Polityka bezpieczeństwa

Polityka bezpieczeństwa przetwarzania danych osobowych
Niniejsza polityka bezpieczeństwa opisuje reguły i zasady ochrony danych osobowych przetwarzanych w związku z prowadzeniem newslettera przez Tomasz Musialik Myszkowska 166; 42-350 Mysłów

Rozdział I
Postanowienia ogólne
§ 1
Celem niniejszej polityki bezpieczeństwa jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane osobowe, w tym zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.
§ 2
Niniejsza polityka bezpieczeństwa została utworzona w związku z wymaganiami zawartymi w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Po rozpoczęciu stosowania unijnego rozporządzenia o ochronie danych osobowych w dniu 25.05.2018 r., niniejsza polityka bezpieczeństwa również zachowuje swoją aktualność, zawierając w swojej treści jednocześnie rejestr czynności przetwarzania danych osobowych.
§ 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz samych użytkowników.
§ 4
Obok niniejszej polityki opracowano i wdrożono instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Określa ona sposób zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa.
§ 5
1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
1) poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
2) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany
3) rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie
4) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej
5) dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne
6) zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
§ 6
1. Administratorem danych osobowych jest Tomasz Musialik Myszkowska 166; 42-350 Mysłów
2. Administrator danych osobowych nie powołał administratora bezpieczeństwa informacji (inspektora ochrony danych osobowych) w związku z czym administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji (inspektora ochrony danych osobowych).
3. Administrator danych osobowych nie powołał również administratora systemów informatycznych w związku z czym samodzielnie wykonuje jego zadania.
Rozdział II
Definicje
§ 7
Przez użyte w niniejszej polityce bezpieczeństwa określenia należy rozumieć:
1) administrator danych osobowych – Tomasz Musialik Myszkowska 166; 42-350 Mysłów
2) ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
3) rozporządzenie – rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024),
4) RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
5) dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określa¬ jących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
6) zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,
7) przetwarzanie danych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
8) system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
9) system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze,
10) zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
11) administrator systemu informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
12) użytkownik – upoważniony przez administratora danych osobowych pracownik, zleceniobiorca, wykonawca umowy o dzieło, wykonawca umowy o świadczenie usług, praktykant lub stażysta wyznaczony do przetwarzania danych osobowych; użytkownikiem może być również administrator danych osobowych,
13) identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
14) hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Rozdział III
Zakres stosowania
§ 8
Polityka bezpieczeństwa zawiera informacje dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
§ 9
Politykę bezpieczeństwa stosuje się w szczególności do:
1) danych osobowych przetwarzanych w systemach tradycyjnych,
2) danych osobowych przetwarzanych w systemach informatycznych,
3) informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
4) rejestru osób dopuszczonych do przetwarzania danych osobowych,
5) innych dokumentów zawierających dane osobowe.
§ 10
1. Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa mają zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w szczególności do:
1) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych, w których przetwarzane są dane osobowe podlegające ochronie,
2) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
3) wszystkich pracowników, zleceniobiorców, wykonawców umów o dzieło, wykonawców umów o świadczenie usług, praktykantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie.
2. Do stosowania zasad określonych przez Politykę bezpieczeństwa zobowiązani są wszyscy pracownicy, zleceniobiorcy, wykonawcy umów o dzieło, wykonawcy umów o świadczenie usług, praktykanci, stażyści i inne osoby mające dostęp do informacji podlegających ochronie.
3. Polityka bezpieczeństwa nie dotyczy podmiotów zewnętrznych, które przetwarzają dane osobowe powierzone im do przetwarzania przez administratora danych osobowych na podstawie stosownych umów powierzenia. Podmioty te stosują własne procedury i środki bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa, do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych osobowych. Powierzenie przetwarzana danych osobowych zostało dokonane na rzecz różnych podmiotów, które wskazane zostały w ramach opisów poszczególnych zbiorów danych osobowych stanowiących załącznik nr 1 do niniejszej polityki.
