zaistnienia okoliczności wskazanych powyżej osoba upoważniona jest zobowiązana do natychmiastowego poinformowania o tym fakcie Z/IOD/AS.
Do czasu podjęcia działań mających na celu wykluczenie zagrożenia osoba upoważniona, która zgłosiła zaistnienie okoliczności naruszenia jest zobowiązana do:
⦁ powstrzymania się od rozpoczęcia bądź kontunuowania pracy oraz powstrzymania się od podejmowania działań, które mogły by spowodować zniszczenie śladów lub dowodów naruszenia;
⦁ zabezpieczenia obszaru przetwarzania, systemu informatycznego lub kartotek oraz sprzętu wykorzystywanego do przetwarzania poprzez uniemożliwienie dostępu do nich osobom nieuprawnionym;
⦁ podjęcia w zakresie możliwości działań mających na celu przeciwdziałanie zagrożeniu;
⦁ wykonywania otrzymywanych poleceń.
Po otrzymaniu informacji w zakresie naruszenia Z/IOD/AS podejmuje wszelkie działania mające na celu ograniczenie zagrożenia oraz wykrycie sprawcy naruszenia, w tym:
⦁ zabezpiecza dane wskazujące na naruszenie;
⦁ ustala okoliczności naruszenia lub zagrożenia biorąc pod uwagę w szczególności stan pomieszczeń obszaru przetwarzania oraz urządzeń lub systemów wykorzystywanych do przetwarzania;
⦁ dokonuje analizy rodzaju, zakresu oraz źródła naruszenia;
⦁ podejmuje niezbędne działania naprawcze;
⦁ bada przyczyny naruszenia oraz podejmuje działania mające na celu wyeliminowanie podobnych zdarzeń zagrażających bezpieczeństwu danych w przyszłości;
⦁ dokonuje oceny czy naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, których dane dotyczą.
Z przebiegu czynności podejmowanych wobec naruszenia zasad ochrony lub zastosowanych MAGNA SUPERSTES środków bezpieczeństwa danych sporządza się raport uwzględniający w szczególności:
⦁ dane osoby zgłaszającej naruszenie (imię i nazwisko, stanowisko, miejsce zatrudnienia);
⦁ czas i miejsce powiadomienia oraz czas reakcji;
⦁ charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywanie kategorii
i przybliżonej liczby osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
⦁ konsekwencje naruszenia ochrony danych osobowych – ocenę ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą;
⦁ środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, w tym
w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Wszelkie czynności podjęte przez w celu zapobieżenia naruszeniu mają prowadzić do przywrócenia poziomu ochrony i zastosowanych środków bezpieczeństwa danych sprzed naruszenia oraz uniemożliwić zaistnienie naruszenia w przyszłości.
Zgłoszenie naruszeń organowi nadzorczemu oraz podmiotowi danych
W przypadku stwierdzenia, że wobec naruszenia ochrony danych osobowych prawdopodobne jest wystąpienie ryzyka naruszenia praw lub wolności osób fizycznych IOD przekazuje stosowną informację do Zarządu lub kierownika jednostki i bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, po akceptacji Zarządu – zgłasza naruszenie organowi nadzorczemu.
Jeżeli zgłoszenie o którym mowa w poprzednim zdaniu nastąpiło po upływie 72 godzin po stwierdzeniu naruszenia do zgłoszenia przekazanego organowi nadzorczemu dołącza się wyjaśnienie przyczyn opóźnienia.
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą MAGNA SUPERSTES bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, chyba, że:
⦁ wdrożono odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczyło naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
⦁ zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
⦁ zgłoszenie wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Okresowe sprawdzenia
Sprawdzenia i zastosowanie Polityki może być dokonywane w dowolnym momencie jak również w zakresie audytów bezpieczeństwa systemów realizowanych podczas sprawdzeń zewnętrznych nie rzadziej niż raz w roku.
Organizacja zmienia się; zmienia się jej struktura, wielkość, zatrudniani są nowi pracownicy, zmienia się system informatyczny w niej funkcjonujący, wreszcie zmienia się otaczający ją świat (np. rozwój globalnej sieci komputerowej i wzrost liczby związanych z nim zagrożeń). Dlatego też Polityka powinna być ciągle dostosowywana do pojawiających się nowych sytuacji i potrzeb.
Niniejszy dokument musi być przeczytany i zrozumiany przez wszystkich pracowników MAGNA SUPERSTES oraz podległych MAGNA SUPERSTES jednostek organizacyjnych.
Nowi pracownicy podlegają obowiązkowi zaznajamiania się z dokumentem podczas pierwszego dnia pracy.
Niniejsza polityka musi być zatwierdzona przez Zarząd MAGNA SUPERSTES oraz zakomunikowana pracownikom poprzez zamieszczenie w dostępnym miejscu.
⦁ Dokumenty związane
⦁ Ewidencja osób upoważnionych do przetwarzania;
⦁ Ewidencja przetwarzanych zbiorów danych osobowych;
⦁ Rejestr czynności przetwarzania;
⦁ Rejestr kategorii przetwarzania;
⦁ Ewidencja zdefiniowanych obszarów przetwarzania;
⦁ Ewidencja udostępnień oraz przekazania przetwarzania podmiotowi innemu niż osoba upoważniona;
⦁ Inne dokumenty oraz rejestry dotyczące przetwarzania i zabezpieczenia danych osobowych (w tym uchwały, ewidencje, wykazy, zarządzenia oraz wewnętrzne procedury ochrony i zabezpieczenia).
⦁ Informacje o procedurze
Opracowana przez: Jędrzej Kozioł data: 2024.10.18
Zatwierdzona przez: Wojciech Tyliński data: 2025.02.18
Wersja i dokonane zmiany
Data Wersja Powód dla zmiany Krótki opis zmiany
2025.02.18 1.1 Zmiana podmiotu odpowiedzialnego za przetwarzanie Zmiana podmiotu na MAGNA SUPERSTES wraz z doprecyzowaniem, że zapisy dotyczą również marki Total Medic.
Za MAGNA SUPERSTES:
