Polityka Bezpieczeństwa

    PROCESS HUB PSA

    ul. Dąbrówki 16

    40-081 Katowice

    POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

    1. CEL WPROWADZENIA POLITYKI

    W związku z wejściem w życie ustawy z dnia 10 maja 2018 r. o Ochronie Danych Osobowych, Rozporządzenia PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r (RODO) oraz obowiązywaniem § 3, 4 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) wprowadza się Politykę bezpieczeństwa ochrony danych osobowych w PROCESS HUB oraz Instrukcję zarządzania systemem informatycznym załącznik nr 1 do niniejszej Polityki.

    Celem Polityki jest:

    1. Wprowadzenie systemu ochrony danych osobowych,
    2. Inicjowanie działań podnoszących efektywność i sprawność w zakresie ochrony danych osobowych
    3. Wskazanie działań, jakie należy wykonać oraz jakie ustanowić zasady i reguły postępowania, aby administrator danych mógł właściwie wykonywać zadania w zakresie ochrony danych osobowych.

    2. ZAKRES STOSOWANIA

    1. Dokument dotyczy pracowników i współpracowników (niezależnie od formy współpracy) PROCESS HUB przetwarzających dane osobowe, a także każdej osoby mającej dostęp do tychże danych osobowych.
    2. Dokument może obejmować również przedsiębiorców, którzy zawrą umowę z PROCESS HUB na podstawie, której powierzone zostaną im dane osobowe na podstawie osobnych przepisów prawa powszechnie obowiązującego lub charakteru wyrażonej zgody.

    3. DEFINICJE, TERMINOLOGIA I INFORMACJE DODATKOWE

    Polityka bezpieczeństwa ochrony danych osobowych – zestaw wewnętrznych regulacji i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych (zwana dalej „Polityką").

    Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na jej imię i nazwisko albo jeden lub wszelkie inne czynniki umożliwiające identyfikację bez nadmiernego nakładu działań.

    Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

    Administrator danych osobowych (Administrator) – Przetwarzający albo podmiot, który zawarł z Przetwarzającym Umowę o powierzeniu przetwarzania danych osobowych.

    Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

    Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

    System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

    Hasło użytkownika systemu informatycznego – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

    Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

    Upoważnienie – dokument upoważniający pracownika do przetwarzania danych osobowych.

    Przetwarzający – PROCESS HUB

    Pisemne przekazanie – każda udokumentowana forma dostarczenia informacji (mail, fax., list polecony, pismo za potwierdzeniem odbioru itp.).

    Ustawa – Ustawa z dnia 10 maja 2018 r. o Ochronie Danych Osobowych.

    Umowa – umowa, o której mowa w art. 31 ust. 1 Ustawy zawarta pomiędzy Administratorem Danych Osobowych i Przetwarzającym, mocą której przetwarzanie danych osobowych powierzone zostaje Przetwarzającemu.

    4. ODPOWIEDZIALNOŚĆ ZA STOSOWANIE POLITYKI

    Osoby odpowiedzialne za stosowanie polityki:

    1. Właściciel firmy – odpowiada za egzekwowanie stosowania postanowień Polityki i wyciąganie konsekwencji za jej naruszanie oraz nadzorowanie.
    2. IOD, jeżeli został powołany, odpowiada za wskazanie standardów i nadzorowanie przestrzegania zasad ochrony danych osobowych w firmie oraz za zabezpieczenie danych osobowych w systemach informatycznych i danych utrwalonych w formie papierowej. W przypadku braku powołania IOD, jego funkcje wykonuje Właściciel PROCESS HUB lub osoba przez niego wskazana w formie pisemnej.
    3. Pozostali pracownicy odpowiadają za przestrzeganie i praktyczne stosowanie Polityki.
    4. W przypadku powołania IOD jest on zobowiązany również do zapewniania przestrzegania przepisów o ochronie danych osobowych oraz prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych.

