ZAŁĄCZNIKI
1.Cel opracowania dokumentu
2.Definicje
3.Zakres stosowania Polityki Bezpieczeństwa
3.1. Obszar przetwarzania danych osobowych
3.2. Zbiór danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych
3.3. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych
3.3.1. Zabezpieczenia techniczne
3.3.2. Zabezpieczenia organizacyjne
3.3.3. Zabezpieczenie osobowe
4.Powierzenie przetwarzania danych osobowych
5.Rozpowszechnianie i zarządzanie dokumentem polityki
6.Naruszenia zasad ochrony danych osobowych
7.Przekazywanie danych do państwa trzeciego
8.Polityka cookies (tzw. ciasteczka)
9.Postanowienia końcowe
Niniejsza Polityka Bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane osobowe są gromadzone, przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych przez Administratora Danych, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Ponadto, celem niniejszej Polityki Bezpieczeństwa jest ochrona danych osobowych, przetwarzanych przez Administratora Danych, w szczególności ochrona przed:
Wypracowane zasady i wymagania mają ukierunkować działania zmierzające do budowy systemu bezpieczeństwa, a potem jego utrzymywania podczas eksploatacji programów komputerowych zawierających dane osobowe na poziomie odpowiadającym potrzebom organizacyjnym podmiotu.
Wszystkie dane osobowe Administratora Danych są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m. in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.
Polityka Bezpieczeństwa dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Administratora Danych w dokumentacji papierowej, a także w programach komputerowych będących w dyspozycji Administratora Danych i zawiera następujące informacje:
Administrator Danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą. W przypadku planowania takiego działania Administrator Danych wykona czynności określone w art. 35-36 RODO.
W przypadku planowania nowych czynności przetwarzania Administrator Danych dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania (odpowiednio art. 25 i 35 RODO).
Przetwarzanie danych osobowych przez Administratora Danych odbywa się zarówno przy wykorzystaniu programów komputerowych, jak i poza nimi, tj. w wersji papierowej. Obszar przetwarzania danych osobowych przez Administratora Danych został określony w Załączniku nr 1 do Polityki Bezpieczeństwa „Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe” (PB Z01). Za obszar przetwarzania danych należy rozumieć obszar, w którym wykonywana jest choćby jedna z czynności przetwarzania danych osobowych. Dodatkowo obszar, w którym przetwarzane są dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza w/w obszarem.
Wykaz zbiorów danych osobowych przetwarzanych przez Administratora Danych oraz programów zastosowanych do przetwarzania tych danych stanowi Załącznik nr 2 do Polityki Bezpieczeństwa „Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania” (PB Z02).
Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.
Do elementów zabezpieczenia danych osobowych przez Administratora Danych zalicza się:
odpowiednie środki zabezpieczenia danych w programach komputerowych (zabezpieczenia techniczne),
nadzór administratora danych nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenie organizacyjne),
bezpieczeństwo osobowe.
Zabezpieczenia techniczne obejmują:
programy komputerowe zastosowane do przetwarzania danych osobowych spełniają wymagania określone w RODO,
zastosowane mechanizmy kontroli dostępu do programów komputerowych zawierających dane osobowe i inne zasoby,
zastosowane odpowiednie i regularnie aktualizowane narzędzia ochronne, w tym oprogramowanie antywirusowe,
programy komputerowe i aplikacje internetowe służące do przetwarzania danych osobowych m.in.:
aplikacja internetowa panel.pte.pl,
program Klient poczty wiadomości e-mail,
chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
tworzone są regularnie kopie zapasowe zbiorów przetwarzanych danych,
kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.
Zabezpieczenia organizacyjne obejmują:
opracowanie i aktualizację Polityki Bezpieczeństwa wraz z załącznikami przez Administratora Danych, jako osobę odpowiedzialną za bezpieczeństwo danych osobowych,
dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęte systemem kontroli dostępu,
samodzielny dostęp do pomieszczeń wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności osób upoważnionych,
przechowywanie akt w wersji papierowej w specjalnie do tego celu przeznaczonych pomieszczeniach, w zabezpieczonych szafach (np. zamykanych na klucz),
prowadzenie monitoringu wizyjnego w celu zapewnienia bezpieczeństwa pracowników, ochrony mienia oraz zachowania w tajemnicy informacji (jeżeli monitoring zostanie wprowadzony).
