Polityka prywatności

Profitta sp. z o.o.
Polityka prywatności
wraz z instrukcją
Na podstawie art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. (Dz.U.1997 Nr 133 poz. 883 ze zm.)
oraz Rozdziału VIII ust. 2 Regulaminu Partnera i Rozdziału VII ust. 2 Regulaminu Użytkownika na
podstawie Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych Profitta sp. z o.o. oświadcza, iż
stosuje wskazane poniżej środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych
objętych ochroną.
Rozdział I
[Definicje]
Dokumentacja – na dokumentację składa się polityka bezpieczeństwa i instrukcja
zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
zwana dalej „instrukcją". Dokumentację prowadzi się w formie pisemnej. Dokumentację
wdraża administrator danych.
Polityka bezpieczeństwa - środki techniczne i organizacyjne niezbędne dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych, sposób przepływu danych
pomiędzy poszczególnymi systemami, zawiera wykaz budynków, pomieszczeń lub części
pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów
danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych
danych oraz opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi, a także tryb postępowania w przypadku
stwierdzenia naruszenia ochrony danych osobowych w systemach teleinformatycznych lub
kartotekach, albo w sytuacji powzięcia podejrzenia o takim naruszeniu.
[email protected]
~1~
www.profitta.net
Profitta – Polityka Prywatności
Instrukcja – procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te
czynności. Zawiera stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem oraz procedury rozpoczęcia, zawieszenia i zakończenia pracy
przeznaczone dla użytkowników systemu, a także procedury wykonywania przeglądów i
konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Zawiera
ponadto, procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania. Wskazuje sposób, miejsce i okres
przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii
zapasowych. Określa sposób zabezpieczenia systemu informatycznego przed działaniem
oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu
informatycznego. Zawiera Sposób realizacji wymogów w zakresie informacji o odbiorcach, w
rozumieniu art. 7 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że
system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych.
Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten
jest rozproszony lub podzielony funkcjonalnie.
Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Kartoteka - zewidencjonowany, usystematyzowany zbiór wykazów, skoroszytów, wydruków
komputerowych i innej dokumentacji gromadzonej w formie papierowej, zawierającej dane
osobowe.
Administrator danych – Profitta sp. z o.o. z siedzibą w Krakowie.
Zarząd - prezes zarządu lub członek zarządu Profitta sp. z o.o. działający w imieniu
Administratora Danych.
Użytkownik lub osoba upoważniona– osoba wskazana i umocowana przez członka Zarządu
Profitta sp. z o.o. lub osobę przez niego wyznaczoną lub upoważnioną bądź uprawnioną do
przetwarzania oraz bezpośredniego dostępu do danych osobowych przetwarzanych w
systemie teleinformatycznym lub kartotekach, posiadającą ustalony identyfikator i hasło.
Obszar - budynki, pomieszczenia lub części pomieszczeń określone przez Administratora
Danych, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem
stacjonarnego sprzętu komputerowego lub gromadzone w kartotekach.
[email protected]
~2~
www.profitta.net
Profitta – Polityka Prywatności
Rozdział II
[Polityka bezpieczeństwa]
[ WYKAZ BUDYNKÓW ]
1.
2.
Przetwarzanie danych osobowych, w szczególności ich zbieranie, utrwalanie,
przechowywanie, opracowywanie lub zmienianie w ramach prowadzenia działalności
gospodarczej Profitta sp. z o.o. odbywa się lokalu mieszczącym się w Krakowie przy
ul. Litewskiej 19/6, 30-014 Kraków, w pomieszczeniach biurowych znajdujących się na
drugim piętrze w/w lokalu, chyba, że potrzeba przetwarzania danych osobowych poza
w/w pomieszczeniami wynika z wykonywania obowiązków służbowych.
Administrator Danych nie udostępnia zbiorów danych osobowych, które znajdują się
w jego posiadaniu
podmiotom
trzecim,
nieposiadającym
odpowiedniego
upoważnienia.
[ WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA DANYCH ]
3.
