POLITYKA BEZPIECZEŃSTWA

ZASADY OCHRONY DANYCH OSOBOWYCH przetwarzanych w firmie PAK-DRUK SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

Polityka Bezpieczeństwa (zwana dalej Polityką) wraz z Instrukcją Zarządzania Systemem Informatycznym (zwana dalej Instrukcją) opisują działania organizacyjne i techniczne podejmowane w firmie PAK-DRUK Spółka z ograniczoną odpowiedzialnością jako Administratora Danych, których celem jest osiągnięcie i utrzymanie akceptowalnego poziomu bezpieczeństwa przetwarzanych danych osobowych oraz podniesienie poziomu świadomości pracowników w zakresie ochrony tych danych/informacji.

Polityka Bezpieczeństwa stanowi jednocześnie politykę ochrony danych w rozumieniu art. 24 ust. 2 RODO - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

W celu utrzymania odpowiedniego poziomu ochrony danych, Administrator wdrąża odpowiednie procedury ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi.

Polityka Bezpieczeństwa jest dokumentem wewnętrznym i może być udostępniana osobom trzecim jedynie w uzasadnionych przypadkach i za zgodą Administratora.

I. Definicje:
a) Administrator - rozumie się przez to PAK-DRUK Spółkę z ograniczoną odpowiedzialnością.
b) Osoba upoważniona - każda osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych wydane przez Administratora;
c) Użytkownik systemu - każda osoba, posiadająca upoważnienie do przetwarzania danych osobowych wydane przez Administratora zarejestrowana w systemie /posiadająca unikalny identyfikator i hasło/ przetwarzająca dane osobowe;
d) Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio;
e) Zbiór danych - uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
f) Przetwarzanie danych - operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
g) Usuwanie danych - zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
h) Identyfikator użytkownika - ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
i) Hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
j) Bezpieczeństwo informacji - zachowanie poufności, integralności, dostępności i rozliczalności informacji
k) Poufność - właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom i podmiotom;
l) Dostępność - właściwość polegającym na byciu dostępnym i użytecznym na żądanie upoważnionego podmiotu lub upoważnionej osoby;
m) Integralność - właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
n) Rozliczalność - właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
o) Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
p) System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
q) Zabezpieczanie danych w systemie informatycznym - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;

II. INFORMACJE OGÓLNE


Administratorem PAK-DRUK Spółka z ograniczoną odpowiedzialnością z siedzibą w Rybniku przy ul. Górnośląskiej 19.

Celem Polityki jest wskazanie działań, które należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki Administratora w zakresie zabezpieczenia danych osobowych.

Polityka obowiązuje wszystkich pracowników Administratora oraz osoby pracujące na rzecz Administratora na podstawie umów cywilnoprawnych oraz na podstawie prowadzonej działalności gospodarczej.

Dane osobowe objęte Polityką Bezpieczeństwa oraz sposoby ich zabezpieczeń objęte są tajemnicą nieograniczoną w czasie.

III. CEL I ZAKRES STOSOWANIA POLITYKI


Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

Administrator Danych Osobowych gromadzi i przetwarza dane osobowe w następujących celach:
a) wykonywania obowiązków pracodawcy w zakresie zatrudniania pracowników;
b) prowadzenia działalności gospodarczej, realizacja i wykonywania umów zawartych z kontrahentami;

Polityka jest stosowana wobec danych przetwarzanych przy użyciu następujących programów:
a) Office,
b) Libre,
c) PAK DRUK 1.0,
d) subject.

Polityka jest stosowana wobec danych przetwarzanych zarówno w formie papierowej jak np. akta osobowe pracowników, oraz elektronicznej.
Zakres przedmiotowy Polityki Bezpieczeństwa obejmuje:
a) wszystkie zbiory danych osobowych określone w załączniku nr 3 – wykazie zbiorów danych;
b) wszystkie osoby upoważnione do przetwarzania danych – załącznik nr 1;
c) odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia;

IV. REALIZACJA POLITYKI BEZPIECZEŃSTWA


Administrator danych osobowych stosuje następujące zabezpieczenia organizacyjne:
a) opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych;
b) sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych u Administratora;
c) stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych;
d) opracowano i bieżąco prowadzi się rejestr czynności przetwarzania,
e) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną;
f) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;
g) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
h) przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
i) przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
j) dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.

