Polityka Bezpieczeństwa
PROCESS HUB PSA
ul. Dąbrówki 16
40-081 Katowice
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH
1. CEL WPROWADZENIA POLITYKI
W związku z wejściem w życie ustawy z dnia 10 maja 2018 r. o Ochronie Danych Osobowych, Rozporządzenia PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r (RODO) oraz obowiązywaniem § 3, 4 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) wprowadza się Politykę bezpieczeństwa ochrony danych osobowych w PROCESS HUB oraz Instrukcję zarządzania systemem informatycznym załącznik nr 1 do niniejszej Polityki.
Celem Polityki jest:
- Wprowadzenie systemu ochrony danych osobowych,
- Inicjowanie działań podnoszących efektywność i sprawność w zakresie ochrony danych osobowych
- Wskazanie działań, jakie należy wykonać oraz jakie ustanowić zasady i reguły postępowania, aby administrator danych mógł właściwie wykonywać zadania w zakresie ochrony danych osobowych.
2. ZAKRES STOSOWANIA
- Dokument dotyczy pracowników i współpracowników (niezależnie od formy współpracy) PROCESS HUB przetwarzających dane osobowe, a także każdej osoby mającej dostęp do tychże danych osobowych.
- Dokument może obejmować również przedsiębiorców, którzy zawrą umowę z PROCESS HUB na podstawie, której powierzone zostaną im dane osobowe na podstawie osobnych przepisów prawa powszechnie obowiązującego lub charakteru wyrażonej zgody.
3. DEFINICJE, TERMINOLOGIA I INFORMACJE DODATKOWE
Polityka bezpieczeństwa ochrony danych osobowych – zestaw wewnętrznych regulacji i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych (zwana dalej „Polityką").
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na jej imię i nazwisko albo jeden lub wszelkie inne czynniki umożliwiające identyfikację bez nadmiernego nakładu działań.
Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Administrator danych osobowych (Administrator) – Przetwarzający albo podmiot, który zawarł z Przetwarzającym Umowę o powierzeniu przetwarzania danych osobowych.
Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Hasło użytkownika systemu informatycznego – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
Upoważnienie – dokument upoważniający pracownika do przetwarzania danych osobowych.
Przetwarzający – PROCESS HUB
Pisemne przekazanie – każda udokumentowana forma dostarczenia informacji (mail, fax., list polecony, pismo za potwierdzeniem odbioru itp.).
Ustawa – Ustawa z dnia 10 maja 2018 r. o Ochronie Danych Osobowych.
Umowa – umowa, o której mowa w art. 31 ust. 1 Ustawy zawarta pomiędzy Administratorem Danych Osobowych i Przetwarzającym, mocą której przetwarzanie danych osobowych powierzone zostaje Przetwarzającemu.
4. ODPOWIEDZIALNOŚĆ ZA STOSOWANIE POLITYKI
Osoby odpowiedzialne za stosowanie polityki:
- Właściciel firmy – odpowiada za egzekwowanie stosowania postanowień Polityki i wyciąganie konsekwencji za jej naruszanie oraz nadzorowanie.
- IOD, jeżeli został powołany, odpowiada za wskazanie standardów i nadzorowanie przestrzegania zasad ochrony danych osobowych w firmie oraz za zabezpieczenie danych osobowych w systemach informatycznych i danych utrwalonych w formie papierowej. W przypadku braku powołania IOD, jego funkcje wykonuje Właściciel PROCESS HUB lub osoba przez niego wskazana w formie pisemnej.
- Pozostali pracownicy odpowiadają za przestrzeganie i praktyczne stosowanie Polityki.
- W przypadku powołania IOD jest on zobowiązany również do zapewniania przestrzegania przepisów o ochronie danych osobowych oraz prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych.
Oświadczenie potwierdzające cele i zasady bezpieczeństwa danych osobowych:
Przetwarzający planuje podjęcie odpowiednich działań dla zapewnienia ochrony i bezpieczeństwa danych osobowych przed wszelkimi zagrożeniami, a w szczególności z zagrożeniami wynikającymi z przetwarzania danych w systemach informatycznych. Wyraża się to m.in. poprzez wynajem zewnętrznego serwera zgodnego z przepisami RODO, zapewnienie odpowiednich, zamykanych na klucz szaf, podnoszenie kwalifikacji pracowników w zakresie danych osobowych.
Poprzez zapewnienie bezpieczeństwa należy rozumieć stan uniemożliwiający bezprawne przetwarzanie, zmianę, utratę, uszkodzenie lub zniszczenie danych osobowych w firmie przez osoby postronne lub nieupoważnione.
