1.   Ogólne zasady przetwarzania danych osobowych

Kierownictwo i pracownicy firmy Pan Drwal Sp. z o.o. (dalej zwaną ‘Firmą’) przywiązują szczególną wagę do zapewnienia bezpiecznego przetwarzania danych osobowych klientów sklepu internetowego https://pandrwal.pl/ (dalej zwanego ‘Sklepem’), dlatego w organizacji wprowadza się opisany w niniejszej Polityce Bezpieczeństwa zbiór zabezpieczeń niwelujących ryzyka wynikające z zagrożeń zewnętrznych i wewnętrznych. Zabezpieczenia te są stale monitorowane, przeglądane i w razie potrzeby ulepszane tak, aby zapewnić spełnienie celów związanych z zapewnieniem bezpieczeństwa przetwarzanych danych osobowych.

Zasady opisane w Polityce Bezpieczeństwa dotyczą w szczególności zabezpieczenia danych osobowych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.

Polityka Bezpieczeństwa obowiązuje wszystkie osoby, które mają kontakt z danymi osobowymi przetwarzanymi przez firmę, w szczególności: pracowników sklepu i osoby współpracujące na podstawie umów cywilnoprawnych oraz podmioty trzecie (podmioty przetwarzające dane) współpracujące z administratorem danych, wraz z ich pracownikami i osobami współpracującymi.

Polityka Bezpieczeństwa ma zastosowanie w przypadku przetwarzania danych osobowych w formie papierowej jak i w systemach informatycznych, przy czym w tym przypadku obowiązuje dodatkowo Instrukcja zarządzania systemem informatycznym.

Nadzór nad przetwarzaniem danych osobowych sprawuje Administrator Danych Osobowych (Firma) lub wyznaczony przez niego pełnomocnik ds. ochrony danych osobowych. Dodatkowo administrator danych osobowych może wyznaczyć Administratora Systemu Informatycznego, który odpowiada za bezpieczeństwo systemu informatycznego oraz wdrożenie i przestrzeganie Instrukcji zarządzania systemem informatycznym.

Polityka Bezpieczeństwa została opracowana zgodnie z wymogami określonymi:

  • Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024),
  • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

 

2.   Analiza zagrożeń

W związku z działalnością Sklepu i przetwarzaniem Danych Ssobowych jego klientów zidentyfikowano następujące zagrożenia dla bezpieczeństwa ww. danych:

  1. Brak świadomości niebezpieczeństwa w wyniku dopuszczenia osób nieupoważnionych do obszaru przetwarzania Danych Osobowych lub systemu informatycznego,
  2. Kradzież lub inne nieautoryzowane wynoszenie papierowych lub informatycznych nośników danych zawierających dane osobowe poza obszar przetwarzania,
  3. Zainfekowanie systemu informatycznego programami, których celem jest uzyskanie nieuprawnionego dostępu do danych osobowych jak wirusy, robaki, keyloggery itp.,
  4. Ataki wewnętrzne i zewnętrzne na sieć teleinformatyczną wykorzystywaną przez sklep internetowy w tym podsłuch, manipulacja, podstawienie lub ich kombinacja,
  5. Awaria systemu informatycznego,
  6. Zagrożenia zewnętrzne jak pożar, zalanie pomieszczeń, katastrofa budowlana itp.,
  7. Nieautoryzowane i niezgodne z prawem przetwarzanie danych osobowych przez Podmiotu Przetwarzającego dane osobowe klientów (np. firma księgowa, firma kurierska itp.).

 

3.   Środki Ochrony Danych Osobowych

Dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych stosuje się następujące środki techniczne i organizacyjne:

A. Osoby Dopuszczone do przetwarzania Danych Osobowych:

  • Do przetwarzania danych osobowych są dopuszczone wyłącznie osoby posiadające pisemne upoważnienia nadane przez Administratora Danych Osobowych (Firmę) (Załącznik nr PB-01-F2).
  • Osoby dopuszczone do przetwarzania danych osobowych podpisują zobowiązanie o zachowaniu poufności tych danych (załącznik nr PB-01-F3).
  • Osoby upoważnione do przetwarzania Danych Osobowych mają obowiązek:
    • przetwarzać je zgodnie z celem oraz obowiązującymi przepisami, w szczególności z ustawą i rozporządzeniem oraz niniejszą Polityką Bezpieczeństwa i Instrukcją Systemu Informatycznego,
    • nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym,
    • zabezpieczać je przed zniszczeniem i niezamierzoną zmianą.
  • Administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania Danych Osobowych (załącznik nr PB-01-F1), do której stały dostęp mają wszystkie osoby upoważnione oraz kierownictwo firmy.
  • Osoby upoważnione do przetwarzania danych osobowych są szkolone w zakresie procedur bezpieczeństwa i właściwego użycia urządzeń do przetwarzania danych osobowych.