Administrator danych osobowych stosuje następujące zabezpieczenia techniczne:
a) stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową;
b) komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła;

Administrator danych osobowych stosuje następujące środki ochrony fizycznej:
a) obszar, na którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem;
b) urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach;
c) dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach;
d) dokumenty papierowe oraz inne nośniki informacji powinny być przechowywane w zamykanych na klucz szafach i/lub w innych bezpiecznych miejscach, zwłaszcza poza godzinami pracy;
e) wszystkie dokumenty papierowe muszą być niszczone przy pomocy niszczarki;
f) dokumenty zawierające wrażliwe lub krytyczne informacje powinny być zamykane w szafkach z zamkiem, pieczątki powinny być zamykane w szufladach z zamkiem;
g) nie wolno pozostawić zalogowanych komputerów bez nadzoru;
h) monitory powinny być tak ustawione by uniemożliwić podgląd informacji na ekranie osobom postronnym;
i) poza godzinami pracy urządzenia kopiujące powinny być chronione przed użyciem przez nieuprawnione osoby;

Administrator przekazuje dane osobowe innym podmiotom. Dochodzi wówczas do powierzenia przetwarzania danych osobowych. W takim przypadku Administrator podejmuje następujące działania:
a) uwzględnia powierzenie przetwarzania danych osobowych w wykazie zbiorów danych – złącznik nr 3;
b) umieszcza w umowach zapisy dotyczące powierzenia przetwarzania danych osobowych.

Zapisy umowne dotyczące powierzenia przetwarzania danych muszą zawierać zapisy o tym, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie w celu i zakresie określonym w umowie, a także wyłącznie na udokumentowane polecenie administratora;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) w miarę potrzeb podejmuje wszelkie środki wymagane w celu zabezpieczenia danych osobowych, w szczególności pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.;
d) przekazuje powierzone dane osobowe innym podmiotom do przetwarzania tylko po uzyskaniu wyraźnej zgody administratora;
e) pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
f) pomaga administratorowi wywiązać się z obowiązków dotyczących zgłaszania naruszeń ochrony danych osobowych oraz w zakresie oceny skutków przetwarzania dla danych osobowych;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

I. ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM


Procedury nadawania uprawnień do Przetwarzania danych i rejestrowania tych uprawnień w Systemie informatycznym:
a) za bezpieczeństwo Danych osobowych w Systemie informatycznym PAK-DRUK Spółka z ograniczoną odpowiedzialnością, za właściwy nadzór odpowiedzialny jest Administrator Danych;
b) do obsługi Systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do Przetwarzania danych, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie wydane przez Administratora Danych;
c) po upoważnieniu osoby do dostępu do przetwarzania danych osobowych w systemie informatycznym zostaje jej nadany Identyfikator użytkownika. Z chwilą nadania Identyfikatora osoba może uzyskać dostęp do systemów informatycznych w zakresie odpowiednim do danego upoważnienia;
d) dla każdego Użytkownika Systemu informatycznego ustalony jest odrębny Identyfikator i Hasło;
e) identyfikator użytkownika nie może być zmieniany, a po wyrejestrowaniu Użytkownika z Systemu informatycznego nie może być przydzielony innej osobie.
identyfikator osoby, która utraciła uprawnienia do dostępu do Danych osobowych, zostaje niezwłocznie wyrejestrowany z Systemu informatycznego, w którym są przetwarzane, zaś Hasło dostępu zostaje unieważnione oraz zostają podjęte inne działania niezbędne w celu zapobieżenia dalszemu dostępowi tej osoby do danych.

Metody i środki Uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem:
a) w Systemie informatycznym stosuje się Uwierzytelnianie na poziomie dostępu do systemu operacyjnego. Do Uwierzytelnienia Użytkownika na poziomie dostępu do systemu operacyjnego stosuje się Hasło oraz Identyfikator użytkownika;
b) hasła użytkowników umożliwiające dostęp do Systemu informatycznego utrzymuje się w tajemnicy również po upływie ich ważności;
c) minimalna długość Hasła przydzielonego Użytkownikowi wynosi . . . . . . znaków alfanumerycznych i znaków specjalnych;
d) zabrania się używania identyfikatora lub Hasła drugiej osoby.

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przez Użytkowników systemu:
a) pracownik po przyjściu do pracy uruchamia stację roboczą;
b) przed uruchomieniem komputera należy sprawdzić, czy nie zostały do niego podłączone żadne niezidentyfikowane urządzenia;
c) po uruchomieniu pracownik loguje się przy pomocy identyfikatora Użytkownika oraz hasła do systemu informatycznego;
d) w trakcie pracy przy każdorazowym opuszczeniu stanowiska komputerowego należy dopilnować, aby na ekranie nie były wyświetlane Dane osobowe;
e) przy opuszczaniu stanowiska na dłuższy czas należy ustawić ręcznie blokadę klawiatury i wygaszacz ekranu (wygaszacz nie rzadszy niż aktywujący się po 15 min braku aktywności);

Tworzenie kopii zapasowych Zbiorów danych:
a) dla zabezpieczenia integralności danych dokonuje się archiwizacji danych w systemach Administratora;
b) archiwizacja jest dokonywana na serwerze głównym;
c) wszystkie dane archiwizowane winny być identyfikowane, tj. zawierać takie informacje jak datę dokonania zapisu oraz identyfikator zapisanych w kopii danych.

