Polityka prywatności

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH
OSOBOWYCH
Aquafor
ROZDZIAŁ I
POSTANOWIENIA OGÓLNE

§1
Celem niniejszej polityki jest uzyskanie optymalnego i zgodnego z wymogami
obowiązujących aktów prawnych sposobu przetwarzania informacji zawierających dane
osobowe, w tym zapewnienie ochrony danych osobowych przed wszelakiego rodzaju
zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.

§2
Niniejsza polityka została wdrożona w związku z treścią art. 24 ust. 2 RODO jako dowód
dołożenia należytej staranności w zakresie ochrony danych osobowych.

§3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne,
organizacyjne, oprogramowanie systemowe, aplikacje oraz samych użytkowników.

§4
Obok niniejszej polityki opracowano i wdrożono instrukcję zarządzania systemami
informatycznymi służącymi do przetwarzania danych osobowych. Określa ona sposób
zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, ze
szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa.

§5
1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych rozumiane jest jako
zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim
poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych
osobowych.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
1) poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane
nieupoważnionym osobom,
2) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie
zostały zmienione lub zniszczone w sposób nieautoryzowany3) rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby
mogą być przypisane w sposób jednoznaczny tylko tej osobie
4) integralność systemu rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek
manipulacji, zarówno zamierzonej, jak i przypadkowej
5) dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp
do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne
6) zarządzanie ryzykiem rozumiane jako proces identyfikowania, kontrolowania i
minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może
dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

§6
1) Administratorem danych osobowych jest jest Izabela Wójcińska-Świerkot prowadzącego
działalność gospodarczą pod firmą PPH Aquafor Izabela Wójcińska Świerkot, ul.
Warszawska 9, Spalice 56-400 Oleśnica
NIP: 9111861000, REGON: 933008574
2) ADMINISTRATOR DANYCH OSOBOWYCH NIE WYZNACZYŁ INSPEKTORA
OCHRONY DANYCH OSOBOWYCH ŚWIADOMIE, STWIERDZAJĄC, ŻE NIE CIĄŻY NA
NIM TAKI OBOWIĄZEK NA PODSTAWIE ART. 37 RODO.
3) ADMINISTRATOR DANYCH OSOBOWYCH NIE WYZNACZYŁ ADMINISTRATORA
SYSTEMÓW INFORMATYCZNYCH I WSZELKIE JEGO OBOWIĄZKI WYKONUJE
SAMODZIELNIE.

ROZDZIAŁ II
ZAKRES STOSOWANIA

§7
Polityka bezpieczeństwa zawiera informacje dotyczące wprowadzonych zabezpieczeń
technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych
osobowych.

§8
Politykę bezpieczeństwa stosuje się w szczególności do:
1) danych osobowych przetwarzanych w formie papierowej.
2) danych osobowych przetwarzanych w systemach informatycznych.
3) informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw
kont i haseł w systemach przetwarzania danych osobowych.
4) rejestru osób dopuszczonych do przetwarzania danych osobowych.5) innych dokumentów zawierających dane osobowe.

§9
1) Zakresy ochrony danych osobowych określone przez niniejszą politykę mają
zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w
szczególności do:
a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów
informatycznych, w których przetwarzane są dane osobowe podlegające ochronie.
b) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane
informacje podlegające ochronie.
c) wszystkich pracowników, zleceniobiorców, wykonawców umów o dzieło, wykonawców
umów o świadczenie usług, praktykantów, stażystów i innych osób mających dostęp do
informacji podlegających ochronie.
2) Do stosowania zasad określonych przez Politykę bezpieczeństwa zobowiązani są
wszyscy pracownicy, zleceniobiorcy, wykonawcy umów o dzieło, wykonawcy umów o
świadczenie usług, praktykanci, stażyści i inne osoby mające dostęp do informacji
podlegających ochronie.
3) Polityka bezpieczeństwa nie dotyczy podmiotów zewnętrznych, które przetwarzają dane
osobowe powierzone im do przetwarzania przez administratora danych osobowych na
podstawie stosownych umów powierzenia. Podmioty te stosują własne procedury i środki
bezpieczeństwa związane z ochroną danych osobowych wymagane przez przepisy prawa,
do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych
osobowych.

