Polityka bezpieczeństwa przetwarzania danych osobowych firmy Treeland Sp. z o.o. Plac J.Kilińskiego 2, 35-005 Rzeszów

Wstęp
Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Z 2014 r., poz. 1182 ze zm.), art. 36 w/w ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych osobowych zobowiązany jest do zapewnienia ochrony przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jakość zapewnianej ochrony powinna być odpowiednia do zagrożeń oraz kategorii danych nią objętych. Ponadto zgodnie z art. 38 ustawy administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Biorąc pod uwagę te konstytucyjne i ustawowe obowiązki wprowadzamy następujący zestaw procedur i rozwiązań, stanowiący Politykę bezpieczeństwa przetwarzania danych osobowych niniejszego Sklepu internetowego.

Rozdział 1 Postanowienia ogólne § 1
Ilekroć w Polityce bezpieczeństwa jest mowa o:

  1. ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 ze zm.);
  2. danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
  3. zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
  4. przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
  5. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
  6. zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
  7. usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
  8. administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych;
  9. zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie;
  10. odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela, o którym mowa w art. 31a ustawy, podmiotu, o którym mowa w art. 31 ustawy, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
  11. państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;
  12. obszarze przetwarzania danych – należy przez to rozumieć wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  13. wykazie zbiorów – należy przez to rozumieć wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  14. opisie struktury zbiorów – należy przez to rozumieć opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  15. opisie przepływu danych – należy przez to rozumieć opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi;
  16. środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.

Rozdział 2 Administrator danych § 2
Administrator danych jest zobowiązany w szczególności do:

  1. opracowania i wdrożenia Polityki bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemem informatycznym przetwarzającym dane osobowe;
  2. wydawania i anulowania upoważnienia do przetwarzania danych osobowych osobom, które mają te dane przetwarzać (załącznik nr 1);
  3. prowadzenia wykazu osób upoważnionych do przetwarzania danych osobowych (załącznik nr 2);
  4. prowadzenia wykazu obszarów przetwarzania (załącznik nr 3);
  5. prowadzenia wykazu zbiorów danych osobowych (załącznik nr 4);
  6. prowadzenie opisu struktury zbiorów (załącznik nr 5);
  7. prowadzenia opisu sposobu przepływu danych (załącznik nr 6);
  8. zgłaszania Generalnemu Inspektorowi Danych Osobowych (GIODO) zbiorów danych podlegających rejestracji.

Rozdział 3 Środki techniczne i organizacyjne § 3
W celu ochrony danych spełniono wymogi, o których mowa w art. 36–39 ustawy:

  • administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji;
  • do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych
  • prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
  • została opracowana i wdrożona Polityka bezpieczeństwa;
  • została opracowana i wdrożona Instrukcja zarządzania systemem informatycznym.

§ 4
W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:

  • zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi,
  • zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej,
  • pomieszczenia, w których przetwarzane są zbiory danych osobowych, wyposażone są w system alarmowy przeciwwłamaniowy,
  • dostep do pomieszczeń, w których prztwarzane są zbiroy danych ososbowych objęty jest systemem kontroli,
  • dostep do pomieszczeń, w których prztwarzane są zbiroy danych ososbowych, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych,
  • dostep do pomieszczeń, w których prztwarzane są zbiroy danych ososbowych, przez całą dobę nadzrowany jest przez służbę ochrony,
  • zbiory danych ososbowych w formie papaierowej przechowyne sa w zamkciętem niemetalowej szafie,
  • pomieszczenia, w których przetwarzane są zbiory danych osobowych, zabezpieczone są przed skutkami pożaru za pomocą wolno stojącej gaśnicy,
  • dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

§ 5
W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

  • komputery służące do przetwarzania danych ososbowych nie są połączone z lokalną siecią komputerową,
  • zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną chroniące system informatyczny służacy do przetwarzania danych ososbowych przed skutkami awarii zasilania,
  • dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,,
  • zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł,
  • zastosowano środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie, rootkity,
  • użyto system Firewall do ochrony dostępu do sieci komputerowej.

§ 6
W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych:

  • dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
  • zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych,
  • zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
  • zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

§ 7
W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:

  • osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
  • przeszkolono osoby zatrudnione przy przetwaraniu danych ososbowych w zakresie zabezpieczeń systemu informatycznego,
  • osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
  • monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.

Rozdział 4 Postanowienia końcowe § 8
Wszelkie zasady opisane w Polityce bezpieczeństwa są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.

§ 9
Administrator danych może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej na piśmie. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie oraz jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39 ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. W przypadkach, o których mowa powyżej, odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

§ 10
Polityka bezpieczeństwa obowiązuje od dnia jej zatwierdzenia przez administratora danych.

Facebook