Narcos

Gdańsk, 25.05.2018 r.

Zarządzenie nr 1/2018 Prezesa Zarządu Spółki Towarzystwo  Inwestycyjne Maison

Sp. z o.o. z siedzibą w Gdańsku

w sprawie: wprowadzenia Polityki Bezpieczeństwa (  dalej też zwana Polityką Bezpieczeństwa ) w Spółce Towarzystwo Inwestycyjne Maison Sp. z o.o. zwaną dalej Spółką.

Na podstawie ustawy z dnia 10 maja 2018r.o ochronie danych osobowych oraz w związku z wejściem w życie z dniem 25 maja 2018r. rozporządzenia Parlamentu Europejskiego i Rady (  UE 2016/679 z dnia 27.04.2016 ) w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i  w sprawie swobody przepływu takich danych oraz uchylenia dyrektywy 95/46/WE inaczej RODO, zarządzam co następuje:

§ 1

Wprowadzam w Spółce Politykę Bezpieczeństwa dotyczącej przetwarzania danych osobowych w której to tekst ujednolicony stanowi Załącznik Nr 1 do niniejszego   zarządzenia.

§ 2

Administratorem danych w Spółce Towarzystwo Inwestycyjne Maison Sp. z o.o. jest Prezes Zarządu, mail do kontaktu: tow@inw.pl . Organem nadzoru jest Prezes Urzędu Ochrony Danych Osobowych.

§ 3

Zarządzenie wchodzi w życie z dniem 25.05.2018r.

 

 

Załącznik Nr 1 do Zarządzenia Nr 1/2018 Prezesa Zarządu .

 

POLITYKA BEZPIECZEŃSTWA

 

ROZDZIAŁ 1

PODSTAWA PRAWNA

§ 1

 Podstawą prawną dla Polityki Bezpieczeństwa jest :

  1. Ustawa o ochronie danych osobowych z dnia 10 maja 2018r. oraz Rozporządzenia Parlamentu Europejskiego i Rady ( UE 2016/679 z dnia 27.04.2016 ) w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i  w sprawie swobody przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.( RODO)

POSTANOWIENIA OGÓLNE

 § 2

  1. Polityka Bezpieczeństwa to zbiór praw, reguł dotyczący sposobu zarządzania, ochrony i dystrybucji  w Spółce danymi osobowymi i informacjami.
  2. Dokument określa także konsekwencje, jakie mogą ponieść osoby przekraczające określone granice oraz procedury postępowania w celu zapobiegania i  minimalizowania  skutków  zagrożeń.

§ 3

  1. Polityka Bezpieczeństwa obowiązuje wszystkich pracowników Spółki oraz współpracowników Spółki, o ile ci ostatni zobowiązani zostali do jej stosowania.
  2. Administratorem Danych Osobowych (inaczej AD) jest Prezes Zarządu Na mocy ustawy zobowiązany jest do :

a) zabezpieczenia przetwarzania bezpieczeństwa danych osobowych przed ich udostępnieniem

osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem.

b) nadzoru nad systemem informatycznym służącym do przetwarzania danych osobowych i osób

przy  nim zatrudnionych.

ROZDZIAŁ 2

OCHRONA DANYCH  OSOBOWYCH

 § 4

1. Dane osobowe – wszelkie dane informatyczne dotyczące zidentyfikowanej lub możliwej do   zidentyfikowania osoby fizycznej.

2. Przetwarzanie danych osobowych dopuszczalne jest tylko wtedy gdy zachodzi jedna z niżej  wymienionych przesłanek :

a) osoba, której dane dotyczą wyrazi zgodę na przetwarzanie danych osobowych,

b) jest to niezbędne dla realizowania uprawnienia lub obowiązku wynikającego z przepisów prawa,

c) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną,

d) jest to niezbędne dla wykonania określonych prawem zadań realizowanych dla dobra publicznego,

e) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez

administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności

osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się marketing bezpośredni

produktów  własnych lub usług administratora danych; dochodzenie roszczeń z tytułu prowadzonej

działalności gospodarczej.