B. Obszar przetwarzania Danych Osobowych

  • Administrator Danych Osobowych (Firma) wyznaczył bezpieczne obszary przetwarzania danych osobowych, które są zabezpieczone zarówno przed zagrożeniami fizycznymi jak i środowiskowymi i opisał je w wykazie budynków, pomieszczeń lub części pomieszczeń tworzących te obszary (załącznik nr PB-01-F4).
  • W bezpiecznych obszarach przetwarzania, osoby upoważnione do przetwarzania danych osobowych mają dostęp do tych danych zgodnie z zakresem przyznanych upoważnień
  • W przypadku konieczności dostępu do bezpiecznego obszaru przetwarzania przez osoby nieposiadające upoważnienia, a które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oświadczenie o zachowaniu poufności (załącznik nr PB-01-F3).
  • Zabronione jest wynoszenie informatycznych nośników danych, sprzętu komputerowego oraz dokumentów zawierających dane osobowe poza bezpieczny obszar przetwarzania danych osobowych bez uprzedniego zezwolenia wydanego przez administratora danych osobowych.

C. Dokumenty i nośniki danych zawierające dane osobowe

  • Dokumenty papierowe oraz informatyczne nośniki danych, które zawierają dane osobowe przechowywane są w zamykanych szafach/szufladach lub na zabezpieczonych serwerach znajdujących się w tzw. Chmurze.
  • Dane Osobowe przechowywane w tzw. Chmurze są zabezpieczone poprzez systemy logowania hasłowego.
  • Dane logowania do systemów znajdujących się w tzw. Chmurze posiadają wyznaczeni pracownicy (załącznik nr PB-01-F1).
  • Wydruki zawierające dane osobowe, które nie są już przydatne do dalszej pracy są natychmiast niszczone w taki sposób aby niemożliwe było odtworzenie zniszczonych danych (np. niszczarki do dokumentów).
  • Nośniki danych przeznaczone do zniszczenia, na których są przechowywane dane osobowe lub ich kopie zapasowe, pozbawia się wcześniej zapisanych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.
  • Jeśli dokumenty papierowe lub nośniki danych zawierające dane osobowe muszą być przekazane poza bezpieczny obszar przetwarzania danych osobowych (na przykład transportowane do Urzędu Skarbowego) to są zabezpieczane przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.

D. Zbiory danych osobowych

  • Administrator Danych Osobowych (Firma) prowadzi wykaz zbiorów danych osobowych oraz programów służących do ich przetwarzania (załącznik nr PB-01-F5).
  • Administrator Danych Osobowych (Firma) aktualizuje opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami (załącznik nr PB-01-F5).

E. Udostępnianie danych osobowych

  • Udostępnienie Danych Osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności analizę jakości świadczonych usług przez podmiot przetwarzający Dane Osobowe.
  • Administrator danych osobowych prowadzi wykaz podmiotów i osób, którym udostępniono Dane Osobowe (załącznik nr PB-01-F6).
  • Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania Danych Osobowych (załącznik nr PB-01-F7) lub poprzez akceptację regulaminu podmiotu przetwarzającego Dane Osobowe (dotyczy usług oferowanych w tzw. Chmurze np. usług mailingowych typu Gmail, usług serwerowych typu DropBox itp.).
  • Na podstawie umowy powierzenia Danych Osobowych (załącznik nr PB-01-F7) lub na podstawie akceptacji usług oferowanych w tzw. Chmurze, Administrator Danych Osobowych lub osoba upoważniona udziela Podmiotowi Przetwarzającemu (załącznik nr PB-01-F6) Dane Osobowe klientów Sklepu.
  • Klient Sklepu, której dane dotyczą, nie ma prawa dostępu do swoich danych osobowych, ich poprawy, lub usunięcia o ile nie jest to niezgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. lub interesem Firmy.

