POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W
GVT Spółka z ograniczoną odpowiedzialnością
- CEL POLITYKI
- ŹRÓDŁA WYMAGAŃ
- DOKUMENTY POWIĄZANE
- ZAKRES STOSOWANIA
- BEZPIECZEŃSTWO PRZETWARZANIA DANYCH OSOBOWYCH
- POZIOM BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
- DEFINICJE
- CEL PRZETWARZANIA DANYCH OSOBOWYCH
- DANE PRZETWARZANE W ZWIĄZKU ZE ŚWIADCZENIEM USŁUG
- OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH
- PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH
- UPRAWNIENIA ABONENTÓW W STOSUNKU DO PRZETWARZANYCH DANYCH
- ODPOWIEDZIALNOŚĆ
13.1. Kierownictwo
13.2. Osoby upoważnione do przetwarzania danych
- ZARZĄDZANIE OCHRONĄ DANYCH OSOBOWYCH
14.1. Podstawowe zasady
14.2. Procedury postępowania z danymi osobowymi
14.3. Upoważnienie do przetwarzania danych osobowych
14.4. Ewidencja osób upoważnionych
14.5. Zachowanie danych osobowych w tajemnicy
14.6. Znajomości regulacji wewnętrznych
14.7. Zgodność
- ZARZĄDZANIE USŁUGAMI ZEWNĘTRZNYMI
15.1. Bezpieczeństwo usług zewnętrznych
15.2. Powierzanie przetwarzania danych osobowych
15.3. Udostępnianie danych osobowych
15.4. Monitorowanie i przegląd usług strony trzeciej
- BEZPIECZEŃSTWO FIZYCZNE OBSZARÓW PRZETWARZANIA
16.1. Obszar przetwarzania
16.2. Bezpieczeństwo środowiskowe
16.3. Bezpieczeństwo urządzeń
16.4. Fizyczna kontrola dostępu
- OCENA RYZYKA I PRZEGLĄDY
17.1. Ocena ryzyka
17.2. Przeglądy bezpieczeństwa
- ZARZĄDZANIE INCYDENTAMI
18.1. Monitorowanie incydentów
18.2. Zgłaszanie incydentów
- REJESTRY CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
- POSTANOWIENIA KOŃCOWE
- PRZYDATNE DANE KONTAKTOWE
- CEL POLITYKI
Niniejszy dokument określa zasady bezpieczeństwa przetwarzania danych osobowych, których przestrzeganie i stosowanie stawiamy sobie za cel w GVT Spółka z ograniczoną odpowiedzialnością przez pracowników i współpracowników, którzy przetwarzają dane osobowe.
Stosowanie zasad określonych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez GVT Spółka z ograniczoną odpowiedzialnością rozumianej jako poszanowanie prywatności osób fizycznych, ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów prawa oraz utratą, uszkodzeniem lub zniszczeniem.
- ŹRÓDŁA WYMAGAŃ
Polityka bezpieczeństwa przetwarzania danych osobowych w GVT Spółka z ograniczoną odpowiedzialnością, zwana dalej Polityką została zaktualizowana w związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej również: RODO)
– Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa – Generalnego Inspektora Ochrony Danych Osobowych.
- DOKUMENTY POWIĄZANE
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w GVT Spółka z ograniczoną odpowiedzialnością.
- ZAKRES STOSOWANIA
Politykę stosuje się do danych osobowych osób fizycznych pozyskiwanych i przetwarzanych przede wszystkim w związku ze świadczeniem przez GVT usług telekomunikacyjnych, z przetwarzanych w systemie informatycznym, danych osobowych zapisanych na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych, w szczególności dotyczących wdrożonych zabezpieczeń technicznych i organizacyjnych. W zakresie podmiotowym, Polityka obowiązuje wszystkich pracowników GVT Spółka z ograniczoną odpowiedzialnością oraz inne osoby mające dostęp do danych osobowych, w tym stażystów, osoby zatrudnione na umowę zlecenia lub umowę o dzieło.