    Oświadczenie potwierdzające cele i zasady bezpieczeństwa danych osobowych:

    Przetwarzający planuje podjęcie odpowiednich działań dla zapewnienia ochrony i bezpieczeństwa danych osobowych przed wszelkimi zagrożeniami, a w szczególności z zagrożeniami wynikającymi z przetwarzania danych w systemach informatycznych. Wyraża się to m.in. poprzez wynajem zewnętrznego serwera zgodnego z przepisami RODO, zapewnienie odpowiednich, zamykanych na klucz szaf, podnoszenie kwalifikacji pracowników w zakresie danych osobowych.

    Poprzez zapewnienie bezpieczeństwa należy rozumieć stan uniemożliwiający bezprawne przetwarzanie, zmianę, utratę, uszkodzenie lub zniszczenie danych osobowych w firmie przez osoby postronne lub nieupoważnione.

    5. PRACA Z DANYMI OSOBOWYMI

    W firmie Przetwarzającego praca z danymi powinna być prowadzona wyłącznie przez osoby, którym wystawiono upoważnienie lub wynika to z przepisów lub charakteru świadczonej umowy. Osoby te mają obowiązek:

    • przetwarzać dane osobowe zgodnie z przepisami prawa oraz niniejszą Polityka,
    • chronić dane osobowe przed udostępnieniem osobom nieupoważnionym oraz przed zniszczeniem.

    Upoważnienie zatwierdza Właściciel lub upoważniony przez niego pracownik, upoważnienie przekazywane jest do akt pracowniczych. Upoważnienie traci swą moc prawną w momencie ustania okresu na który zostało udzielone, lub w wypadku ustania stosunku pracy, zakończenia wykonywania prac określonych umową zlecenia/umową o dzieło, lub zakończenia kontraktu z kontrahentem zewnętrznym.

    6. PRZETWARZANIE DANYCH OSOBOWYCH

    Dane osobowe przetwarzane są w szczególności poprzez ich:

    • utrwalanie,
    • przechowywanie,
    • opracowywanie,
    • udostępnianie,
    • usuwanie

    w szczególności w systemie informatycznym i w formie papierowej.

    Przekazujący upoważnia pracowników do udostępniania danych osobowych osobie, której dane dotyczą. W przypadku wniosku osoby, której dane dotyczą odpowiedź musi nastąpić w terminie 30 dni od daty jego otrzymania.

    Celem zapewnienia prawidłowego przetwarzania danych osobowych w firmie prowadzone są następujące rejestry i ewidencje:

    • Rejestr osób upoważnionych do przetwarzania danych osobowych,
    • Rejestr podmiotów, którym powierzono przetwarzanie danych osobowych,
    • Rejestr zbiorów danych prowadzony przez Właściciela,
    • Rejestr naruszeń polityki bezpieczeństwa ochrony danych osobowych.

    7. TWORZENIE ZBIORÓW DANYCH OSOBOWYCH

    1. Administrator może tworzyć zbiory danych osobowych.
    2. Opisy struktur zbiorów danych osobowych oraz powiązań między zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami prowadzi Właściciel. Zbiory danych muszą spełniać przepisy RODO.
    3. W przypadku konieczności wprowadzenia istotnych zmian dotyczących struktury zbioru danych osobowych lub zasad przetwarzania danych w zbiorze pracownik powiadamia o tym Właściciela. Zmiany mogą być wprowadzone po uzyskaniu zgody Właściciela.
    4. Usuwanie danych osobowych przetwarzanych w systemach informatycznych wykonywane może być zgodnie z instrukcjami Właściciela oraz instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

    8. INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

    8.1. Incydenty naruszenia bezpieczeństwa

    Przypadki mogące wskazywać na zaistnienie sytuacji kryzysowych:

    • przekazanie osobie nieuprawnionej danych osobowych,
    • uzyskanie sygnału o naruszeniu ochrony danych osobowych,
    • niedopełnienie obowiązku ochrony danych osobowych,
    • zaginięcie dokumentów lub nośnika zawierającego dane osobowe,
    • ujawnienie indywidualnych haseł lub udostępnienie kluczy do pomieszczeń, w których przetwarzane są dane osobowe,
    • próba lub naruszenie integralności danych oraz modyfikacje w dokumentach lub systemie przetwarzania danych,
    • wykorzystywanie nielegalnych aplikacji lub elementów nielegalnego oprogramowania,
    • wykonanie nieuprawnionych kopii danych osobowych.

