Grupa ENPIRE
tel.: +48 52 569 91 62

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Cel ustanowienia Polityki bezpieczeństwa

§ 1
Celem polityki bezpieczeństwa przetwarzania danych osobowych (dalej: Polityki bezpieczeństwa), jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki Administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w § 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135, ze zm.),

§ 2
Obszarem przetwarzania danych osobowych w ENPIRE Łukasz Wojciechowski (dalej: ENPIRE) są wydzielone pomieszczenia w budynku, w którym mieści się biuro ENPIRE, tj. w przy ul. 3 Maja 22 w Bydgoszczy, kod pocztowy 85-016.

§ 3
1. ENPIRE realizuje ochronę danych osobowych poprzez zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników.
2. Administratorem danych osobowych jest ENPIRE.

§ 4
1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w ENPIRE. rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
1) poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
2) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
3) rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
4) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
5) dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
6) zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

2. Definicje

§ 5
Przez użyte w Polityce Bezpieczeństwa określenia należy rozumieć:
1) Polityka Bezpieczeństwa – Polityka Bezpieczeństwa Ochrony Danych Osobowych w ENPIRE;
2) Administrator Danych Osobowych – (dalej: Administrator danych); ENPIRE;
3) Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2014 r. poz.1182);
4) Rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);
5) Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
6) Zbiór danych osobowych – zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
7) Baza danych osobowych – zbiór uporządkowanych powiązanych ze sobą tematycznie zapisanych np. w pamięci wewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisywane dane osobowe;
8) Usuwanie danych – zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą.
9) Przetwarzane danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
10) System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
11) System tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze;
12) Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
13) Użytkownik – upoważniona przez Administratora danych osoba, której nadano identyfikator i przyznano hasło.

3. Zakres stosowania Polityki bezpieczeństwa

§ 6
1. W ENPIRE przetwarzane są przede wszystkim informacje służące do przetwarzania danych klientów a także dłużników w celu realizacji zleceń windykacyjnych.
2. Informacje, o których mowa w ustępie 1, są przetwarzane i składowane w:
1) systemie tradycyjnym,
2) systemie informatycznym
w postaci dokumentacji papierowej oraz elektronicznej.

§ 7
Polityka Bezpieczeństwa ma zastosowanie przy przetwarzaniu następujących danych:
1) danych osobowych,
2) danych dotyczących pracowników ENPIRE:
a. danych osobowych pracowników,
b. treści umów o pracę.
3) danych dotyczących kandydatów do pracy uzyskiwanych w procesie rekrutacji.
4) zabezpieczeń danych osobowych, w tym w szczególności nazwy kont i haseł w systemach przetwarzania danych osobowych.
5) ewidencji osób upoważnionych do przetwarzania danych osobowych.
6) innych dokumentów zawierających dane osobowe.

§ 8
1. Zasady określone przez niniejszy dokument mają zastosowanie do całego systemu przetwarzania danych, w tym do systemu informatycznego, a w szczególności do:
1) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz tradycyjnych, w których przetwarzane są lub będą informacje podlegające ochronie;
2) informacji, których administratorem jest ENPIRE, o ile zostały przekazane na podstawie umów lub porozumień;
3) wszystkich nośników papierowych, magnetycznych, optycznych lub pamięci flash, na których są lub będą znajdować się informacje podlegające ochronie;
4) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie;
5) wszystkich osób upoważnionych do przetwarzania danych osobowych w ENPIRE.
2. Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby upoważnione do przetwarzania danych osobowych w ENPIRE.
3. Do spraw nieuregulowanych w Polityce Bezpieczeństwa stosuje się przepisy o ochronie danych osobowych.

§ 9
Informacje niejawne nie są objęte zakresem niniejszej Polityki Bezpieczeństwa.

4. Środki organizacyjne, techniczne i fizyczne niezbędne dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych

§ 9
1. Środki organizacyjne:
1) Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
2) Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego.
3) Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.
4) Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
5) Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
6) Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych.
7) Sporządzono i wdrożono Politykę Bezpieczeństwa.
8) Sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
2. Środki techniczne:
1) Każdy dokument papierowy przeznaczony do wyrzucenia jest uprzednio niszczony w sposób uniemożliwiający jego odczytanie.
2) Zastosowano wygaszacze ekranu w przypadku dłuższej nieaktywności użytkownika.
3) Sieć lokalną zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą systemu Firewall do ochrony dostępu do sieci komputerowej.
4) Stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową.
5) Komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła.
3. Środki ochrony fizycznej:
1) Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych osobowych objęty jest systemem kontroli dostępu.
2) Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez cała dobę jest nadzorowany przez służbę ochrony.
3) Zbiór danych osobowych w formie papierowej jak i kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.
4) Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
5) Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

5. Procedura postępowania w przypadku zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych

§ 10
1. Instrukcja definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Celem instrukcji jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa, ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.
2. Każdy pracownik w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować o tym Administratora danych.
3. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
2) niewłaściwe zabezpieczenie sprzętu, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników.
4. Do typowych incydentów bezpieczeństwa danych osobowych należą:
1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/ zagubienie danych),
3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).
5. W przypadku stwierdzenia wystąpienia zagrożenia, Administrator danych prowadzi postępowanie wyjaśniające w toku, którego:
1) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
2) inicjuje ewentualne działania dyscyplinarne,
3) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości,
4) dokumentuje prowadzone postępowanie.
6. W przypadku stwierdzenia incydentu (naruszenia), Administrator danych prowadzi postępowanie wyjaśniające, w toku którego:
1) ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
2) zabezpiecza ewentualne dowody,
3) ustala osoby odpowiedzialne za naruszenie,
4) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),
5) inicjuje działania dyscyplinarne,
6) wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,
7) dokumentuje prowadzone postępowania.

6. Zadania Administratora danych

§ 11
Do najważniejszych obowiązków Administratora danych należy:
1) nadzór nad stosowaniem środków ochrony w systemach informatycznych, w tym nadzór nad czynnościami związanymi z ochroną przeciwwirusową, czynnościami serwisowymi dotyczącymi systemu informatycznego, w którym przetwarzane są dane osobowe;
2) nadzór nad przestrzeganiem przez użytkowników systemu procedur bezpieczeństwa;
3) ocena ryzyka bezpieczeństwa systemów informatycznych,
4) sporządzanie kopii bezpieczeństwa;
5) usuwanie danych na urządzeniach i innych nośnikach informacji, które zostały przeznaczone do likwidacji;
6) nadzór nad usuwaniem awarii sprzętu komputerowego w sposób zapewniający bezpieczeństwo przetwarzanych danych osobowych;
7) zabezpieczanie zbiorów danych osobowych wysyłanych poza obszar określony w Polityce Bezpieczeństwa;
8) nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe;
9) sprawowanie nadzoru nad obiegiem wydruków z systemu informatycznego zawierających dane osobowe.

7. Kontrola przestrzegania zasad zabezpieczania danych osobowych

§ 12
1. Co roku, do dnia 15 marca. wyznaczony przez Administratora danych pracownik przygotowuje roczne sprawozdanie stanu funkcjonowania systemu ochrony danych osobowych w ENPIRE.
2. Sprawozdanie przygotowywane jest w formie pisemnej.

8. Postanowienia końcowe

§ 13
1. Administrator danych ma obowiązek zapoznać z treścią Polityki Bezpieczeństwa każdego użytkownika, a użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce Bezpieczeństwa.
2. W sprawach nieuregulowanych w Polityce Bezpieczeństwa mają zastosowanie przepisy ustawy oraz rozporządzenia.

Szybkie linki

Media społecznościowe