- BEZPIECZEŃSTWO PRZETWARZANIA DANYCH OSOBOWYCH
Przez bezpieczeństwo przetwarzania danych osobowych rozumie się zapewnienie:
– legalności – właściwości zapewniającej, że dane osobowe przetwarzane są zgodnie z prawem, w sposób przejrzysty, oraz zgodnie z celem;
– minimalizacji – właściwości zapewniającej, że GVT pozyskuje i przetwarza tylko te dane, które są niezbędne do osiągnięcia celów, w jakich zostały pozyskane;
– poufności — właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom;
– integralności — właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
– rozliczalności — właściwości zapewniającej, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, a fakt zachowania opisanych w niniejszej Polityce Bezpieczeństwa procedur jest możliwy do wykazania przez Administratora.
- POZIOM BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
Przy przetwarzaniu danych osobowych należy stosować wysoki poziom bezpieczeństwa, ponieważ urządzenia systemu służącego do przetwarzania danych osobowych połączone są z siecią publiczną.
- DEFINICJE
7.1.1. Administrator danych – GVT Spółka z ograniczoną odpowiedzialnością, przy ul. Piłsudskiego 41, 05-120 Legionowo, wpisaną Rejestru Przedsiębiorców KRS prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem 0000283837, NIP 536-181-62-34, REGON 140938539 – podmiot, który decyduje o środkach i celach przetwarzania danych osobowych, zwany dalej GVT Spółka z ograniczoną odpowiedzialnością.
7.1.2. Administrator Systemu Informatycznego – (dalej również „ASI”) – osoba powołana zarządzeniem Administratora (zgodnie z definicją z polityki bezpieczeństwa), która odpowiada za bezpieczeństwo danych osobowych w systemie informatycznym Administratora, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczenia. Kompetencje i odpowiedzialności Administratora Systemu Informatycznego w zarządzaniu bezpieczeństwem danych osobowych:
– zarządzanie bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym zgodnie z wymogami prawa i zaleceniami Administratora;
– doskonalenie i rozwijanie metody zabezpieczenia danych przed zagrożeniami związanymi z ich przetwarzaniem;
– przydzielanie identyfikatorów użytkownikom systemu informatycznego oraz zaznajamiania z procedurami ustalania i zmiany haseł dostępu;
– nadzorowanie prac związanych z rozwojem, modyfikacją, serwisowaniem i konserwacją systemu;
– zapewnianie bezpieczeństwa wewnętrznego i zewnętrznego obiegu informacji w sieci i zabezpieczenie łączy zewnętrznych;
– prowadzenie nadzoru nad archiwizacją zbiorów danych oraz zabezpiecza elektroniczne nośniki informacji zawierających dane osobowe.
7.1.3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
7.1.4. Inspektor Ochrony Danych (IOD)– osoba powołana przez Administratora, której obowiązkiem i podstawowym zadaniem jest wspieranie Administratora w przestrzeganiu zasad przetwarzania danych osobowych. Inspektor ochrony danych ma następujące zadania:
a)informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
b)monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
c)udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
d)współpraca z organem nadzorczym;
e)pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
7.1.5. Kierownictwo – GVT Spółka z ograniczoną odpowiedzialnością będąca jednocześnie Administratorem danych.
7.1.6. Osoba upoważniona – osoba posiadająca formalne upoważnienie wydane przez Administratora danych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych.
7.1.7. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, przeglądanie, opracowywanie, zmienianie, udostępnianie i usuwanie.
7.1.8. RODO lub Rozporządzenie – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
7.1.9. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.
7.1.10. Zbiór nieinformatyczny – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, prowadzony poza systemem informatycznym, w szczególności w formie kartoteki, skorowidza, księgi, wykazu lub innego zbioru ewidencyjnego.
7.1.11. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
- CEL PRZETWARZANIA DANYCH OSOBOWYCH
Dane osobowe przetwarzane są przede wszystkim w celu zawarcia, realizacji oraz ewentualnej zmiany zawartej z Abonentami umowy, w tym do prowadzenia marketingu bezpośredniego oraz sprzedaży nowych usług, obsługi dostarczania usług, włączając rozliczenia z innymi operatorami telekomunikacyjnymi oraz do obsługi reklamacji, zapobiegania nadużyciom i ich wykrywania oraz zarządzania roszczeniami umownymi, w tym również do weryfikacji wiarygodności płatniczej Abonentów. Dane przetwarzamy również w celu analiz wewnętrznych służących zarządzaniu dostarczanymi usługami oraz planowaniu ich rozwoju, a w tym celu wykorzystujemy również dane lokalizacyjne Abonentów. Ponadto, dane osobowe Abonentów są przetwarzane przez nas w celu wykonania obowiązków nałożonych na nas przepisami prawa.
