Polityka Ochrony Danych Osobowych oraz Bezpieczeństwa Systemów Informacji

Administrator Danych Osobowych

Niniejszy dokument został sporządzony dla podmiotu:

Silver-Art P.P.H.U. - Iwona Gutowska * Siedziba: ul. Jednorożca 90, Gdańsk

• NIP: 9570741726

W treści dokumentu powyższy podmiot określany będzie jako: Administrator.

Spis treści

1. Terminologia 1.1. Wstęp 1.2. Podstawy stworzenia dokumentu 1.3. Systemy Informacyjne jako wyznacznik poziomu bezpieczeństwa biznesu 1.4. Zagrożenia w zakresie bezpieczeństwa IT 1.5. Główne cele bezpieczeństwa systemów IT

2. Prezentacja polityki bezpieczeństwa 2.1. Cel 2.2. Zasady bezpieczeństwa przy podejściu globalnym 2.3. Projektowanie bezpieczeństwa danych przez Administratora 2.4. Schemat zastosowania 2.5. Przegląd polityki bezpieczeństwa systemów informacji

3. Podstawowe cele BEZPIECZEŃSTWA 3.1. Kultura bezpieczeństwa 3.2. Rozporządzenie dotyczące danych Klienta 3.3. Kontrola dostępu i zezwolenia 3.4. Umożliwienie śledzenia operacji

4. Polityka Ochrony danych osobowych 4.1. Ochrona danych osobowych u Administratora – procedury ochrony 4.2. Inwentaryzacja 4.3. Rejestr czynności przetwarzania danych (RCPD) 4.4. Podstawy prawne przetwarzania 4.5. Procedury obsługi praw jednostki i obowiązków informacyjnych 4.6. Obowiązki informacyjne 4.7. Żądania osób fizycznych 4.8. Minimalizacja przetwarzania danych 4.9. Bezpieczeństwo przetwarzania danych przez Administratora 4.10. Podmioty przetwarzające dane osobowe (Procesory) 4.11. Przesyłanie danych do państw trzecich 4.12. Projektowanie prywatności

5. Klasyfikacja dokumentów 5.1. Własność, aktualizacja i przegląd

1. Terminologia

1.1. Wstęp

Niniejszy dokument, zatytułowany „Polityka ochrony danych osobowych oraz Bezpieczeństwa Systemów Informacji” (dalej: „Polityka”) stanowi mapę wymogów, zasad i regulacji ochrony danych osobowych jak też bezpieczeństwa informacji w systemach używanych przez Administratora. Polityka stanowi opis zabezpieczania systemów informacji Administratora, jak również politykę ochrony danych osobowych w rozumieniu RODO.

1.2. Podstawy stworzenia dokumentu

Administrator, wypełniający swoje obowiązki nałożone przez RODO, to również:

• współpracownicy Administratora,

• procesy biznesowe i metody pracy Administratora,

• wiedza o Klientach Administratora,

• partnerzy biznesowi Administratora i jego relacje z nimi.

Zaufanie pomiędzy Klientami a naszą firmą i współpracownikami oraz nasze dziedzictwo to elementy, które sprawiają, że wartość Administratora wyróżnia nas i tworzy naszą tożsamość. Naszym obowiązkiem jest ich ochrona.

1.3. Systemy Informacyjne jako wyznacznik poziomu bezpieczeństwa biznesu

Systemy informatyczne rozwijają się coraz bardziej każdego dnia, ułatwiają wymianę informacji. Z tych powodów Systemy Informatyczne Administratora stały się głównym narzędziem w rozwoju i dzieleniu się naszym dziedzictwem oraz tworzeniu trwałych relacji z Klientami. Jesteśmy świadomi zagrożeń IT, dlatego dochowujemy należytej staranności, by chronić systemy i nieustannie zwiększać ich bezpieczeństwo.

1.4. Zagrożenia w zakresie bezpieczeństwa IT

Głównymi zagrożeniami są:

• niezdolność Systemu Informacji w momencie krytycznym dla biznesu;

• brak wykrywania nadużyć wewnętrznych;

• błędy decyzyjne z powodu błędnych danych;

• utrata lub ujawnienie danych Klienta;

• utrata przewagi konkurencyjnej w wyniku wycieku danych.

1.5. Główne cele bezpieczeństwa systemów IT

Strategia zawarta w niniejszej Polityce ma na celu zmniejszenie ryzyka do akceptowalnego poziomu. Szczegółowe cele opisano w rozdziale 4.

2. Prezentacja polityki bezpieczeństwa

2.1. Cel

Inspirowanie i zwiększanie zaufania wśród użytkowników (współpracowników, Klientów, partnerów) w systemach informacji i świadczonych usługach.

2.2. Zasady bezpieczeństwa przy podejściu globalnym

• Realizm: polityka budowana krok po kroku, dostosowana do wielkości firmy.

• Pragmatyzm: kompromis pomiędzy efektywnością, prostotą i kosztami.

• Odpowiedzialność: autonomiczne i odpowiedzialne zarządzanie.

• Spójność: działania współpracowników zgodne z globalną wizją bezpieczeństwa.

• Przewidywanie: uwzględnianie bezpieczeństwa już na etapie projektowania (privacy by design).

3. Podstawowe cele BEZPIECZEŃSTWA

3.1. Kultura bezpieczeństwa

Współpracownicy stanowią trzon strategii bezpieczeństwa. Realizowany jest program szkoleniowy, aby szerzyć kulturę bezpieczeństwa i zapobiegać wypadkom wynikającym z nieznajomości ryzyka.

3.2. Regulacje prawne dotyczące danych Klienta

Monitorowanie regulacyjne (RODO, przepisy finansowe) jest obowiązkiem. W systemach stosowane są wszelkie niezbędne środki bezpieczeństwa zgodne z przepisami.

3.3. Kontrola dostępu i zezwolenia

Dostęp do informacji poufnych jest ściśle ograniczony poprzez:

• jednoznaczną identyfikację i bezpieczne uwierzytelnianie użytkowników;

• zasadę najniższych przywilejów (uprawnienia tylko do niezbędnych zadań);

• zasadę „potrzeby wiedzy”.

4. Polityka Ochrony danych osobowych

4.1. Ochrona danych osobowych – procedury

Administrator kieruje się zasadami: Legalności, Bezpieczeństwa, Praw osób fizycznych oraz Rozliczalności. Dokumentacja jest przechowywana w miejscach chronionych przed wyciekiem.

4.2. Minimalizacja i Bezpieczeństwo

• Minimalizacja: Administrator nie przetwarza danych zbędnych i nadmiarowych.

• Analiza Ryzyka: Systematyczne sprawdzanie adekwatności środków technicznych i organizacyjnych.

• Raportowanie naruszeń: Zgłaszanie incydentów do Urzędu Ochrony Danych w ciągu 72 godzin.

4.3. Podmioty Przetwarzające (Procesorzy)

Administrator weryfikuje partnerów zewnętrznych i zawiera z nimi umowy powierzenia przetwarzania danych, wymagając stosowania odpowiednich procedur zabezpieczających.

5. Klasyfikacja dokumentów

Ten dokument jest sklasyfikowany jako dokument wewnętrzny Administratora i nie powinien być ujawniany na zewnątrz firmy bez formalnej zgody zarządu.

5.1. Własność, aktualizacja i przegląd

Polityka jest własnością Administratora i podlega aktualizacji co dwa lata lub w przypadku istotnych zmian w procesach biznesowych.