5. PRACA Z DANYMI OSOBOWYMI
W firmie Przetwarzającego praca z danymi powinna być prowadzona wyłącznie przez osoby, którym wystawiono upoważnienie lub wynika to z przepisów lub charakteru świadczonej umowy. Osoby te mają obowiązek:
- przetwarzać dane osobowe zgodnie z przepisami prawa oraz niniejszą Polityka,
- chronić dane osobowe przed udostępnieniem osobom nieupoważnionym oraz przed zniszczeniem.
Upoważnienie zatwierdza Właściciel lub upoważniony przez niego pracownik, upoważnienie przekazywane jest do akt pracowniczych. Upoważnienie traci swą moc prawną w momencie ustania okresu na który zostało udzielone, lub w wypadku ustania stosunku pracy, zakończenia wykonywania prac określonych umową zlecenia/umową o dzieło, lub zakończenia kontraktu z kontrahentem zewnętrznym.
6. PRZETWARZANIE DANYCH OSOBOWYCH
Dane osobowe przetwarzane są w szczególności poprzez ich:
- utrwalanie,
- przechowywanie,
- opracowywanie,
- udostępnianie,
- usuwanie
w szczególności w systemie informatycznym i w formie papierowej.
Przekazujący upoważnia pracowników do udostępniania danych osobowych osobie, której dane dotyczą. W przypadku wniosku osoby, której dane dotyczą odpowiedź musi nastąpić w terminie 30 dni od daty jego otrzymania.
Celem zapewnienia prawidłowego przetwarzania danych osobowych w firmie prowadzone są następujące rejestry i ewidencje:
- Rejestr osób upoważnionych do przetwarzania danych osobowych,
- Rejestr podmiotów, którym powierzono przetwarzanie danych osobowych,
- Rejestr zbiorów danych prowadzony przez Właściciela,
- Rejestr naruszeń polityki bezpieczeństwa ochrony danych osobowych.
7. TWORZENIE ZBIORÓW DANYCH OSOBOWYCH
- Administrator może tworzyć zbiory danych osobowych.
- Opisy struktur zbiorów danych osobowych oraz powiązań między zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami prowadzi Właściciel. Zbiory danych muszą spełniać przepisy RODO.
- W przypadku konieczności wprowadzenia istotnych zmian dotyczących struktury zbioru danych osobowych lub zasad przetwarzania danych w zbiorze pracownik powiadamia o tym Właściciela. Zmiany mogą być wprowadzone po uzyskaniu zgody Właściciela.
- Usuwanie danych osobowych przetwarzanych w systemach informatycznych wykonywane może być zgodnie z instrukcjami Właściciela oraz instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
8. INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
8.1. Incydenty naruszenia bezpieczeństwa
Przypadki mogące wskazywać na zaistnienie sytuacji kryzysowych:
- przekazanie osobie nieuprawnionej danych osobowych,
- uzyskanie sygnału o naruszeniu ochrony danych osobowych,
- niedopełnienie obowiązku ochrony danych osobowych,
- zaginięcie dokumentów lub nośnika zawierającego dane osobowe,
- ujawnienie indywidualnych haseł lub udostępnienie kluczy do pomieszczeń, w których przetwarzane są dane osobowe,
- próba lub naruszenie integralności danych oraz modyfikacje w dokumentach lub systemie przetwarzania danych,
- wykorzystywanie nielegalnych aplikacji lub elementów nielegalnego oprogramowania,
- wykonanie nieuprawnionych kopii danych osobowych.
8.2. Procedura postępowania w sytuacjach kryzysowych
W przypadku ujawnienia incydentu opisanego w pkt 8.1 pracownik powinien:
- powstrzymać się od podjęcia działań skutkujących zniszczeniem lub uszkodzeniem stosownych dowodów,
- zabezpieczyć dowody i zapobiec dalszym zagrożeniom,
- niezwłocznie powiadomić o zaistniałej sytuacji kierownika komórki organizacyjnej w obszarze swojego działania lub w przypadku jego nieobecności bezpośredniego przełożonego.
Po rozwiązaniu wszelkich komplikacji wynikających z incydentów naruszających bezpieczeństwo danych osobowych, należy niezwłocznie poinformować zainteresowane osoby, które dane udostępniły.
9. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH
- Dane osobowe przechowywane w systemach informatycznych nie są przetwarzane w sposób zautomatyzowany.
- Zbiorami danych osobowych objęte są przede wszystkim dane osobowe pracowników oraz kontrahentów Administratorów Danych Osobowych przekazane do przetwarzania na mocy Umowy.
- Zbiór danych osobowych przechowywany jest w siedzibie, tj. pod adresem: PROCESS HUB ul. Dąbrówki 16, 40-081 Katowice.
10. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH
- Celem zabezpieczenia zbiorów danych osobowych przed dostępem osób nieupoważnionych wprowadza się szczegółowe rozwiązania techniczne i organizacyjne przedstawione w niniejszej Polityce oraz Instrukcji zarządzania systemem informatycznym.