- DANE PRZETWARZANE W ZWIĄZKU ZE ŚWIADCZENIEM USŁUG
- Dane kontaktowe;
- Informacje o koncie abonenckim Abonentów;
- Dane pozyskane w naszym salonie sprzedaży;
- Dane pochodzące z naszych aplikacji w menu usługi telewizyjnej;
- Dane zebrane w związku z odwiedzaniem przez Abonentów naszych stron i aplikacji internetowych;
- Dane dotyczące usługi Poczty Elektronicznej;
. Dane pochodzące z formularzy dostępnych na stronie internetowej;
. Dane zebrane w zakresie i w sposób niezbędny do właściwej realizacji i rozliczenia Konkursu.
- OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH
10.1. Dane osobowe abonentów przechowujemy nie dłużej niż jest to konieczne do realizacji celów, dla których je zgromadzono, chyba że obowiązujące przepisy prawa wymagają od nas ich dłuższego przechowywania. Okresy przechowywania mogą jednak różnić się w zależności od celu przetwarzania.
10.2. Po upływie okresów przechowywania dane osobowe Abonentów zostają usunięte lub zanonimizowane.
- PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH
11.1. Zawarcie i wykonanie umowy abonenckiej.
11.2. Prawny obowiązek nałożony na GVT.
11.3. Prawnie uzasadnione interesy GVT.
11.4. Wyrażona zgoda.
- UPRAWNIENIA ABONENTÓW W STOSUNKU DO PRZETWARZANYCH DANYCH
- Sprostowanie (poprawienie danych);
- Usunięcia danych przetwarzanych bezpodstawnie w sytuacjach, gdy prawo to nie jest wyłączone;
- Ograniczenia przetwarzania danych;
- Dostęp do informacji o danych oraz samych danych;
- Przenoszenia danych do innego administratora;
- Prawo wniesienia sprzeciwu wobec przetwarzanych danych;
- Wyrażenie oraz cofnięcie zgód na przetwarzanie danych osobowych.
- ODPOWIEDZIALNOŚĆ
13.1. Kierownictwo oraz Inspektor Danych Osobowych
Do obowiązków Kierownictwa oraz Inspektora Danych Osobowych należy zrozumienie oraz zapewnienie świadomości bezpieczeństwa przetwarzania danych osobowych, jego problematyki oraz wymagań. Do obowiązków należy również:
– podejmowanie odpowiednich i niezbędnych korków majach na celu zapewnienie prawidłowej ochrony danych osobowych;
– podział zadań i obowiązków związanych z organizacją ochrony danych osobowych;
– wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych;
– egzekwowanie rozwoju środków bezpieczeństwa przetwarzania danych osobowych;
– poddawanie przeglądom skuteczność polityki bezpieczeństwa przetwarzania danych osobowych;
– zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia;
– zapewnienie aktualności, adekwatności oraz merytorycznej poprawności danych osobowych przetwarzanych w określonym przez nich celu;
– zapewnienie niezbędnych środków potrzebnych dla zapewnienia bezpieczeństwa przetwarzania danych osobowych.
– nadzorowanie przestrzegania zasad ochrony danych osobowych zarówno w systemach informatycznych, jak również w zbiorach danych osobowych prowadzonych w formie papierowej i elektronicznej;
– określenie wymagań bezpieczeństwa przetwarzania danych osobowych;
– nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu ochrony przetwarzanych danych osobowych;
– prowadzenie dokumentacji opisującej zastosowaną politykę bezpieczeństwa przetwarzania danych osobowych (niniejsza Polityka oraz wynikające z niej instrukcje i procedury);
– analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych i przygotowanie zaleceń i rekomendacji dotyczących eliminacji ryzyk ich ponownego wystąpienia.
