POLITYKA BEZPIECZEŃSTWA

 Wstęp

Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2014., poz. 1182 z zm.) wdraża się niniejszą dokumentację ochrony danych osobowych w firmie Natalia Fedan MindCare. 

Definicje

Użyte w dokumentacji ochrony danych osobowych definicje i pojęcia oznaczają:

  1. Administrator danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, które decydują o celach i środkach przetwarzania danych osobowych. W niniejszej dokumentacji przetwarzania danych osobowych przez administratora danych rozumie się Natalię Fedan;
  2. Dane osobowe (dane) – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
  3. Osoba upoważniona – rozumie się przez to osobę, która otrzymała od administratora danych upoważnienie do przetwarzania danych;
  4. Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych;
  5. Zbiór danych osobowych (zbiór danych) – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Administrator danych

  1. Administrator danych stosuje środki techniczne i organizacyjne zapewniające ochronę danych osobowych odpowiednie do zagrożeń, kategorii przetwarzanych danych oraz zabezpiecza posiadane dane przed ich udostępnieniem, zmianą, utratą, uszkodzeniem, zniszczeniem lub przetwarzaniem przez osobę nieupoważnioną.
  2. Administrator danych co najmniej raz do roku przeprowadza sprawdzenie systemu ochrony danych osobowych. W wyniku sprawdzenia sporządza się protokół, który stanowi załącznik do polityki bezpieczeństwa.

Przetwarzanie danych

  1. Przetwarzanie danych jest dopuszczalne przy spełnieniu warunków określonych w art. 23 i/lub 27 ustawy o ochronie danych osobowych.
  2. Przetwarzanie danych osobowych w celu świadczenia usług drogą elektroniczną odbywa się na zasadach określonych w ustawie z dnia 18 lipca 2002 o świadczeniu usług drogą elektroniczną (Dz.U z 2002, Nr 144, poz. 1204, z póź zm.) oraz zgodnie z Polityką prywatności określonej na stronie internetowej administratora danych.
  3. Zgoda na przetwarzanie danych osobowych w celu prowadzenia marketingu bezpośredniego lub świadczenia usługi biuletynu informatycznego (newsletter) jest pobierana jedynie za pośrednictwem strony internetowej lub w komunikacji
    z wykorzystaniem poczty elektronicznej.
  4. Zgoda na przetwarzanie danych osobowych, nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
  5. Zgoda na przetwarzanie danych osobowych może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
  6. Zgoda na przetwarzanie danych osobowych może zostać odwołana w każdym czasie. W przypadku żądania odwołania zgody należy niezwłocznie skontaktować się z administratorem danych w celu otrzymania dalszych instrukcji.

Wykaz budynków, pomieszczeń lub części pomieszczeń.

  1. Obszar przetwarzania stanowi lokal mieszkalny znajdujący się pod adresem ul. Damroki 38/10, 80-177 Gdańsk.
  2. W obszarze przetwarzania zastosowano zabezpieczenia w postaci kluczy mechanicznych i drzwi wzmocnionych.

Wykaz zbiorów danych osobowych

  1. Administrator danych prowadzi i aktualizuje wykaz zbiorów danych osobowych wraz z programami zastosowanymi do przetwarzania danych osobowych:
  2. Zbiór danych osobowych współpracowników jest przetwarzany z wykorzystaniem oprogramowania MS Office oraz w wersji papierowej. Zapewnia się kontrolę dostępu do danych przetwarzanych w systemie informatycznym w formie identyfikatora i hasła, tworzy się regularne kopie bezpieczeństwa baz danych oprogramowania, stosuje się oprogramowanie antywirusowe oraz zaporę sieciową na poziomie systemu operacyjnego i routera.
  3. Zbiór danych osobowych klientów jest przetwarzany z wykorzystaniem oprogramowania MailChimp oraz MailerLite, Mozilla Thunderbird oraz MS Office. Zapewnia się kontrolę dostępu do danych przetwarzanych w systemie informatycznym w formie identyfikatora i hasła, tworzy się regularne kopie bezpieczeństwa baz danych oprogramowania, zapewnia się szyfrowanie połączenia przy wprowadzaniu danych za pośrednictwem sieci publicznej, stosuje się oprogramowanie antywirusowe oraz zaporę sieciową na poziomie systemu operacyjnego i routera.
  4. Zbiór danych osobowych potencjalnych klientów jest przetwarzany z wykorzystaniem oprogramowania MailerLite, WordPress, Mozilla Thunderbird oraz MS Office. Zapewnia się kontrolę dostępu do danych przetwarzanych w systemie informatycznym w formie identyfikatora i hasła, tworzy się regularne kopie bezpieczeństwa baz danych oprogramowania, zapewnia się szyfrowanie połączenia przy wprowadzaniu danych za pośrednictwem sieci publicznej, stosuje się oprogramowanie antywirusowe oraz zaporę sieciową na poziomie systemu operacyjnego i routera.
  5. Zbiór danych osobowych – Newsletter jest przetwarzany z wykorzystaniem oprogramowania Mail Chimp, WordPress, Mozilla Thunderbird oraz MS Office. Zapewnia się kontrolę dostępu do danych przetwarzanych w systemie informatycznym w formie identyfikatora i hasła, tworzy się regularne kopie bezpieczeństwa baz danych oprogramowania, zapewnia się szyfrowanie połączenia przy wprowadzaniu danych za pośrednictwem sieci publicznej, stosuje się oprogramowanie antywirusowe oraz zaporę sieciową na poziomie systemu operacyjnego i routera.