Administrator Danych gromadzi dane osobowe wyłącznie w zbiorze w formie
elektronicznej, stosując następujące programy komputerowe;
a. Profitta.net
b. Microsoft SQL Server
[ OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI ]
4.
5.
Elektroniczny zbiór danych osobowych posiada strukturę relacyjnej bazy danych.
W zbiorze danych przetwarzane są dane podmiotów Profitta sp. z o.o. w zakresie
wskazanym w Rozdziale VIII ust. 6 Regulaminu Partnera i w Rozdziale VII ust. 7
Regulaminu Użytkownika .
6.
[ SPOSÓB PRZEPŁYWU DANYCH ]
7.
Dane osobowe gromadzone się w obrębie systemu informatycznego Administratora
Danych oraz na zewnętrznych systemach informatycznych, które są systemami
zintegrowanymi, do których dostęp mają jedynie osoby upoważnione.
7.
Przepływ informacji w zależności od sytuacji oraz potrzeb użytkowników systemu może
odbywać się w następujący sposób;
a. półautomatycznie – za pomocą teletransmisji jednokierunkowej, albo
dwukierunkowej,
b. manualnie, za pomocą zewnętrznych nośników, w szczególności dysków
CD/DVD oraz pamięci USB,
c. za pomocą poczty elektronicznej, innych środków przekazywania danych na
odległość w ramach platform typu ASP, SAAS.
[email protected]
~3~
www.profitta.net
Profitta – Polityka Prywatności
[ OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI
PRZETWARZANYCH DANYCH OSOBOWYCH ]
8.
9.
10.
Administrator Danych celem zapewnienia poufności, integralności i rozdzielności
przetwarzanych danych osobowych stosuje środki techniczne i organizacyjne
polegające na;
a. zabezpieczenia obszaru przetwarzania danych osobowych przed dostępem
osób nieuprawnionych. Czas wejścia oraz wyjścia osób nieuprawnionych jest
rejestrowany przez osoby upoważnione przebywające w obszarze przetwarzania
danych,
b. Pobyt osób nieuprawnionych w obszarze przetwarzania danych osobowych jest
dopuszczalny za zgodą Administratora Danych lub osoby przez niego
upoważnionej,
c. zabezpieczenia dostępu do systemu informatycznego poprzez wprowadzenia i
przydzielenie upoważnionemu użytkownikowi indywidualnego loginu i hasła
dostępu. Hasło użytkownika jest zmieniane nie rzadziej, niż co 30 dni. Hasło
składa się co najmniej z 8 znaków i zawiera małe oraz duże litery oraz cyfry i
znaki specjalne.
Administrator Danych zabezpiecza system informatyczny, służący do przetwarzania
danych osobowych przed działaniem oprogramowania, którego celem jest uzyskanie
nieuprawnionego dostępu do systemu informatycznego m.in. przez stosowanie
programów antywirusowych lub autoryzacyjnych.
Administrator Danych zabezpiecza system informatyczny przed utratą danych
spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. W tym celu
wykorzystuje system UPS.
Rozdział III
[Instrukcja]
[ PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH ORAZ ICH REJESTROWANIE ]
1.
2.
3.
4.
5.
Do obsługi systemu informatycznego/serwera służącego do przetwarzania danych
osobowych, może być dopuszczona wyłącznie osoba posiadająca upoważnienie do
przetwarzania danych osobowych, wydane przez Administratora Danych.
Ewidencje upoważnień do przetwarzania danych osobowych, o których mowa
w punkcie 1, prowadzi Administrator Danych.
Rejestracji użytkownika systemu informatycznego dokonuje Administratora Danych.
Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe,
Administratora Danych ustala niepowtarzalny login i hasło dostępu.
Administratora Danych każdemu użytkownikowi przeprowadza szkolenie z zakresu
bezpieczeństwa przetwarzanych danych.
[email protected]
~4~
www.profitta.net
Profitta – Polityka Prywatności
[METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM ]
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
Dane osobowe mogą być przetwarzane przy użyciu komputerów stacjonarnych i
przenośnych.