    8.2. Procedura postępowania w sytuacjach kryzysowych

    W przypadku ujawnienia incydentu opisanego w pkt 8.1 pracownik powinien:

    • powstrzymać się od podjęcia działań skutkujących zniszczeniem lub uszkodzeniem stosownych dowodów,
    • zabezpieczyć dowody i zapobiec dalszym zagrożeniom,
    • niezwłocznie powiadomić o zaistniałej sytuacji kierownika komórki organizacyjnej w obszarze swojego działania lub w przypadku jego nieobecności bezpośredniego przełożonego.

    Po rozwiązaniu wszelkich komplikacji wynikających z incydentów naruszających bezpieczeństwo danych osobowych, należy niezwłocznie poinformować zainteresowane osoby, które dane udostępniły.

    9. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH

    1. Dane osobowe przechowywane w systemach informatycznych nie są przetwarzane w sposób zautomatyzowany.
    2. Zbiorami danych osobowych objęte są przede wszystkim dane osobowe pracowników oraz kontrahentów Administratorów Danych Osobowych przekazane do przetwarzania na mocy Umowy.
    3. Zbiór danych osobowych przechowywany jest w siedzibie, tj. pod adresem: PROCESS HUB ul. Dąbrówki 16, 40-081 Katowice.

    10. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

    1. Celem zabezpieczenia zbiorów danych osobowych przed dostępem osób nieupoważnionych wprowadza się szczegółowe rozwiązania techniczne i organizacyjne przedstawione w niniejszej Polityce oraz Instrukcji zarządzania systemem informatycznym.
    2. Dane osobowe zapisywane na nośniku elektronicznym należy szyfrować lub zabezpieczyć hasłem. Nośniki wykorzystywane do celów operacyjnych należy przechowywać, w czasie nieobecności w pomieszczeniu osoby upoważnionej, w zamykanych na klucz szafach lub sejfach.
    3. Dla zabezpieczenia zbiorów danych osobowych wprowadza się system uwierzytelniania użytkowników zabezpieczony, co najmniej 8-znakowym hasłem zawierającym małe i wielkie litery oraz cyfry i znaki specjalne.
    4. Zarządzanie stacjami roboczymi i uprawnieniami użytkowników powinno odbywać się centralnie z wykorzystaniem dostępnych mechanizmów. Stacje robocze i serwery monitorowane są przez system ochrony antywirusowej.
    5. Komunikacja pomiędzy stacjami roboczymi i serwerami odbywa się w oparciu o bezpieczne protokoły transmisji danych. Styk sieci lokalnej z siecią publiczną chroniony jest przez zastosowanie zapory ogniowej (firewall) oraz jej bieżący monitoring.
    6. Wprowadza się mechanizm domeny dla zarządzania stacjami i użytkownikami sieci. Każdy użytkownik sieci powinien posiadać własny identyfikator i hasło, którego zmianę wymusza system zarządzania siecią.
    7. Identyfikator użytkownika wprowadzającego dane oraz data wykonania operacji na danych są automatycznie rejestrowane. Wprowadza się różne poziomy uprawnień dostępu do danych.
    8. Mechanizm zabezpieczania i uwierzytelniania użytkowników oraz procedury postępowania zostały szczegółowo opisane w Instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem bezpieczeństwa informacji.
    9. W sytuacji przetwarzania danych osobowych, przez pracowników na komputerach przenośnych lub dokumentach papierowych poza obszarem przetwarzania danych osobowych, są oni zobowiązani chronić nośnik oraz dane przed utratą i dostępem osób nieuprawnionych.
    10. Głównym sposobem pracy w oparciu o dane osobowe przetwarzane w systemie informatycznym jest zdalne dostęp do zasobów.
    11. Dokumenty papierowe zawierające dane osobowe powinny być chronione przed dostępem osób nieuprawnionych podczas ich przetwarzania. Dokumenty papierowe z danymi osobowymi, w czasie nieobecności w pomieszczeniu osoby upoważnionej do przetwarzania danych osobowych, muszą być przechowywane w zamykanych na klucz sprzętach biurowych.
    12. Dokumenty lub nośniki danych zawierające dane osobowe powinny być komisyjnie archiwizowane lub niszczone w sposób gwarantujący brak możliwości odczytania danych osobowych zawartych w dokumentach lub nośnikach elektronicznych.
    13. Monitorowanie ochrony danych osobowych powinno być prowadzone na bieżąco przez pracowników, podczas audytów wewnętrznych oraz w innej formie określonej przez Właściciela.
    14. Nadzór nad właściwym funkcjonowaniem systemu informatycznego, w którym przetwarzane są dane osobowe prowadzony jest przez osobę kierującą obszarem informatyki w firmie lub ASI.