13.2. Osoby upoważnione do przetwarzania danych
Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej. Do obowiązków należy również:
– przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami;
– postępowania zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych;
– zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia;
– ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
– informowania o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe do przełożonego, który ma obowiązek poinformować Administratora danych.
- ZARZĄDZANIE OCHRONĄ DANYCH OSOBOWYCH
14.1. Podstawowe zasady
14.1.1. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych.
14.1.2. Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia.
14.1.3. Należy zapewnić poufność, integralność i rozliczalność przetwarzanych danych osobowych.
14.1.4. Należy stosować adekwatny do zmieniających się warunków i technologii poziom bezpieczeństwa przetwarzania danych osobowych.
14.2. Procedury postępowania z danymi osobowymi
14.2.1. Dostęp do danych osobowych powinien być przyznawany zgodnie z zasadą wiedzy koniecznej.
14.2.2. Dane osobowe powinny być chronione przed nieuprawnionym dostępem i modyfikacją.
14.2.3. Dane osobowe należy przetwarzać wyłącznie za pomocą autoryzowanych urządzeń służbowych.
14.3. Upoważnienie do przetwarzania danych osobowych
14.3.1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie.
14.3.2. Upoważnienia są wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez Administratora danych.
14.3.3. W celu upoważnienia do przetwarzania danych osobowych należy dostarczyć do Administratora danych podpisane oświadczenie, którego wzór stanowi załącznik nr 1 niniejszej Polityki.
14.3.4. Na podstawie otrzymanego oświadczenia Administrator wydaje upoważnienie sporządzane wg wzoru stanowiącego załącznik nr 2 niniejszej Polityki.
14.3.5. Upoważnienia, o których mowa powyżej przechowywane są w aktach osobowych pracownika i obowiązują do czasu ustania stosunku pracy lub obowiązków związanych z przetwarzaniem danych osobowych.
14.4. Ewidencja osób upoważnionych
14.4.1. Ewidencja osób upoważnionych do przetwarzania danych osobowych jest prowadzona przez Administratora danych i zawiera w szczególności:
– imię i nazwisko osoby upoważnionej do przetwarzania danych osobowych;
– zakres upoważnienia do przetwarzania danych osobowych;
– identyfikator, jeśli osoba upoważniona została zarejestrowana w systemie informatycznym, służącym do przetwarzania danych osobowych;
– datę nadania i odebrania uprawnień.
14.4.2. Przełożeni osób upoważnionych odpowiadają za natychmiastowe zgłoszenie do Administratora danych osób, które utraciły uprawnienia dostępu do danych osobowych.
14.5. Zachowanie danych osobowych w tajemnicy
14.5.1. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia.
14.6. Znajomości regulacji wewnętrznych
14.6.1. Osoby upoważnione do przetwarzania danych osobowych zobowiązane są zapoznać się z regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych w GVT Spółka z ograniczoną odpowiedzialnością, w szczególności Polityki bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
14.7. Zgodność
14.7.1. Niniejsza Polityka powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi w ramach GVT Spółka z ograniczoną odpowiedzialnością, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.
14.7.2. Okresowy przegląd Polityki powinien mieć na celu stwierdzenie, czy postanowienia Polityki odpowiadają aktualnej i planowanej działalności GVT Spółka z ograniczoną odpowiedzialnością oraz stanowi prawnemu aktualnemu w momencie dokonywania przeglądu.
14.7.3. Zmiany niniejszej Polityki wymagają przeglądu innych dokumentów dotyczących ochrony danych osobowych obowiązujących w GVT Spółka z ograniczoną odpowiedzialnością.
- ZARZĄDZANIE USŁUGAMI ZEWNĘTRZNYMI
15.1. Bezpieczeństwo usług zewnętrznych
15.1.1. Należy zapewnić aby usługi zewnętrzne były prowadzone wyłącznie zgodnie z wymaganiami bezpieczeństwa przetwarzania danych osobowych obowiązującymi w GVT Spółka z ograniczoną odpowiedzialnością, wymaganiami umowy oraz wymaganiami prawa.
15.1.2. Wymagania bezpieczeństwa przetwarzania danych osobowych, zakres usług oraz poziom ich dostarczania należy określić w umowie świadczenia usług.