Hasło użytkownika oraz hasło dostępu do serwera powinno posiadać minimum 8
znaków i być zmieniane co 30 dni.
Hasło oprócz znaków małych i dużych liter może zawierać ciąg znaków
alfanumerycznych i specjalnych.
Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów
w formie jawnej.
Hasło
nie
może
zawierać
żadnych
informacji,
które
można
kojarzyć
z użytkownikiem komputera.
Hasło nie może być zapisywane w miejscu dostępnym dla osób nieuprawnionych.
Użytkownik nie może udostępnić swojego loginu oraz hasła jak również dostępu do
stanowiska roboczego po uwierzytelnieniu w systemie osobom nieuprawnionym.
Hasło użytkownika oraz hasło dostępu do serwera, umożliwiające dostęp do systemu
informatycznego, należy utrzymywać w tajemnicy.
Raz użyty login nie może być przydzielony innemu użytkownikowi.
Użytkownik otrzymuje hasło początkowe przy przystąpieniu do pracy w systemie
i jest zobowiązany zmienić je natychmiast po rozpoczęciu pracy na tylko sobie znany
ciąg znaków.
W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona,
użytkownik zobowiązany jest do poinformowania o tym fakcie Administratora Danych i
natychmiastowej zmiany hasła.
W przypadku przetwarzania danych na komputerach przenośnych, dyski twarde oraz
inne wykorzystywane nośniki informacji mają być zabezpieczone w sposób
uniemożliwiający dostęp do tych danych osobom postronnym.
[ PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMU ]
17.
18.
19.
20.
21.
22.
23.
Rozpoczęcie pracy użytkownika w systemie informatycznym i serwerze następuje po
poprawnym zalogowaniu się do systemu.
Zakończenie pracy użytkownika następuje po poprawnym wylogowaniu się
z systemu.
Niedopuszczalne jest zakończenie pracy w systemie bez wylogowania się.
Monitory ekranowe stanowisk, na których przetwarzane są dane osobowe po
3 minutach nieaktywności użytkownika, powinny przejść automatycznie w stan
nieaktywny, a powrót do stanu aktywności musi wymagać podania hasła.
Monitory stanowisk komputerowych znajdujące się w pomieszczeniach, gdzie
przebywają osoby, które nie posiadają upoważnień do przetwarzania danych
osobowych należy ustawić w taki sposób, aby uniemożliwić osobom postronnym wgląd
w te dane.
Użytkownik
ma
obowiązek wylogowania
się
lub
zablokowania
systemu
w przypadku dłuższej, zaplanowanej nieobecności na stanowisku pracy lub
w przypadku zakończenia pracy.
Przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze,
w którym są przetwarzane dane osobowe jest dopuszczalne tylko w obecności osoby
upoważnionej do ich przetwarzania.
[email protected]
~5~
www.profitta.net
Profitta – Polityka Prywatności
24.
25.
Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać, na czas
nieobecności osób zatrudnionych, w sposób uniemożliwiający dostęp do nich osobom
trzecim.
Użytkownik niezwłocznie powiadamia Administratora danych osobowych w przypadku
braku możliwości zalogowania się na swoje konto oraz w przypadku podejrzenia
fizycznej ingerencji w przetwarzane dane osobowe lub użytkowane narzędzia
programowe lub sprzętowe. Wówczas, użytkownik jest zobowiązany do
natychmiastowego wyłączenia sprzętu.
[ PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI SŁUŻĄCYCH DO ICH PRZETWARZANIA ]
26.
27.
28.
29.
Zbiory danych w systemie informatycznym są zabezpieczane przed utratą lub
uszkodzeniem za pomocą urządzeń zabezpieczających przed awarią zasilania lub
zakłóceniami w sieci zasilającej (UPS) oraz sporządzania kopii zapasowych zbiorów
danych.
Zapewnienie sporządzania kopii zapasowych należy do odpowiedzialności osoby
wyznaczonej przez Administratora danych osobowych.