Zabezpieczenia osobowe obejmują:
Administrator Danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi, zwanym dalej podmiotem przetwarzającym, wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.
Każdą zawartą umowę powierzenia Administrator Danych odnotowuje w dokumentacji, której wzór stanowi Załącznik nr 7 do niniejszej Polityki Bezpieczeństwa „Rejestr kategorii czynności przetwarzania” (PB Z07).
Przed powierzeniem przetwarzania danych osobowych Administrator Danych, w miarę możliwości, uzyskuje informacje o dotychczasowych praktykach podmiotu przetwarzającego dotyczących zabezpieczenia danych osobowych.
Niniejszy dokument zawiera informacje o zabezpieczeniach, dlatego też został objęty ochroną na zasadzie tajemnicy przedsiębiorstwa w myśl art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z 2003 r. Nr 153, poz. 1503 z późn. zm.). Wybrane jego elementy mogą zostać udostępnione innym podmiotom po zawarciu stosownej umowy o zachowaniu poufności.
Za zarządzanie dokumentem Polityki Bezpieczeństwa, w tym jego rozpowszechnianiem, aktualizacją, utrzymywaniem spójności z innymi dokumentami, jest odpowiedzialny Administrator Danych.
W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator Danych dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia dostępny jest na stronie internetowej organu nadzorczego (Urząd Ochrony Danych Osobowych).
Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator Danych zawiadamia o incydencie także osobę, której dane dotyczą.
Każde naruszenie Administrator Danych odnotowuje w dokumentacji, której wzór stanowi Załącznik nr 10 do niniejszej Polityki Bezpieczeństwa „Rejestr naruszeń przetwarzania danych osobowych” (PB Z10).
Administrator Danych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami:
w których następuje to na wniosek osoby, której dane dotyczą,
gdy dokonuje go podmiot przetwarzający za uprzednią zgodą Administratora Danych, gdy jest to konieczne ze względu na obrany cel i sposób przetwarzania danych osobowych.
Poniższa Polityka Cookies określa zasady zapisywania i uzyskiwania dostępu do danych na Urządzeniach Użytkowników korzystających z Serwisu do celów świadczenia usług drogą elektroniczną przez Administratora Serwisu.
8.1 Definicje polityki cookies
8.2. Rodzaje cookies
8.3 Bezpieczeństwo
Mechanizmy składowania i odczytu – Mechanizmy składowania i odczytu Cookies nie pozwalają na pobierania jakichkolwiek danych osobowych ani żadnych informacji poufnych z Urządzenia Użytkownika. Przeniesienie na Urządzenie Użytkownika wirusów, koni trojańskich oraz innych robaków jest praktycznie niemożliwe.
Cookie wewnętrzne – zastosowane przez Administratora Cookie wewnętrzne są bezpieczne dla Urządzeń Użytkowników
Cookie zewnętrzne – za bezpieczeństwo plików Cookie pochodzących od partnerów Serwisu Administrator nie ponosi odpowiedzialności. Lista partnerów zamieszczona jest w dalszej części Polityki Cookie.
8.4 Cele do których wykorzystywane są pliki cookies
Usprawnienie i ułatwienie dostępu do Serwisu – Administrator może przechowywać w plikach Cookie informacje o prefernecjach i ustawieniach użytkownika dotyczących Serwisu aby usprawnić, polepszyć i przyśpieszyć świadczenie usług w ramach Serwisu.
Logowanie – Administrator wykorzystuje pliki Cookie do celów logowania Użytkowników w Serwisie
Marketing i reklama – Administrator oraz Serwisy zewnętrzne wykorzystują pliki Cookie do celów marketingowych oraz serwowania reklam Użytkowników.