Rozdział IV
Opis działalności administratora danych osobowych, obszar przetwarzania danych osobowych i sprzęt wykorzystywany do przetwarzania danych osobowych
§ 11
1. Administrator danych osobowych prowadzi newsletter.
2. W związku z newsletterem dochodzi przetwarzania danych osobowych.
3. Dane osobowe przetwarzane są wyłącznie w formie elektronicznej.
§ 12
1. Dane osobowe przetwarzane są wyłącznie w ramach systemu mailingowego dostępnego w modelu on-line.
2. Zalogowanie do systemu mailingowego możliwe jest z dowolnego miejsca i w dowolnym czasie z wykorzystaniem urządzenia mającego dostęp do sieci Internet.
§ 13
1. Dane osobowe przetwarzane są przy wykorzystaniu następujących urządzeń: laptop, serwer.
2. Przetwarzanie danych przy wykorzystaniu wskazanych powyżej urządzeń polega na tym, że następuje z nich logowanie do systemu mailingowego, w ramach którego przetwarzane są dane osobowe.
Rozdział V
Wykaz zbiorów danych osobowych
§ 14
1. Dane osobowe przetwarzane są przez administratora danych osobowych w ramach następujących zbiorów:
1) zbiór „Newsletter BHPoint”
2. Szczegóły dotyczące przetwarzania danych w ramach poszczególnych zbiorów znajdują się w opisie tychże zbiorów stanowiących załącznik nr 1 do niniejszej polityki.
Rozdział VI
Środki techniczne i organizacyjne zabezpieczenia danych
§ 15
1. Zabezpieczenia organizacyjne:
1) sporządzono i wdrożono Politykę bezpieczeństwa,
2) sporządzono i wdrożono Instrukcję zarządzania systemami informatycznymi,
3) do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych osobowych,
4) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
5) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
6) dane osobowe przetwarzane są w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
2. Zabezpieczenia techniczne:
1) zastosowano system Firewall do ochrony dostępu do sieci komputerowej,
2) zastosowano środki ochrony przed szkodliwym oprogramowaniem,
3) zastosowano uwierzytelnienie z wykorzystaniem identyfikatora użytkownika oraz hasła przy dostępie do zbioru danych,
4) zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych,
5) zastosowano uwierzytelnienie z wykorzystaniem identyfikatora użytkownika oraz hasła przy starcie systemu operacyjnego komputera,
6) zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji,
7) zastosowano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych,
8) zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych,
9) zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych,
10) zastosowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
3. Wskazane powyżej środki techniczne i organizacyjne zabezpieczenia danych dotyczą wyłącznie środków wdrożonych bezpośrednio przez administratora danych osobowych. W zakresie, w jakim administrator danych osobowych powierzył przetwarzanie danych osobowych innym podmiotom, podmioty te zobowiązały się utrzymywać odpowiednie środki ochrony danych osobowych wymagane przez przepisy prawa.
Rozdział VII
Zadania administratora danych osobowych i administratora systemu informatycznego
§ 16
1. Do najważniejszych obowiązków administratora danych osobowych należy:
1) organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami obowiązujących przepisów prawa,
2) zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki,
3) wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
4) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
5) prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych i zgłoszenie faktu naruszenia organowi nadzorczemu oraz zawiadomienie o tym osobę, której dane dotyczą,
6) nadzór nad bezpieczeństwem danych osobowych,
7) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
8) przeprowadzanie szkoleń użytkowników zgodnie z ust. 2, 3, 4, 5 poniżej.
2. Każdy użytkownik, za wyjątkiem administratora danych osobowych, przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych oraz z instrukcjami obowiązującymi u administratora danych osobowych.