3. W przypadku zbierania danych od osoby, której dane dotyczą lub w przypadku zbierania danych nie   od osoby, której one dotyczą administrator danych obowiązany jest poinformować osobę o: adresie administratora danych – Spółce, celu zbierania danych, prawie dostępu do treści danych  ich poprawiania, dobrowolności lub obowiązku podania danych.

4. Na wniosek osoby, której dane dotyczą administrator danych obowiązany jest w terminie 7 dni na piśmie poinformować osobę o przysługujących jej prawach oraz udzielić następujących informacji: jakie dane osobowe zawiera zbiór, kto jest administratorem danych, jaki jest cel, zakres i sposób przetwarzania danych, źródle, z którego pochodzą dane, o sposobie udostępniania danych.

5. W razie wskazania przez osobę, której dane dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane niezgodnie z prawem administrator danych jest zobowiązany bez zbędnej zwłoki do uzupełnienia, uaktualnienia, sprostowania lub wstrzymania przetwarzania danych osobowych.

6. W razie zgłoszenia takiego wniosku przez osobę fizyczną administrator obowiązany jest bez zbędnej zwłoki usunąć w całości dane osobowe osoby fizycznej.( prawo  do bycia zapomnianym)

7. Dane osobowe będą zbierane przez okres 5 lat od zakończenia współpracy z daną osobą .

 

ROZDZIAŁ 3

 

BEZPIECZEŃSTWO   TELEINFORMATYCZNE

  § 5

  1. Każda osoba mająca dostęp do informacji poufnych (dalej upoważniony), w tym danych osobowych, ma obowiązek zachować je w poufności.
  2. Dostęp do danych osobowych wraz z uprawnieniami do systemów informatycznych jest przyznawany przez AD.
  3. Loginami i hasłami do systemów zarządza AD.
  4. Każdy kto ma dostęp do danych, jest za nie odpowiedzialny. Ponosi odpowiedzialność za zachowaniu ich w poufności, w tym zabezpieczenie fizyczne (dostęp do dokumentów papierowych, dostęp do komputera, osobistych haseł), nie udostępnianie osobom, które nie zostały do tego uprawnione przez AD.
  5. Upoważniony bez zgody AD nie może wynosić danych poufnych poza siedzibę Spółki
  6. Upoważniony ma obowiązek zgłaszać wszelkie incydenty lub podejrzenia naruszenia zasad bezpieczeństwa danych do AD.
  7. Obowiązkiem upoważnionej jest także zachowanie sposobów zabezpieczenia danych, systemów i pomieszczeń w poufności pod rygorem kary dyscyplinarnej przewidzianej Kodeksem Pracy i/lub odpowiedzialnością wynikającą z RODO.
  8. Upoważniony jest zobowiązany zmieniać hasło do systemu operacyjnego (np. Windows) oraz systemów służących do przetwarzania danych osobowych nie rzadziej niż co 6 miesięcy.