Przed aktualizacją lub dokonaniem zmiany w systemie należy bezwarunkowo wykonać
pełną kopię zapasową.
Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć
w sposób uniemożliwiający odczyt danych.
[ SPOSÓB, MIEJSCE I OKRES PRZECHOWYWANIA ELEKTRONICZNYCH NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE ORAZ KOPII
ZAPASOWYCH ]
30.
31.
32.
33.
34.
Kopie zapasowe baz danych zlokalizowanych w systemie wykonywane są w cyklu
dobowym w godzinach nocnych.
Kopie zapasowe baz danych zlokalizowanych na poszczególnych komputerach
wykonywane są w cyklu miesięcznym.
Dostęp do kopii zapasowych ma wyłącznie Administrator danych oraz osoba przez
niego upoważniona.
Kopie zapasowe przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie,
modyfikacje, uszkodzenie lub zniszczenie. Kopie zapasowe należy bezzwłocznie usuwać
po ustaniu ich użyteczności.
Usunięcie danych z systemu powinno zostać zrealizowane przy pomocy
oprogramowania przeznaczonego do bezpiecznego usuwania danych z nośnika
informacji.
[ SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁANIEM OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE
NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO ]
35.
W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony wirusów
komputerowych oraz oprogramowania złośliwego, którego celem
jest
uzyskanie
nieuprawnionego dostępu do systemu informatycznego,
konieczna jest ochrona
sieci komputerowej i stanowisk komputerowych.
[email protected]
~6~
www.profitta.net
Profitta – Polityka Prywatności
36.
37.
38.
39.
40.
41.
Wirusy komputerowe mogą pojawić się systemach Administratora Danych poprzez:
Internet, nośniki informacji takie jak: płyty CD, DVD, dyski przenośne, pamięci USB itp.
Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych i szkodliwemu
oprogramowaniu realizowane w następujący sposób;
a. komputer z dostępem do Internetu musi być zabezpieczony za pomocą
oprogramowania antywirusowego,
b. zainstalowany program antywirusowy powinien być tak skonfigurowany, by co
najmniej raz w tygodniu dokonywał aktualizacji bazy wirusów oraz co najmniej
raz w tygodniu dokonywane było automatycznie sprawdzenie komputera pod
kątem obecności wirusów komputerowych oraz oprogramowania złośliwego,
c. elektroniczne nośniki informacji takie jak, dyski przenośne, pamięci USB itp.
należy każdorazowo sprawdzać programem antywirusowym przed użyciem, po
zainstalowaniu ich w systemie,
d. komputery muszą mieć zainstalowany program antywirusowy, a w przypadku
komputerów z dostępem do Internetu, również posiadać oprogramowanie
i mechanizmy zabezpieczające przed nieautoryzowanym dostępem z sieci
(firewall).
W przypadku, gdy użytkownik komputera zauważy komunikat oprogramowania
zabezpieczającego system wskazujący na zaistnienie zagrożenia lub rozpozna tego
typu zagrożenie, zobowiązany jest zaprzestać jakichkolwiek czynności w systemie i
niezwłocznie poinformować o tym fakcie Administratora Danych.
Podczas korzystania z poczty elektronicznej należy zwrócić szczególną uwagę na
otrzymywane załączniki dołączane do treści wiadomości.
Zabrania się otwierania załączników i wiadomości poczty elektronicznej od
„niezaufanych” nadawców.
Zabrania się użytkownikom komputerów, wyłączania, blokowania, odinstalowywania
programów zabezpieczających komputer (skaner antywirusowy, firewall) przed
oprogramowaniem złośliwym oraz nieautoryzowanym dostępem.
[ WYKONYWANIE PRZEGLĄDÓW I KONSERWACJI SYSTEMU ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO PRZETWARZANIA DANYCH ]
42.
43.
44.
45.
Umowy dotyczące instalacji i konserwacji sprzętu należy zawierać z podmiotami,
których kompetencje nie budzą wątpliwości.