    11. ODPOWIEDZIALNOŚĆ DYSCYPLINARNA I KARNA

    Za naruszenie wymogów niniejszej Polityki pracownik podlega odpowiedzialności dyscyplinarnej. Niezależnie od tego, zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych, naruszenie jej przepisów jest zagrożone odpowiedzialnością karną i odpowiedzialnością administracyjną.

    12. UWAGI KOŃCOWE

    1. Wątpliwości, dotyczące interpretacji lub zastosowania przepisów Polityki wyjaśnia Właściciel lub wyznaczony przez niego pracownik.
    2. Tekst Polityki powinien zostać udostępniony użytkownikom w taki sposób, aby mogli się z nim zapoznać i wdrożyć w życie jej postanowienia. Jednocześnie tekst Polityki stanowi tajemnicę Przetwarzającego w rozumieniu tajemnicy przedsiębiorstwa zgodnie z ustawą z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji.

    13. AKTY PRAWNE I DOKUMENTY ZWIĄZANE

    1. Konstytucja Rzeczypospolitej Polskiej.
    2. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 roku, Nr 101, poz. 926 ze zm.).
    3. Ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.).
    4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
    5. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).
    6. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745).

    Załącznik Nr 1 – Instrukcja zarządzania systemem informatycznym

    Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

    Procedury nadawania uprawnień do przetwarzania danych

    • Użytkownikowi zostaje przyznany unikalny identyfikator wraz z poufnym hasłem, który proponuje Administrator Informacji występując z wnioskiem o przyznanie użytkownikowi uprawnień do przetwarzania danych w podsystemie.
    • O przyznaniu identyfikatora decyduje Administrator Danych, co jest tożsame z przyznaniem użytkownikowi prawa do przetwarzania danych osobowych w systemie informatycznym.
    • Każdy z użytkowników przed dopuszczeniem do podsystemu podpisuje klauzulę o ochronie danych osobowych, zapoznaje się z Instrukcją Zarządzania i Polityką Bezpieczeństwa.
    • Administratorowi przysługuje prawo do zablokowania konta użytkownika w każdym czasie.
    • Po zakończeniu operacji w systemie informatycznym, użytkownik zobowiązany jest wylogować się z podsystemu.

    Stosowane metody i środki uwierzytelnienia

    • Hasło jest informacją o poufnym charakterze i należy zachować je w tajemnicy.
    • Obowiązuje ścisły zakaz ujawniania hasła osobom trzecim, w tym innym użytkownikom.
    • Hasło składa się z ciągu co najmniej 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
    • Hasła są różne dla każdego z użytkowników.
    • Hasła są przechowywane w podsystemie w postaci zaszyfrowanej.
    • Hasła są zmieniane nie rzadziej niż co 30 dni.
    • System wymusza zmianę hasła.