  § 6

Podstawowe zasady zachowania poufności obowiązujące w Spółce

  1. Nie wolno dzielić się informacjami chronionymi z osobami spoza Spółki (o ile nie uzasadnia tego interes prawny).
  2. Niepotrzebne dokumenty należy niszczyć na bieżąco w niszczarce.
  3. Informacje chronione (szczególnie dane osobowe) należy przesyłać w sposób gwarantujący ich poufność, zabezpieczone hasłem, które zostanie przekazane inną drogą, np. SMSem lub osobnym mailem. Wiadomość powinna zawierać oznaczenie, że jej treść jest poufna, tylko dla odbiorcy informacji.
  4. Nie wolno udostępniać innym swoich haseł, a komputer należy zablokować za każdym razie, gdy opuszcza się stanowisko pracy.
  5. Wszystkie umowy, regulaminy, aneksy, które odbiegają od standardowych wzorów, przed podpisaniem powinny być konsultowane z AD.
  6. Nie wolno podejmować działań związanych z pozyskiwaniem lub udostępnianiem danych osobowych bez uprzedniej konsultacji z AD.
  7. Nie wolno żadnych danych osobowych udostępniać telefonicznie.
  8. Nie wolno innym osobom (w tym współpracownikom) ujawniać osobistych kodów dostępu oraz haseł.
  9. Nie wolno korzystać z systemu pod cudzym identyfikatorem (loginem).
  1. Każdy z pracowników powinien posiadać zindywidualizowane konto poczty elektronicznej.
  1. Drukarki znajdujące się w Spółce nie mogą być pozostawione bez kontroli jeśli są na ich drukowane informacje zawierające dane osobowe.
  1. Dla zapewnienia nieprzerwanego i bezpiecznego działania systemu informatycznego użytkownicy komputerów i laptopów muszą mieć zainstalowane oprogramowanie antywirusowe.
  1. Ze względu na bezpieczeństwo wprowadza się obowiązek sporządzania przez Informatyka współpracującego ze Spółką kopii awaryjnych oprogramowania systemowego i aplikacji.

 

ROZDZIAŁ 4

 

OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH  OSOBOWYCH

 § 7

1. Podział zagrożeń:

a) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, zalania, ogień, przerwy w zasilaniu w energię

elektryczną, zwarcia i przepięcia w sieci elektroenergetycznej),

b) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki użytkowników, administratora, awarie

sprzętowe, błędy oprogramowania, działanie wirusów),

c) zagrożenia zamierzone,  świadome  i celowe  – najpoważniejsze  zagrożenia,  naruszenia  poufności

danych.

2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe to:

a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu

jak  np.: pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne,

niepożądana ingerencja ekipy remontowej itp.,

b) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura,

oddziaływanie pola elektromagnetycznego,

c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie

w kierunku naruszenia ochrony  danych  lub wręcz  sabotaż,

d) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie,

e) stwierdzenie próby modyfikacji danych lub zmianę w strukturze danych bez odpowiedniego

upoważnienia (autoryzacji),

f) ujawnienie osobom nieupoważnionym danych osobowych, objętych tajemnicą procedur ochrony

przetwarzania lub innych strzeżonych elementów zabezpieczeń system,

g) rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji

(nie wylogowanie z programu, systemu przed opuszczeniem stanowiska pracy, pozostawienie

danych osobowych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, prace na

danych osobowych w celach prywatnych, itp.).

3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych tj. papier (wydruki), nośniki teleinformatyczne w formie niezabezpieczonej itp.

4. Postępowanie w przypadku naruszenia ochrony danych osobowych opisano w Rozdziale 6.

 

ROZDZIAŁ 5

ZABEZPIECZENIE DANYCH OSOBOWYCH

  § 8

1. W Spółce stosuje się następujące środki  techniczne ochrony danych osobowych:

a) przetwarzanie danych osobowych w wydzielonych pomieszczeniach położonych w strefie

administracyjnej,

b) serwer znajduje się poza siedzibą Spółki, na terytorium Rzeczypospolitej Polskiej.

2.  Zastosowane zabezpieczenia danych osobowych w systemach informatycznych:

a) serwery mają zapewniony wysoki poziom zabezpieczeń przed awariami zasilania, który zapewnia

zasilacz UPS,

b) zalogowanie się do systemu wymaga  podania  nazwy użytkownika i hasła. Każdy użytkownik  ma

przypisane uprawnienia do wykonywania

c) kopie bezpieczeństwa kopiowane z serwera głównego na serwer zapasowy znajdujący się w

wyniesionej lokalizacji .

d) wydruki i dokumenty zawierające dane osobowe powinny znajdować się w miejscu, które

uniemożliwia dostęp osobom postronnym.