Naprawy serwisowe sprzętu objętego umowami serwisowymi odbywać się będą
zgodnie z umową. Naprawa sprzętu, na którym mogą znajdować się dane osobowe
powinna odbywać się w obecności osoby upoważnionej do przetwarzania danych
osobowych.
W przypadku konieczności naprawy poza miejscem użytkowania, sprzęt komputerowy,
przed oddaniem do serwisu, powinien być odpowiednio przygotowany. Dane należy
zarchiwizować na nośnikach informacji, a dyski twarde i inne nośniki wymontować na
czas naprawy.
Zmiana konfiguracji sprzętu komputerowego, na którym znajdują się dane osobowe lub
zmiana jego lokalizacji, może być dokonana tylko za wiedzą i zgodą Administratora
Danych.
[email protected]
~7~
www.profitta.net
Profitta – Polityka Prywatności
Rozdział IV
[Zabezpieczenia systemu teleinformatycznego]
1. System teleinformatyczny Administratora Danych służący do przetwarzania danych
osobowych zabezpieczony jest przed działaniem oprogramowania, którego celem
jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, jak również
przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci
zasilającej.
2. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane
osobowe, przeznaczone do:
a. likwidacji — Administratora Danych pozbawia wcześniej zapisu tych danych, a
w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający
ich odczytanie,
b. przekazania podmiotowi nieuprawnionemu do przetwarzania danych —
Administratora Danych pozbawia wcześniej zapisu tych danych, w sposób
uniemożliwiający ich odzyskanie,
c. naprawy — Administratora Danych pozbawia wcześniej zapisu tych danych w
sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem
osoby upoważnionej przez administratora danych.
4. System teleinformatyczny służący do przetwarzania danych osobowych
Administratora Danych chroni przed zagrożeniami pochodzącymi z sieci publicznej
poprzez wdrożenie fizycznych oraz logicznych zabezpieczeń chroniących przed
nieuprawnionym dostępem, tj.;
a. zabezpiecza obszar, na którym są przetwarzane dane osobowe poprzez jego
zamykanie na klucz podczas nieobecności Administratora Danych lub osoby
przez niego upoważnionej,
b. stosuje programy antywirusowe i autoryzacyjne, które są na bieżąco
aktualizowane,
c. stosowanie aplikacji dzięki, którym brak jest możliwości odczytu plików
zawierających dane osobowe poza systemem Administratora Danych.
Aplikacje te zapewniają kontrolę przepływu informacji pomiędzy systemem
informatycznych Administratora Danych a siecią publiczną, a ponadto
zapewniają kontrolę działań inicjowanych z sieci publicznej i systemu
informatycznego Administratora Danych,
d. wprowadza indywidualne hasło i login dostępu dla upoważnionych osób. Hasło
zmieniane jest nie rzadziej, niż co 30 dni. Hasło składa się co najmniej z 8 znaków
i zawiera małe oraz duże litery oraz cyfry i znaki specjalne.
5. Administrator Danych stosuje środki ochrony kryptograficznej wobec danych
wykorzystywanych do uwierzytelnienia, które są przesyłane do sieci publicznej za
pomocą połączenia szyfrującego – Certyfikat SSL.
6. Administrator
Danych
monitoruje
wdrożone
zabezpieczenia
systemu
informatycznego.
[email protected]
~8~
www.profitta.net
Profitta – Polityka Prywatności
Rozdział V
[Postanowienia końcowe]
1.
2.
3.
4.
Profitta sp. z o.o. realizując politykę bezpieczeństwa w zakresie ochrony danych
osobowych dokłada szczególnej staranności w celu ochrony interesów osób, których
dane dotyczą, a w szczególności dba, aby dane te były przetwarzane zgodnie z
ustawą o ochronie danych osobowych.
Profitta sp. z o.o. prowadzi ewidencję osób upoważnionych do przetwarzania danych
osobowych.
W/w ewidencji zamieszcza się dane osobowe użytkowania wraz z numerem
upoważnienia.
Profitta sp. z o.o. może w każdej chwili odwołać udzielone użytkownikowi upoważnienie.
[email protected]
~9~
www.profitta.net