F. System informatyczny

  • System informatyczny Sklepu internetowego posiada połączenie z siecią publiczną (Internet), dlatego zastosowano środki bezpieczeństwa na poziomie wysokim.
  • W celu zabezpieczenia przed atakami z sieci publicznej serwery i stacje robocze są chronione przez zaporę ogniową (firewall), a stacje robocze dodatkowo oprogramowaniem antywirusowym.
  • Okablowanie i urządzenia sieciowe zostały rozlokowane w sposób umożliwiający bezpośredni dostęp tylko z pomieszczeń zamykanych na klucz.
  • Zasady nadawania i rejestrowania uprawnień do przetwarzania danych osobowych w systemie informatycznym, metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem przeznaczone dla użytkowników systemu opisane zostały w Instrukcji Zarządzania Systemem Informatycznym.
  • Procedury tworzenia oraz przechowywania kopii zapasowych zbiorów danych opisane zostały w Instrukcji Zarządzania Systemem Informatycznym.

 

4.   Postępowanie w przypadku naruszenia bezpieczeństwa

Osoba, która stwierdziła naruszenie lub ma podejrzenie naruszenia bezpieczeństwa przetwarzania danych osobowych powinna:

  • Zanotować wszystkie ważne szczegóły i okoliczności związane z danym zdarzeniem, a w szczególności dokładny czas (na przykład typ niezgodności lub naruszenia, błędu działania, wiadomości z ekranu, dziwnego zachowania oraz informacja kiedy zdarzenie miało miejsce).
  • Nie podejmować innych samodzielnych działań, lecz natychmiast poinformować bezpośredniego przełożonego.
  • W przypadku, gdy dojdzie do naruszenia bezpieczeństwa ochrony danych osobowych (np. zapozna się z nimi osoba nieuprawniona lub dane zostaną przypadkowo skasowane), Administrator Danych Osobowych musi w ciągu 72 godzin (od chwili, gdy stwierdzono naruszenie) MUSI zawiadomić o tym właściwy organ (Urząd Ochrony Danych Osobowych) i osobę którą te dane dotyczą.
  • Jeśli poinformowanie wszystkich poszkodowanych wymagałoby niewspółmiernie dużego wysiłku – administrator może zdecydować, czy informuje każdego z poszkodowanych z osobna, czy też wydaje publiczny komunikat na stronie internetowej sklepu zapewniający skuteczne poinformowanie osób, których dotyczy naruszenie.
  • Zawiadomienie musi zawierać przynajmniej (załącznik nr PB-01-F8):
    • opis naruszenia, w tym przybliżoną liczbę osób, której naruszenie dotyczy oraz kategorie,
    • danych osobowych,
    • imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych (jeżeli został wyznaczony),
    • opis możliwych konsekwencji naruszenia,
    • zastosowane lub proponowane do zastosowania środki mające na celu zmniejszenie,
    • skutków naruszenia.

 

5.   Spis załączników

Załącznik nr PB-01-F1 pt. „Ewidencja osób upoważnionych do przetwarzania Danych Osobowych”

Załącznik nr PB-01-F2 pt. „Upoważnienie do przetwarzania danych osobowych nadane przez Administratora Danych Osobowych”

Załącznik nr PB-01-F3 pt. „Zobowiązanie o zachowaniu poufności Danych Osobowych”

Załącznik nr PB-01-F4 pt. „Spis bezpiecznych obszarów przetwarzania danych osobowych”

Załącznik nr PB-01-F5 pt. „Wykaz zbiorów danych osobowych oraz programów służących do ich przetwarzania”

Załącznik nr PB-01-F6 pt. „Wykaz podmiotów i osób, którym udostępniono Dane Osobowe”

Załącznik nr PB-01-F7 pt. „Umowa powierzenia przetwarzania Danych Osobowych”

Załącznik nr PB-01-F8 pt. „Zawiadomienie o nieuprawnionym wycieku/użyciu lub naruszeniu bezpieczeństwa przetwarzania Danych Osobowych”