- Dane osobowe zapisywane na nośniku elektronicznym należy szyfrować lub zabezpieczyć hasłem. Nośniki wykorzystywane do celów operacyjnych należy przechowywać, w czasie nieobecności w pomieszczeniu osoby upoważnionej, w zamykanych na klucz szafach lub sejfach.
- Dla zabezpieczenia zbiorów danych osobowych wprowadza się system uwierzytelniania użytkowników zabezpieczony, co najmniej 8-znakowym hasłem zawierającym małe i wielkie litery oraz cyfry i znaki specjalne.
- Zarządzanie stacjami roboczymi i uprawnieniami użytkowników powinno odbywać się centralnie z wykorzystaniem dostępnych mechanizmów. Stacje robocze i serwery monitorowane są przez system ochrony antywirusowej.
- Komunikacja pomiędzy stacjami roboczymi i serwerami odbywa się w oparciu o bezpieczne protokoły transmisji danych. Styk sieci lokalnej z siecią publiczną chroniony jest przez zastosowanie zapory ogniowej (firewall) oraz jej bieżący monitoring.
- Wprowadza się mechanizm domeny dla zarządzania stacjami i użytkownikami sieci. Każdy użytkownik sieci powinien posiadać własny identyfikator i hasło, którego zmianę wymusza system zarządzania siecią.
- Identyfikator użytkownika wprowadzającego dane oraz data wykonania operacji na danych są automatycznie rejestrowane. Wprowadza się różne poziomy uprawnień dostępu do danych.
- Mechanizm zabezpieczania i uwierzytelniania użytkowników oraz procedury postępowania zostały szczegółowo opisane w Instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem bezpieczeństwa informacji.
- W sytuacji przetwarzania danych osobowych, przez pracowników na komputerach przenośnych lub dokumentach papierowych poza obszarem przetwarzania danych osobowych, są oni zobowiązani chronić nośnik oraz dane przed utratą i dostępem osób nieuprawnionych.
- Głównym sposobem pracy w oparciu o dane osobowe przetwarzane w systemie informatycznym jest zdalne dostęp do zasobów.
- Dokumenty papierowe zawierające dane osobowe powinny być chronione przed dostępem osób nieuprawnionych podczas ich przetwarzania. Dokumenty papierowe z danymi osobowymi, w czasie nieobecności w pomieszczeniu osoby upoważnionej do przetwarzania danych osobowych, muszą być przechowywane w zamykanych na klucz sprzętach biurowych.
- Dokumenty lub nośniki danych zawierające dane osobowe powinny być komisyjnie archiwizowane lub niszczone w sposób gwarantujący brak możliwości odczytania danych osobowych zawartych w dokumentach lub nośnikach elektronicznych.
- Monitorowanie ochrony danych osobowych powinno być prowadzone na bieżąco przez pracowników, podczas audytów wewnętrznych oraz w innej formie określonej przez Właściciela.
- Nadzór nad właściwym funkcjonowaniem systemu informatycznego, w którym przetwarzane są dane osobowe prowadzony jest przez osobę kierującą obszarem informatyki w firmie lub ASI.
11. ODPOWIEDZIALNOŚĆ DYSCYPLINARNA I KARNA
Za naruszenie wymogów niniejszej Polityki pracownik podlega odpowiedzialności dyscyplinarnej. Niezależnie od tego, zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych, naruszenie jej przepisów jest zagrożone odpowiedzialnością karną i odpowiedzialnością administracyjną.
12. UWAGI KOŃCOWE
- Wątpliwości, dotyczące interpretacji lub zastosowania przepisów Polityki wyjaśnia Właściciel lub wyznaczony przez niego pracownik.
- Tekst Polityki powinien zostać udostępniony użytkownikom w taki sposób, aby mogli się z nim zapoznać i wdrożyć w życie jej postanowienia. Jednocześnie tekst Polityki stanowi tajemnicę Przetwarzającego w rozumieniu tajemnicy przedsiębiorstwa zgodnie z ustawą z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji.
13. AKTY PRAWNE I DOKUMENTY ZWIĄZANE
- Konstytucja Rzeczypospolitej Polskiej.
- Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 roku, Nr 101, poz. 926 ze zm.).
- Ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.).
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745).
Załącznik Nr 1 – Instrukcja zarządzania systemem informatycznym
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
Procedury nadawania uprawnień do przetwarzania danych
- Użytkownikowi zostaje przyznany unikalny identyfikator wraz z poufnym hasłem, który proponuje Administrator Informacji występując z wnioskiem o przyznanie użytkownikowi uprawnień do przetwarzania danych w podsystemie.