Dane statystyczne – Administrator oraz Serwisy zewnętrzne wykorzystuje pliki Cookie do zbirania i przetwarzania danych statystycznych takich jak np. statystyki odwiedzin, statystyki Urządzeń Użytkowników czy statystyki zachowań użytkowników. Dane te zbierane są w celu analizy i ulepszania Serwisu.
Serwowanie usług multimedialnych – Administrator oraz Serwisy zewnętrzne wykorzystuje pliki Cookie do serwowania Użytkownikom usług multimedialnych.
Usługi społecznościowe – Administrator oraz Serwisy zewnętrzne wykorzystują pliki Cookie do wsparcia usług społecznościowych
8.5 Serwisy zewnętrzne.
8.6 Możliwość określenia warunków przechowywania i uzyskiwania dostępu na urządzeniach użytkownika przez serwis i serwisy zewnętrzne.
W ten sposób wyłączysz pliki cookies w swojej przeglądarce internetowej. Warto jednak pamiętać, że wyłączenie cookies może wpłynąć na funkcjonalność niektórych witryn internetowych i uniemożliwić korzystanie z pewnych ich funkcji.
8.7 Wyłączenie odpowiedzialności.
8.8 Wymagania serwisu.
8.9 Zmiany w polityce cookies
Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie ustawy Kodeks pracy oraz przepisów o ochronie danych osobowych.
Integralną część niniejszej Polityki Bezpieczeństwa stanowią następujące załączniki:
Załącznik nr 1: „Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe”,
Załącznik nr 2: „Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania”,
Załącznik nr 3, 3b i nr 4: „Upoważnienie do przetwarzania danych osobowych”, „Odwołanie upoważnienia do przetwarzania danych osobowych” oraz „Oświadczenie i zobowiązanie osoby przetwarzającej dane osobowe do zachowania tajemnicy”,
Załącznik nr 5: „Ewidencja osób upoważnionych do przetwarzania danych osobowych”,
Załącznik nr 6: „Rejestr czynności przetwarzania”,
Załącznik nr 7: „Rejestr kategorii czynności przetwarzania”,
Załącznik nr 8a „Klauzula informacyjna – Członkowie” (PB Z08a),
Załącznik nr 8b „Klauzula informacyjna – Uczestnik konferencji” (PB Z08b),
Załącznik nr 8c-UoP „Klauzula informacyjna – Umowa o pracę” (PB Z08c-UoP),
Załącznik nr 8c-UoP-K „Klauzula informacyjna – Kandydat do pracy” (PB Z08c-UoP-K),
Załącznik nr 8c-UoP-OP „Klauzula informacyjna – Umowa o pracę na okres próbny” (PB Z08c-UoP-OP),
Załącznik nr 8c-UZ „Klauzula informacyjna – Umowa zlecenie” (PB Z08c-UZ),
Załącznik nr 8d „Klauzula informacyjna – Klienci” (PB Z08d),
Załącznik nr 8e „Klauzula informacyjna – Monitoring wizyjny” (PB Z08e),
Załącznik nr 8f „Klauzula informacyjna – Newsletter” (PB Z08f),
Załącznik nr 8g „Klauzula informacyjna – Służbowe konto e-mail” (PB Z08g),
Załącznik nr 8h-USZ „Klauzula informacyjna – Uczestnik szkolenia zamkniętego” (PB Z08h-USZ),
Załącznik nr 8h-USO „Klauzula informacyjna – Uczestnik szkolenia otwartego” (PB Z08h-USO),
Załącznik nr 9: „Instrukcja postępowania w przypadku podejrzenia naruszenia ochrony danych osobowych”,
Załącznik nr 10: „Rejestr naruszeń przetwarzania danych osobowych”,
Załącznik nr 11: „Procedura niszczenia danych”.
44-100 Gliwice ul. Zwycięstwa 13
+48 519 829 705
biuro@ptegliwice.pl
Nip: 631-10-29-500
Regon: 272738730
Nr konta: PKO BP SA V O/Gliwice
43 1020 2401 0000 0402 0171 7461
KONTAKT Z PTE