Sposób, miejsce i okres przechowywania Elektronicznych nośników informacji zawierających Dane osobowe oraz kopii zapasowych:
a) nośniki z kopiami archiwalnymi powinny być zabezpieczone przed dostępem do nich osób nieupoważnionych, przed zniszczeniem czy kradzieżą;
b) nośników z danymi zarchiwizowanymi nie należy przechowywać w tych samych pomieszczeniach, w których przechowywane są Zbiory danych osobowych używane na bieżąco;
c) nośniki informacji, kopie zapasowe, które nie są przeznaczone do udostępnienia, przechowuje się w warunkach uniemożliwiających dostęp do nich osobom niepowołanym;
d) kopie, które są już nieprzydatne, należy zniszczyć fizycznie lub stosując wymazywanie poprzez wielokrotny zapis nieistotnych informacji w obszarze zajmowanym przez dane kasowane;
e) zabrania się wynoszenia jakichkolwiek nagranych nośników zawierających dane osobowe z miejsca pracy.

II. POSTANOWIENIA KOŃCOWE


Załącznikami niniejszej polityki są:
a) zał. nr 1 – wykaz osób upoważnionych do przetwarzania danych;
b) zał. nr 2 – wykaz budynków;
c) zał. nr 3 – wykaz zbiorów danych;
d) zał. nr 4 – rejestr czynności przetwarzania;
e) zał. nr 5 - upoważnienie do przetwarzania danych;
f) zał. nr 6 - klauzula informacyjna dla pracowników;
g) zał. nr 7 - klauzula informacyjna dla oferentów;
h) zał. nr 8 – rejestr naruszeń;
i) zał. nr 9 – informacja o monitoringu;

Polityka wchodzi w życie z dniem 20

POLITYKA BEZPIECZEŃSTWA

ZASADY OCHRONY DANYCH OSOBOWYCH przetwarzanych w firmie PAK-DRUK SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

Polityka Bezpieczeństwa (zwana dalej Polityką) wraz z Instrukcją Zarządzania Systemem Informatycznym (zwana dalej Instrukcją) opisują działania organizacyjne i techniczne podejmowane w firmie PAK-DRUK Spółka z ograniczoną odpowiedzialnością jako Administratora Danych, których celem jest osiągnięcie i utrzymanie akceptowalnego poziomu bezpieczeństwa przetwarzanych danych osobowych oraz podniesienie poziomu świadomości pracowników w zakresie ochrony tych danych/informacji.

Polityka Bezpieczeństwa stanowi jednocześnie politykę ochrony danych w rozumieniu art. 24 ust. 2 RODO - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

W celu utrzymania odpowiedniego poziomu ochrony danych, Administrator wdrąża odpowiednie procedury ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi.

Polityka Bezpieczeństwa jest dokumentem wewnętrznym i może być udostępniana osobom trzecim jedynie w uzasadnionych przypadkach i za zgodą Administratora.

I. Definicje:
a) Administrator - rozumie się przez to PAK-DRUK Spółkę z ograniczoną odpowiedzialnością.
b) Osoba upoważniona - każda osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych wydane przez Administratora;
c) Użytkownik systemu - każda osoba, posiadająca upoważnienie do przetwarzania danych osobowych wydane przez Administratora zarejestrowana w systemie /posiadająca unikalny identyfikator i hasło/ przetwarzająca dane osobowe;
d) Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio;
e) Zbiór danych - uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
f) Przetwarzanie danych - operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
g) Usuwanie danych - zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
h) Identyfikator użytkownika - ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
i) Hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
j) Bezpieczeństwo informacji - zachowanie poufności, integralności, dostępności i rozliczalności informacji
k) Poufność - właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom i podmiotom;
l) Dostępność - właściwość polegającym na byciu dostępnym i użytecznym na żądanie upoważnionego podmiotu lub upoważnionej osoby;
m) Integralność - właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
n) Rozliczalność - właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
o) Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
p) System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
q) Zabezpieczanie danych w systemie informatycznym - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;

II. INFORMACJE OGÓLNE


Administratorem PAK-DRUK Spółka z ograniczoną odpowiedzialnością z siedzibą w Rybniku przy ul. Górnośląskiej 19.