Opis struktury zbiorów danych

  1. Struktura poszczególnych zbiorów danych wraz ze wskazaniem poszczególnych pól informacyjnych i powiązania pomiędzy nimi jest aktualizowana przez administratora danych niezwłocznie po pojawieniu się zmiany wymagającej odnotowania.
  2. Opis struktury zbiorów danych osoby wygląda następująco:
  3. Zbiór danych osobowych współpracowników zawiera następujące pola informacyjne:
    – imię/imiona i nazwisko, numer ewidencyjny PESEL, adres zamieszkania, adres siedziby i nazwa firmy, adres email, numer telefonu, numer identyfikacji podatkowej, numer ewidencyjny PESEL, numer rachunku bankowego, miejsce pracy, zawód, wykształcenie, seria i numer dowodu osobistego, numer telefonu, forma współpracy, data rozpoczęcia współpracy, data zakończenia współpracy. Powyższe dane są powiązane ze sobą osobą współpracownika.
  4. Zbiór danych osobowych klientów zawiera następujące pola informacyjne:
    – imię/imiona i nazwisko, adres zamieszkania, adres siedziby i nazwa firmy, adres email, numer telefonu, numer identyfikacji podatkowej, historia zamówień, numer rachunku bankowego, rodzaj szkolenia, data zapisania się na szkolenie, data szkolenia. Powyższe dane są powiązane ze sobą osobą klienta. 
  5. Zbiór danych osobowych potencjalnych klientów zawiera następujące pola informacyjne:
    – imię/imiona i nazwisko, adres email, numer telefonu, rodzaj szkolenia, data ostatniego kontaktu. Powyższe dane są powiązane ze sobą osobą potencjalnego klienta.
  6. Zbiór danych osobowych – Newsletter zawiera następujące pola informacyjne:
    – imię/imiona i nazwisko, adres email, data dokonania subskrypcji, data zakończenia subskrypcji. Powyższe dane są powiązane ze sobą osobą subskrybenta Newsletter.

Sposób przepływu danych pomiędzy poszczególnymi systemami

  1. Sposób przepływu danych pomiędzy poszczególnymi systemami w przypadku połączeń wykonywanych za pośrednictwem sieci publicznej jest szyfrowany protokołem SSL.
  2. Przepływ danych wygląda następująco:
  3. Dane współpracowników przepływają manualnie, jednokierunkowo od programu Mozilla Thunderbird do oprogramowania MS Office.
  4. Dane klientów przepływają jednokierunkowo z programów: Evenea, WordPress, Mozilla Thunderbird, PayPal i TPay i są wprowadzane manualnie do oprogramowania MailChimp oraz MailerLite i MS Office.
  5. Dane potencjalnych klientów przepływają manualnie, jednokierunkowo z programu WordPress do programu MailChimp oraz MailerLite oraz do oprogramowania MS Office.
  6. Dane osobowe – Newsletter przepływają manualnie, jednokierunkowo z programu WordPress do programu MailChimp oraz MailerLite oraz do oprogramowania MS Office.

Środki techniczne i organizacyjne

  1. W celu ochrony danych osobowych stosuje się następujące zabezpieczenia organizacyjne:
    – została opracowana i wdrożona Polityka bezpieczeństwa przetwarzania danych osobowych oraz Instrukcja zarządzania systemem informatycznym przetwarzającym dane osobowe,
    – do przetwarzania danych osobowych zostają dopuszczone wyłącznie osoby posiadające ważne upoważnienie do ich przetwarzania,
    – prowadzona jest ewidencja osób posiadających upoważnienia do przetwarzania danych osobowych,
    – osoby posiadające upoważnienia zostały przeszkolone w zakresie ochrony danych osobowych i zabezpieczeń systemu informatycznego,
    – osoby posiadające upoważnienia złożyły oświadczenie o zachowaniu poufności przetwarzanych danych osobowych,
    – przetwarzanie danych osobowych odbywa się w warunkach zabezpieczających dane osobowe przed dostępem osób nieupoważnionych,
    – przebywanie osób nieupoważnionych w obszarze przetwarzania danych jest możliwe tylko w obecności osób upoważnionych oraz w warunkach zapewniających bezpieczeństwo danych osobowych.
  2. W celu ochrony danych osobowych stosuje się następujące zabezpieczenia fizyczne:
    – drzwi do pomieszczeń stanowiących obszar przetwarzania są zamykane na klucz,
    – w obszarze przetwarzania jest dostępne niszczarki dokumentów i nośników danych,
    – klucze, kody dostępu lub inne zabezpieczenia do obszarów przetwarzania są wydawane i zdawane za pobraniem przez osoby upoważnione,
  3. W celu ochrony danych osobowych stosuje się następujące zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
    – dostęp do komputerów, na których znajdują się dane osobowe odbywa się poprzez podanie loginu i hasła,
    – dostęp zdalny za pośrednictwem internetu do danych osobowych odbywa się przez szyfrowane połączenie SSL lub VPN i wymaga podania loginu i hasła,
    – stosuje się system antywirusowy oraz firewall na komputerach, na których znajdują się dane osobowe.
  4. Niniejszy dokument wchodzi w życie z dniem podpisania przez administratora danych.