- O przyznaniu identyfikatora decyduje Administrator Danych, co jest tożsame z przyznaniem użytkownikowi prawa do przetwarzania danych osobowych w systemie informatycznym.
- Każdy z użytkowników przed dopuszczeniem do podsystemu podpisuje klauzulę o ochronie danych osobowych, zapoznaje się z Instrukcją Zarządzania i Polityką Bezpieczeństwa.
- Administratorowi przysługuje prawo do zablokowania konta użytkownika w każdym czasie.
- Po zakończeniu operacji w systemie informatycznym, użytkownik zobowiązany jest wylogować się z podsystemu.
Stosowane metody i środki uwierzytelnienia
- Hasło jest informacją o poufnym charakterze i należy zachować je w tajemnicy.
- Obowiązuje ścisły zakaz ujawniania hasła osobom trzecim, w tym innym użytkownikom.
- Hasło składa się z ciągu co najmniej 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
- Hasła są różne dla każdego z użytkowników.
- Hasła są przechowywane w podsystemie w postaci zaszyfrowanej.
- Hasła są zmieniane nie rzadziej niż co 30 dni.
- System wymusza zmianę hasła.
Procedury rozpoczęcia, zawieszenia i zakończenia pracy
- Użytkownik podczas logowania do podsystemu nie może ujawniać hasła osobom trzecim.
- Użytkownik zobligowany jest do skutecznego wylogowania się z podsystemu za każdym razem, gdy zamierza opuścić stanowisko pracy.
- Ekrany komputerów, na których przetwarzane są dane osobowe, należy chronić wygaszaczami zabezpieczonymi hasłem.
- W przypadku stwierdzenia fizycznej ingerencji w systemie lub innych podejrzeń dotyczących możliwości naruszenia bezpieczeństwa systemu, użytkownik niezwłocznie zawiadamia o zaistniałym fakcie Administratora.
Procedury tworzenia kopii zapasowych
- Kopie zapasowe zbiorów danych osobowych tworzone są codziennie po zakończonym dniu pracy ze zbiorem, chyba że danego dnia nie dokonano żadnych zmian w zbiorze.
- Za tworzenie kopii zapasowych odpowiedzialny jest Opiekun Zbioru.
- Opiekun Zbioru dokonuje zapisu kopii zbiorów danych osobowych na nośnikach CD, DVD, Pendrive lub innych nośnikach informacji przynajmniej co 14 dni.
- Opiekun Zbioru oznacza i przechowuje kopie zbiorów danych w zamykanym pomieszczeniu, w miejscu niedostępnym dla osób trzecich.
Sposób, miejsce i okres przechowywania elektronicznych nośników informacji
- Elektroniczne nośniki informacji zawierające dane osobowe są przechowywane w zamkniętych szafkach z zabezpieczeniem dostępu osób trzecich lub serwerach spełniających wymagania RODO.
- Kopie bezpieczeństwa są niezwłocznie zniszczone po ustaniu użyteczności danych osobowych tam zawartych.
- Zniszczenia kopii dokonuje się w sposób uniemożliwiający późniejsze odtworzenie danych.
- Kopie zapasowe przechowuje się przez okres 2 lat o ile przepisy nie stanowią inaczej.
- System informatyczny jest zabezpieczony przed atakami z zewnątrz sieci za pomocą oprogramowania typu firewall.
- Każdy podsystem w którym ma miejsce przetwarzanie danych osobowych, podlega ochronie przed działaniem wirusów komputerowych aktualnym oprogramowaniem antywirusowym aktualizowanym na bieżąco.
Procedury wykonywania przeglądów i konserwacji systemów
- Przeglądów oraz konserwacji systemu dokonuje Administrator.
- W przypadku przekazania innym podmiotom elementów systemu w celu naprawy, wszelkie dane osobowe muszą zostać z nich usunięte.
- Dane osobowe muszą być zabezpieczone przed dostępem osób trzecich zanim nośnik lub element systemu zostanie przekazany podmiotowi innemu niż Administrator Informacji.
Załącznik Nr 3 – Struktura zbiorów danych osobowych
Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych:
- Imię,
- Nazwisko,
- Telefon kontaktowy,
- Adres poczty elektronicznej,
- Data urodzenia,
- PESEL,
- NIP,
- Numer konta,
- Adres zamieszkania /ulica, numer lokalu, miejscowość/
- Adres do korespondencji /ulica, numer lokalu, miejscowość/
- Miejsce pracy /ulica, numer lokalu, miejscowość/
Ostatnia aktualizacja: 8.07.2026
PROCESS HUB PROSTA SPÓŁKA AKCYJNA
ul. Dąbrówki 16, 40-081 Katowice
KRS: 0001027576, NIP: 9542853258, REGON: 524849379