§ 17
1. Administratorem systemu informatycznego jest osoba określona przez administratora danych osobowych. Powołanie administratora systemu informatycznego dokonywanej jest w formie pisemnej. Jeżeli administrator systemu informatycznego nie zostanie powołany, jego zadania wykonuje administrator danych osobowych.
2. Administrator systemu informatycznego odpowiedzialny jest za:
1) bieżący monitoring i zapewnienie ciągłości działania komputerów i innych urządzeń wykorzystywanych do przetwarzania danych osobowych oraz systemów operacyjnych,
2) optymalizację wydajności komputerów i innych urządzeń wykorzystywanych do przetwarzania danych osobowych oraz systemów operacyjnych,
3) instalację i konfiguracje sprzętu sieciowego i serwerowego,
4) instalację i konfigurację oprogramowania systemowego, sieciowego,
5) konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem,
6) nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
7) współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego,
8) zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
9) zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
10) przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
11) przyznawanie na wniosek administratora danych osobowych ściśle określonych praw dostępu do informacji w danym systemie,
12) wnioskowanie do administratora danych osobowych w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń,
13) zarządzanie licencjami, procedurami ich dotyczącymi,
14) prowadzenie profilaktyki antywirusowej.
3. Praca administratora systemu informatycznego jest nadzorowana przez administratora danych osobowych, chyba, że administrator danych osobowych nie powołał administratora systemu informatycznego – wtedy jego zadania realizuje samodzielnie administrator danych osobowych.
Rozdział VIII
Zgłaszanie i zawiadamianie o naruszeniu ochrony danych osobowych
§ 18
1. Każde naruszenie ochrony danych osobowych powinno być niezwłocznie zgłaszane przez użytkowników administratorowi danych osobowych. Szczegóły w zakresie postępowania w związku ze stwierdzonym naruszeniem ochrony danych osobowych przy korzystaniu z systemów informatycznych opisane zostały w Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
2. Administrator danych osobowych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte środki zaradcze. Dokumentacja odbywa się z wykorzystaniem zestawienia incydentów naruszenia ochrony danych osobowych.
3. W przypadku naruszenia ochrony danych osobowych, na administratorze danych osobowych ciąży obowiązek zgłoszenia tego faktu do organu nadzorczego zgodnie z postanowieniami art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z postanowieniami art. 34 RODO.
Rozdział IX
Postanowienia końcowe
§ 19
1. Administrator danych osobowych ma obowiązek zapoznać z treścią Polityki każdego użytkownika.
2. Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce.
3. Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną.

Załącznik nr 1 – wykaz i opis zbiorów danych osobowych
1) zbiór „Newsletter BHPoint, w ramach którego przetwarzane są dane osób, które zapisały się na newsletter prowadzony przez administratora danych osobowych. Zapis na newsletter następuje za pośrednictwem strony internetowej administratora danych osobowych. Zapis skutkuje zapisaniem danych w bazie. Dane będą przechowywane w bazie przez czas funkcjonowania newslettera, chyba że użytkownik wcześniej zrezygnuje z otrzymywania newslettera – w takiej sytuacji dane zostaną usunięte z bazy.
W zbiorze przetwarzane są następujące informacje:
1) imię,
2) adres e-mail.
Dane przetwarzane są w celu przesyłania newslettera.
Podstawą prawną przetwarzania danych osobowych użytkownika jest jego zgoda.
Dane przetwarzane są wyłącznie w formie elektronicznej w ramach systemu Mailchimp i przechowywane są na serwerze zapewnianym przez dostawcę systemu, tj. Mailchimp ,Administrator zawarł z tym podmiotem umowę powierzenia przetwarzania danych osobowych, a podmiot ten zobowiązał się do stosowania odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez prawo.
Dostęp do danych wymaga zalogowania się do systemu Mailchimp z wykorzystaniem identyfikatora użytkownika oraz hasła zdefiniowanych przez administratora danych osobowych. Wszyscy użytkownicy posiadają oddzielne identyfikatory użytkownika oraz hasła.