3. Zastosowane środki organizacyjne ochrony danych osobowych:

a) zapoznanie każdej osoby z przepisami dotyczącymi ochrony danych osobowych przed

dopuszczeniem jej do pracy przy przetwarzaniu danych osobowych,

b) kontrolowanie otwierania i zamykania pomieszczeń w których są przetwarzane dane

osobowe, polegające na otwarciu pomieszczenia przez pierwszą osobę,  która rozpoczyna pracę

oraz zamknięciu pomieszczenia  przez ostatnią wychodzącą osobę.

4. Opis struktur zbiorów danych osobowych przetwarzanych w Spółce określa Załącznik Nr 1.

 

ROZDZIAŁ 6

 

POSTĘPOWANIE  W PRZYPADKU NARUSZENIA  OCHRONY DANYCH  OSOBOWYCH

  § 9

1. Obowiązkiem administratora danych jest zgłaszanie w ciągu 72 godzin od wykrycia naruszenia ochrony danych osobowych do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone.

2. Każda osoba zatrudniona przy przetwarzaniu danych osobowych jest obowiązana niezwłocznie powiadomić Administratora Danych , gdy stwierdzi między innymi niewłaściwe  lub wadliwe:

a) zabezpieczenia systemu informatycznego,

b) technicznego stanu urządzeń,

c) zawartości zbioru danych osobowych

d) innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie

pomieszczeń, pożar, itp.).

  § 10

1. Czynności podejmowane przez pracowników do czasu przybycia  AD na miejscu naruszenia ochrony danych osobowych:

a) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego

naruszenia,

b) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia

miejsca zdarzenia,

c) podjąć inne  działania  przewidziane  i  określone  w instrukcjach  technicznych  i

technologicznych stosownie do objawów i  komunikatów towarzyszących naruszeniu,

d) udokumentować wstępnie zaistniałe naruszenie,

e) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia, do czasu   przybycia AD.

 § 11

1. Czynności podejmowane przez AD po przybyciu  na miejsce naruszenia ochrony danych   osobowych:

a) zapoznanie się z zaistniałą sytuacją i dokonanie wyboru metody dalszego postępowania mając na

uwadze ewentualne zagrożenia dla prawidłowości pracy Spółki,

b) żądanie dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej jak również od

każdej innej osoby, która może posiadać informacje związane z zaistniałym zdarzeniem

naruszenia ochrony danych.

 § 12

1. AD dokumentuje zaistniały przypadek naruszenia oraz sporządza raport wg wzoru stanowiącego Załącznik Nr 3, który powinien zawierać w szczególności:

a) określenie czasu, miejsca naruszenia,

b) określenie rodzaju naruszenia,

c) opis podjętego działania,

d) wstępną ocenę przyczyn wystąpienia naruszenia,

e) ocenę przeprowadzonego postępowanie wyjaśniającego.

 

ROZDZIAŁ 7

 

POSTANOWIENIA  KOŃCOWE

 § 13

 

  1. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu  informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła  działania określonego w   niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie  z określonymi zasadami, można wszcząć postępowanie dyscyplinarne.
  2. Tworzy się ewidencje osób upoważnionych do przetwarzania danych osobowych, zgodnie z Załącznikiem Nr 3.
  3. Osoby uprawnione do przetwarzania danych osobowych obowiązuje zakres obowiązków, które stanowi Załącznik Nr 4.
  4. Osoby uprawnione do przetwarzania danych osobowych składają oświadczenia zgodnie z Załącznikiem Nr 5.
  5. Osoby uprawnione do przetwarzania danych osobowych otrzymują Upoważnienie do przetwarzania danych osobowych zgromadzonych w zbiorze danych osobowych wydane przez AD, zgodnie z Załącznikiem Nr 6.

 

 

 

 

Hajduczek Willowe Wzgórza