15.1.3. Należy zapewnić aby użytkownicy nie będący pracownikami GVT Spółka z ograniczoną odpowiedzialnością oraz przetwarzający dane w imieniu Administratora stosowali te same zasady bezpieczeństwa przetwarzania danych osobowych co użytkownicy będący pracownikami.
15.2. Powierzanie przetwarzania danych osobowych
15.2.1. Powierzenie przetwarzania danych osobowych może mieć miejsce wyłącznie na podstawie pisemnej umowy określającej w szczególności zakres i cel przetwarzania danych. Umowa musi określać również zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych z tytułu niewykonania lub nienależytego wykonania umowy.
15.2.2. Powierzenie przetwarzania danych osobowych musi uwzględniać wymogi określone przepisami prawa. W szczególności podmiot zewnętrzny, któremu ma zostać powierzone przetwarzanie danych osobowych, jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających dane.
15.2.3. W umowach stanowiących podstawę powierzenia przetwarzania danych albo eksploatacji systemu informatycznego lub części infrastruktury należy umieścić zobowiązanie podmiotu zewnętrznego do przestrzegania niniejszej Polityki oraz zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo i odpowiedni poziom ochrony danych.
15.2.4. Powierzenie przetwarzania danych osobowych nie oznacza zwolnienia z odpowiedzialności GVT Spółka z ograniczoną odpowiedzialnością za zgodne z prawem przetwarzanie powierzonych danych, co wymaga w umowach stanowiących podstawę powierzenia przetwarzania danych umieszczenia prawa GVT Spółka z ograniczoną odpowiedzialnością do kontroli wykonania przedmiotu umowy w siedzibie podmiotu zewnętrznego m. in. w zakresie przestrzegania Polityki obowiązujących regulacji wewnętrznych, umów i właściwych przepisów prawa.
15.3. Udostępnianie danych osobowych
15.3.1. Dane osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa oraz osobom, których dotyczą.
15.3.2. Udostępnianie danych osobowych osobom innym niż podmiotom danych może nastąpić wyłącznie za zgodą Administratora danych.
15.3.3. Informacje zawierające dane osobowe powinny być przekazywane uprawnionym podmiotom lub osobom za potwierdzeniem odbioru listem poleconym za pokwitowaniem odbioru lub innym bezpiecznym sposobem, określonym wymogiem prawnym lub umową. 15.3.4. Udostępniając dane osobowe innym podmiotom należy odnotowywać informacje o udostępnieniu bezpośrednio w systemie informatycznym z którego udostępniono dane lub w inny zatwierdzony sposób. Odnotować należy: informacje o odbiorcy danych, dacie i zakresie udostępnionych danych osobowych.
15.3.5. Udostępniając dane osobowe należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
15.4. Monitorowanie i przegląd usług strony trzeciej Monitorowanie usług strony trzeciej powinno być udokumentowane i powinno zawierać informacje o: poziomie wykonania usługi, incydentach bezpieczeństwa teleinformatycznego oraz ochrony danych osobowych, śladach audytowych, problemach operacyjnych, awariach, błędach i zakłóceniach.
- BEZPIECZEŃSTWO FIZYCZNE OBSZARÓW PRZETWARZANIA
16.1. Obszar przetwarzania
16.1.1. Dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe oraz części pomieszczeń, gdzie GVT Spółka z ograniczoną odpowiedzialnością prowadzi działalność. Do takich pomieszczeń, zalicza się w szczególności:
– pomieszczenia biurowe, w których zlokalizowane są stacje robocze lub serwery służące do przetwarzania danych osobowych;
– pomieszczenia, w których przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego zawierające dane osobowe;
– pomieszczenia, w których przechowywane są sprawne i uszkodzone urządzenia, elektroniczne nośniki informacji oraz kopie zapasowe zawierające dane osobowe.
16.1.2. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych, w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym.