    Procedury rozpoczęcia, zawieszenia i zakończenia pracy

    • Użytkownik podczas logowania do podsystemu nie może ujawniać hasła osobom trzecim.
    • Użytkownik zobligowany jest do skutecznego wylogowania się z podsystemu za każdym razem, gdy zamierza opuścić stanowisko pracy.
    • Ekrany komputerów, na których przetwarzane są dane osobowe, należy chronić wygaszaczami zabezpieczonymi hasłem.
    • W przypadku stwierdzenia fizycznej ingerencji w systemie lub innych podejrzeń dotyczących możliwości naruszenia bezpieczeństwa systemu, użytkownik niezwłocznie zawiadamia o zaistniałym fakcie Administratora.

    Procedury tworzenia kopii zapasowych

    • Kopie zapasowe zbiorów danych osobowych tworzone są codziennie po zakończonym dniu pracy ze zbiorem, chyba że danego dnia nie dokonano żadnych zmian w zbiorze.
    • Za tworzenie kopii zapasowych odpowiedzialny jest Opiekun Zbioru.
    • Opiekun Zbioru dokonuje zapisu kopii zbiorów danych osobowych na nośnikach CD, DVD, Pendrive lub innych nośnikach informacji przynajmniej co 14 dni.
    • Opiekun Zbioru oznacza i przechowuje kopie zbiorów danych w zamykanym pomieszczeniu, w miejscu niedostępnym dla osób trzecich.

    Sposób, miejsce i okres przechowywania elektronicznych nośników informacji

    • Elektroniczne nośniki informacji zawierające dane osobowe są przechowywane w zamkniętych szafkach z zabezpieczeniem dostępu osób trzecich lub serwerach spełniających wymagania RODO.
    • Kopie bezpieczeństwa są niezwłocznie zniszczone po ustaniu użyteczności danych osobowych tam zawartych.
    • Zniszczenia kopii dokonuje się w sposób uniemożliwiający późniejsze odtworzenie danych.
    • Kopie zapasowe przechowuje się przez okres 2 lat o ile przepisy nie stanowią inaczej.
    • System informatyczny jest zabezpieczony przed atakami z zewnątrz sieci za pomocą oprogramowania typu firewall.
    • Każdy podsystem w którym ma miejsce przetwarzanie danych osobowych, podlega ochronie przed działaniem wirusów komputerowych aktualnym oprogramowaniem antywirusowym aktualizowanym na bieżąco.

    Procedury wykonywania przeglądów i konserwacji systemów

    • Przeglądów oraz konserwacji systemu dokonuje Administrator.
    • W przypadku przekazania innym podmiotom elementów systemu w celu naprawy, wszelkie dane osobowe muszą zostać z nich usunięte.
    • Dane osobowe muszą być zabezpieczone przed dostępem osób trzecich zanim nośnik lub element systemu zostanie przekazany podmiotowi innemu niż Administrator Informacji.

    Załącznik Nr 3 – Struktura zbiorów danych osobowych

    Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych:

    • Imię,
    • Nazwisko,
    • Telefon kontaktowy,
    • Adres poczty elektronicznej,
    • Data urodzenia,
    • PESEL,
    • NIP,
    • Numer konta,
    • Adres zamieszkania /ulica, numer lokalu, miejscowość/
    • Adres do korespondencji /ulica, numer lokalu, miejscowość/
    • Miejsce pracy /ulica, numer lokalu, miejscowość/

    Ostatnia aktualizacja: 8.07.2026

    PROCESS HUB PROSTA SPÓŁKA AKCYJNA
    ul. Dąbrówki 16, 40-081 Katowice
    KRS: 0001027576, NIP: 9542853258, REGON: 524849379

    Call to action background

    Ta strona używa plików cookie i narzędzi analitycznych (Google Tag Manager), aby zapewnić najlepszą jakość usług. Klikając „Akceptuję", wyrażasz zgodę na śledzenie analityczne. Polityka prywatności