Celem Polityki jest wskazanie działań, które należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki Administratora w zakresie zabezpieczenia danych osobowych.

Polityka obowiązuje wszystkich pracowników Administratora oraz osoby pracujące na rzecz Administratora na podstawie umów cywilnoprawnych oraz na podstawie prowadzonej działalności gospodarczej.

Dane osobowe objęte Polityką Bezpieczeństwa oraz sposoby ich zabezpieczeń objęte są tajemnicą nieograniczoną w czasie.

III. CEL I ZAKRES STOSOWANIA POLITYKI


Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

Administrator Danych Osobowych gromadzi i przetwarza dane osobowe w następujących celach:
a) wykonywania obowiązków pracodawcy w zakresie zatrudniania pracowników;
b) prowadzenia działalności gospodarczej, realizacja i wykonywania umów zawartych z kontrahentami;

Polityka jest stosowana wobec danych przetwarzanych przy użyciu następujących programów:
a) Office,
b) Libre,
c) PAK DRUK 1.0,
d) subject.

Polityka jest stosowana wobec danych przetwarzanych zarówno w formie papierowej jak np. akta osobowe pracowników, oraz elektronicznej.
Zakres przedmiotowy Polityki Bezpieczeństwa obejmuje:
a) wszystkie zbiory danych osobowych określone w załączniku nr 3 – wykazie zbiorów danych;
b) wszystkie osoby upoważnione do przetwarzania danych – załącznik nr 1;
c) odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia;

IV. REALIZACJA POLITYKI BEZPIECZEŃSTWA


Administrator danych osobowych stosuje następujące zabezpieczenia organizacyjne:
a) opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych;
b) sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych u Administratora;
c) stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych;
d) opracowano i bieżąco prowadzi się rejestr czynności przetwarzania,
e) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną;
f) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;
g) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
h) przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
i) przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
j) dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.

Administrator danych osobowych stosuje następujące zabezpieczenia techniczne:
a) stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową;
b) komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła;

Administrator danych osobowych stosuje następujące środki ochrony fizycznej:
a) obszar, na którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem;
b) urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach;
c) dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach;
d) dokumenty papierowe oraz inne nośniki informacji powinny być przechowywane w zamykanych na klucz szafach i/lub w innych bezpiecznych miejscach, zwłaszcza poza godzinami pracy;
e) wszystkie dokumenty papierowe muszą być niszczone przy pomocy niszczarki;
f) dokumenty zawierające wrażliwe lub krytyczne informacje powinny być zamykane w szafkach z zamkiem, pieczątki powinny być zamykane w szufladach z zamkiem;
g) nie wolno pozostawić zalogowanych komputerów bez nadzoru;
h) monitory powinny być tak ustawione by uniemożliwić podgląd informacji na ekranie osobom postronnym;
i) poza godzinami pracy urządzenia kopiujące powinny być chronione przed użyciem przez nieuprawnione osoby;

Administrator przekazuje dane osobowe innym podmiotom. Dochodzi wówczas do powierzenia przetwarzania danych osobowych. W takim przypadku Administrator podejmuje następujące działania:
a) uwzględnia powierzenie przetwarzania danych osobowych w wykazie zbiorów danych – złącznik nr 3;
b) umieszcza w umowach zapisy dotyczące powierzenia przetwarzania danych osobowych.

Zapisy umowne dotyczące powierzenia przetwarzania danych muszą zawierać zapisy o tym, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie w celu i zakresie określonym w umowie, a także wyłącznie na udokumentowane polecenie administratora;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) w miarę potrzeb podejmuje wszelkie środki wymagane w celu zabezpieczenia danych osobowych, w szczególności pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.;
d) przekazuje powierzone dane osobowe innym podmiotom do przetwarzania tylko po uzyskaniu wyraźnej zgody administratora;
e) pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
f) pomaga administratorowi wywiązać się z obowiązków dotyczących zgłaszania naruszeń ochrony danych osobowych oraz w zakresie oceny skutków przetwarzania dla danych osobowych;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

I. ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM


Procedury nadawania uprawnień do Przetwarzania danych i rejestrowania tych uprawnień w Systemie informatycznym:
a) za bezpieczeństwo Danych osobowych w Systemie informatycznym PAK-DRUK Spółka z ograniczoną odpowiedzialnością, za właściwy nadzór odpowiedzialny jest Administrator Danych;
b) do obsługi Systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do Przetwarzania danych, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie wydane przez Administratora Danych;
c) po upoważnieniu osoby do dostępu do przetwarzania danych osobowych w systemie informatycznym zostaje jej nadany Identyfikator użytkownika. Z chwilą nadania Identyfikatora osoba może uzyskać dostęp do systemów informatycznych w zakresie odpowiednim do danego upoważnienia;
d) dla każdego Użytkownika Systemu informatycznego ustalony jest odrębny Identyfikator i Hasło;
e) identyfikator użytkownika nie może być zmieniany, a po wyrejestrowaniu Użytkownika z Systemu informatycznego nie może być przydzielony innej osobie.
identyfikator osoby, która utraciła uprawnienia do dostępu do Danych osobowych, zostaje niezwłocznie wyrejestrowany z Systemu informatycznego, w którym są przetwarzane, zaś Hasło dostępu zostaje unieważnione oraz zostają podjęte inne działania niezbędne w celu zapobieżenia dalszemu dostępowi tej osoby do danych.

Metody i środki Uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem:
a) w Systemie informatycznym stosuje się Uwierzytelnianie na poziomie dostępu do systemu operacyjnego. Do Uwierzytelnienia Użytkownika na poziomie dostępu do systemu operacyjnego stosuje się Hasło oraz Identyfikator użytkownika;
b) hasła użytkowników umożliwiające dostęp do Systemu informatycznego utrzymuje się w tajemnicy również po upływie ich ważności;
c) minimalna długość Hasła przydzielonego Użytkownikowi wynosi . . . . . . znaków alfanumerycznych i znaków specjalnych;
d) zabrania się używania identyfikatora lub Hasła drugiej osoby.

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przez Użytkowników systemu:
a) pracownik po przyjściu do pracy uruchamia stację roboczą;
b) przed uruchomieniem komputera należy sprawdzić, czy nie zostały do niego podłączone żadne niezidentyfikowane urządzenia;
c) po uruchomieniu pracownik loguje się przy pomocy identyfikatora Użytkownika oraz hasła do systemu informatycznego;
d) w trakcie pracy przy każdorazowym opuszczeniu stanowiska komputerowego należy dopilnować, aby na ekranie nie były wyświetlane Dane osobowe;
e) przy opuszczaniu stanowiska na dłuższy czas należy ustawić ręcznie blokadę klawiatury i wygaszacz ekranu (wygaszacz nie rzadszy niż aktywujący się po 15 min braku aktywności);

Tworzenie kopii zapasowych Zbiorów danych:
a) dla zabezpieczenia integralności danych dokonuje się archiwizacji danych w systemach Administratora;
b) archiwizacja jest dokonywana na serwerze głównym;
c) wszystkie dane archiwizowane winny być identyfikowane, tj. zawierać takie informacje jak datę dokonania zapisu oraz identyfikator zapisanych w kopii danych.

Sposób, miejsce i okres przechowywania Elektronicznych nośników informacji zawierających Dane osobowe oraz kopii zapasowych:
a) nośniki z kopiami archiwalnymi powinny być zabezpieczone przed dostępem do nich osób nieupoważnionych, przed zniszczeniem czy kradzieżą;
b) nośników z danymi zarchiwizowanymi nie należy przechowywać w tych samych pomieszczeniach, w których przechowywane są Zbiory danych osobowych używane na bieżąco;
c) nośniki informacji, kopie zapasowe, które nie są przeznaczone do udostępnienia, przechowuje się w warunkach uniemożliwiających dostęp do nich osobom niepowołanym;
d) kopie, które są już nieprzydatne, należy zniszczyć fizycznie lub stosując wymazywanie poprzez wielokrotny zapis nieistotnych informacji w obszarze zajmowanym przez dane kasowane;
e) zabrania się wynoszenia jakichkolwiek nagranych nośników zawierających dane osobowe z miejsca pracy.

II. POSTANOWIENIA KOŃCOWE


Załącznikami niniejszej polityki są:
a) zał. nr 1 – wykaz osób upoważnionych do przetwarzania danych;
b) zał. nr 2 – wykaz budynków;
c) zał. nr 3 – wykaz zbiorów danych;
d) zał. nr 4 – rejestr czynności przetwarzania;
e) zał. nr 5 - upoważnienie do przetwarzania danych;
f) zał. nr 6 - klauzula informacyjna dla pracowników;
g) zał. nr 7 - klauzula informacyjna dla oferentów;
h) zał. nr 8 – rejestr naruszeń;
i) zał. nr 9 – informacja o monitoringu;

Polityka wchodzi w życie z dniem 20
do góry