16.1.3. Osoby upoważnione zobowiązane są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku drzwi. Nie można wynosić ww. kluczy po zakończeniu pracy poza miejsca przeznaczone do ich przechowywania. 16.1.4. Wydruki i nośniki elektroniczne zawierające dane osobowe należy przechowywać w zamykanych szafach, które znajdują się w obszarach przetwarzania danych osobowych. 16.1.5. Niepotrzebne wydruki lub inne dokumenty należy niszczyć za pomocą niszczarek. 16.1.6. Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieuprawnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych.
16.1.7. Szczegółowy wykaz obszarów przetwarzania danych osobowych znajduje się w załączniku nr 3 niniejszej Polityki.
16.2. Bezpieczeństwo środowiskowe
16.2.1. Lokalizację i umiejscowienie danych osobowych należy starannie dobierać z uwzględnieniem wymaganych aspektów bezpieczeństwa przetwarzania danych osobowych. W szczególności należy rozważyć aspekty dotyczące:
– zasilania energią elektryczną;
– klimatyzacji oraz wentylacji;
– wykrywania oraz ochrony przed pożarem i powodzią;
– fizycznej kontroli dostępu.
16.2.2. Pomieszczenia wchodzące w skład obszaru przetwarzania danych osobowych należy wyposażyć w odpowiednie środki ochrony fizycznej i organizacyjnej chroniące przed nieautoryzowanym lub nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami pracy.
16.2.3. Kopie zapasowe zawierające dane osobowe należy przechowywać w drugiej fizycznej lokalizacji w bezpiecznej odległości od lokalizacji podstawowej.
16.3. Bezpieczeństwo urządzeń
16.3.1. Urządzenia służące do przetwarzania danych osobowych należy przechowywać w bezpieczny i nadzorowany sposób.
16.3.2. Urządzenia mobilne takie jak np. komputery przenośne, urządzenia PDA, telefony komórkowe nie powinny być pozostawiane bez opieki jeżeli nie są zastosowane odpowiednie środki ochrony.
16.4. Fizyczna kontrola dostępu
16.4.1. GVT stosuje procedury eksploatacyjne w celu ochrony danych osobowych oraz dokumentacji systemowej przed nieautoryzowanym lub nieuprawnionym ujawnieniem, modyfikacją, usunięciem i zniszczeniem.
16.4.2. GVT stosuje politykę czystego biurka i czystego ekranu w celu redukcji ryzyka nieautoryzowanego i nieuprawnionego dostępu lub uszkodzenia danych osobowych. 16.4.3. Klucze dostępowe, karty, hasła itd. służące do uzyskania dostępu do systemów informatycznych służących do przetwarzania danych osobowych należy zabezpieczać a sposób ich uzyskiwania należy szczegółowo zdefiniować w procedurach.
16.4.4. Dostęp do serwerowni lub innych pomieszczeń, w których znajdują się systemy informatyczne służące do przetwarzania danych osobowych lub zbiory nieinformatyczne należy rejestrować oraz okresowo przeglądać.
16.4.5. Dostęp dla gości do serwerowni lub innych pomieszczeń, w których znajdują się systemy informatyczne służące do przetwarzania danych osobowych należy nadzorować przez cały czas ich pobytu.
16.4.6. Przyznawanie dostępu gościom należy wykonywać wyłącznie w określonych i autoryzowanych celach.
16.4.7. Kończąc pracę, należy zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację, wydruki, elektroniczne nośniki informacji i umieścić je w zamykanych szafkach.
16.4.8. Monitory należy ustawić w taki sposób aby uniemożliwiać podgląd wyświetlanych danych osobowych przez osoby nieuprawnione.
16.4.9. W przypadku korzystania z usług zewnętrznych podmiotów oferujących zbieranie i niszczenie papierów, urządzeń lub nośników zwierających dane osobowe, należy wybrać wykonawcę z odpowiednimi zabezpieczeniami i doświadczeniem.
- OCENA RYZYKA I PRZEGLĄDY
17.1. Ocena ryzyka
17.1.1. Systemy informatyczne i aplikacje powinny być poddawane ocenie ryzyka pod kątem identyfikacji zagrożeń dla bezpieczeństwa przetwarzania danych osobowych co najmniej raz na dwa lata. Ocena ryzyka powinna być również przeprowadzana przy dużych zmianach procesów biznesowych, systemów informatycznych i aplikacji.
17.1.2. Narzędzia informatyczne służące do oceny ryzyka bezpieczeństwa przetwarzania danych powinny być chronione przed nieautoryzowanym lub nieuprawnionym dostępem a ich użycie odpowiednio kontrolowane.
17.2. Przeglądy bezpieczeństwa
17.2.1. Przeglądy bezpieczeństwa przetwarzania danych osobowych powinny być przeprowadzane okresowo, co najmniej raz na dwa lata w celu określenia wymaganego poziomu zabezpieczeń pozwalającego na ograniczenie ryzyka do poziomu akceptowalnego.
17.2.2. Przeglądy zgodności z zasadami bezpieczeństwa przetwarzania danych osobowych urządzeń informatycznych oraz sieci teleinformatycznych należy przeprowadzać okresowo, co najmniej raz na rok.
17.2.3. Narzędzia informatyczne służące do przeprowadzania przeglądów bezpieczeństwa przetwarzania danych osobowych powinny być chronione przed nieautoryzowanym lub nieuprawnionym dostępem a ich użycie odpowiednio kontrolowane.
- ZARZĄDZANIE INCYDENTAMI
18.1. Monitorowanie incydentów
18.1.1. Incydenty związane z bezpieczeństwem przetwarzania danych osobowych powinny być wykrywane, rejestrowane i monitorowane w celu ich zidentyfikowania i zapobiegania ich wystąpieniu w przyszłości.
18.1.2. Zdarzenia systemowe powinny być przechowywane jako materiał dowodowy zaistniałych incydentów związanych z bezpieczeństwem przetwarzania danych osobowych.
18.1.3. Użytkownicy systemów powinni znać i przestrzegać zasad zgłaszania incydentów związanych z bezpieczeństwem przetwarzania danych osobowych.
18.2. Zgłaszanie incydentów
18.2.1. Zaistniałe zdarzenia związane z naruszeniem lub podejrzeniem naruszenia bezpieczeństwa przetwarzania danych osobowych takie jak np. utrata integralności, niedostępność, awarie, uszkodzenia, ostrzeżenia i alarmy bezpieczeństwa systemów informatycznych, urządzeń teleinformatycznych oraz danych powinny być niezwłocznie zgłaszane do Administratora danych.
- REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
19.1. Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności. Czyniąc zadość tym wymaganiom GVT prowadzi odpowiedni rejestr, zgodnie z wymogami, wytycznymi oraz zaleceniami w celu zachowania zgodności z RODO i ułatwienia organowi nadzorczemu ewentualnych czynności kontrolnych. Prowadzony rejestr pozwala nam usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi.
19.2. Rejestr czynności przetwarzania prowadzony jest przez Administratora.
19.3. Sposób przepływu danych pomiędzy poszczególnymi systemami
19.3.1. Dokumentacja systemów informatycznych służących do przetwarzania danych osobowych powinna zawierać opis współpracy z innymi systemami informatycznymi oraz sposób przepływu danych pomiędzy systemami z którymi współpracuje.
19.3.2. Administrator systemów informatycznych jest zobowiązany do poprowadzenia aktualnej dokumentacji opisującej sposób przepływu danych osobowych pomiędzy systemami.
19.4. Określenie środków technicznych i organizacyjnych
19.4.1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych znajduje się w załączniku numer 4 niniejszej Polityki.
- POSTANOWIENIA KOŃCOWE
20.1.1. Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia. 20.1.2. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
20.1.3. Pracownicy GVT Spółka z ograniczoną odpowiedzialnością zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce, w wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących w GVT Spółka z ograniczoną odpowiedzialnością, użytkownicy mają obowiązek stosowania zapisów dalej idących, których stosowanie zapewni wyższy poziom ochrony danych osobowych.
- PRZYDATNE DANE KONTAKTOWE
Administratora Danych Osobowych: GVT Spółka z ograniczoną odpowiedzialnością, ul. Piłsudskiego 41, 05-120 Legionowo, mail: rodo@gvt.pl
Inspektora Ochrony Danych: mail: rodo@gvt.pl
W przypadku, gdy Abonenci uznają, że przetwarzanie ich danych osobowych jest niezgodne z prawem, mają prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