ROZDZIAŁ III
OPIS DZIAŁALNOŚCI ADMINISTRATORA DANYCH OSOBOWYCH, OBSZAR
PRZETWARZANIA DANYCH OSOBOWYCH I SPRZĘT WYKORZYSTYWANY DO
PRZETWARZANIA DANYCH OSOBOWYCH

§ 10
1) Administrator danych osobowych prowadzi działalność gospodarczą, w związku z czym
dochodzi do przetwarzania danych osobowych.
2) Administrator przetwarza dane osobowe zwykłe (art. 6 ust.1 RODO), szczególne
kategorie danych osobowych (art. 9 ust. 2 RODO).
3) Administrator nie podejmuje czynności przetwarzania, które mogłyby wiązać się z
poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób.
W przypadku planowania takiego działania Administrator wykona czynności określone w art.
35 i nast. RODO.4) W przypadku planowania nowych czynności przetwarzania Administrator dokonuje
analizy ryzyka związanego z przetwarzaniem danych osobowych oraz uwzględnia kwestie
ochrony danych osobowych w fazie ich projektowania.
5) Polityka dotyczy wszystkich danych przetwarzanych przez Administratora niezależnie od
formy ich przetwarzania (przetwarzanie zautomatyzowane i niezautomatyzowane) oraz od
tego, czy dane są lub mogą być przetwarzane w zbiorach danych. Szczegółowy sposób
przetwarzania danych osobowych w systemie informatycznym, wraz z zachowaniem
stosownych zabezpieczeń, opisuje instrukcja zarządzania systemami informatycznymi
służącymi do przetwarzania danych osobowych.
6) Dane osobowe przetwarzane są zarówno w formie elektronicznej, jak i papierowej.

§ 11
1) Dane osobowe przetwarzane są w obrębie lokalizacji działalności administratora danych
osobowych.
2) Siedziba działalności znajduje się pod następującym adresem: ul. Warszawska 9, Spalice
56- 400 Oleśnica
3) Wejście do lokali zabezpieczone są drzwiami przeciwwłamaniowymi. Ponadto, w lokalach
zagwarantowana jest kontrola dostępu do pomieszczeń (pomieszczenia biurowe w których
przechowywana jest dokumentacja i nośniki danych zamykane są na klucz, dostęp do kluczy
mają wyłącznie osoby upoważnione, obiekty w części ogólnodostępnej dla pracowników
oraz osób trzecich są monitorowane – zainstalowany jest monitoring wizyjny, w
pomieszczeniach zainstalowany jest system alarmowy sygnalizujący pożar, włamanie,
zalanie.
4) Dane osobowe w formie papierowej przetwarzane są w obrębie wszystkich lokalizacji, a
przechowywane w obrębie siedziby administratora danych osobowych.
5) Dane osobowe w formie elektronicznej przetwarzane są w obrębie wszystkich lokalizacji
administratora danych osobowych, ale mogą być przetwarzane z dowolnego miejsca i w
dowolnym czasie, ponieważ przetwarzanie odbywa się z wykorzystaniem komputerów oraz
innych urządzeń przenośnych. Ponadto, przetwarzanie odbywa się w ramach systemów
informatycznych, instalowanych lokalnie na komputerach oraz takich, do których dostęp
następuje on-line, a systemy te nie są zainstalowane lokalnie na komputerach.
6) Ponieważ administrator danych osobowych powierza przetwarzanie danych osobowych
podmiotom trzecim, do przetwarzania danych osobowych dochodzi również w innych
lokalizacjach, ale w tym zakresie czynności przetwarzania dokonuje podmiot trzeci lub
ewentualnie podmioty do tego przez niego upoważnione. Administrator danych osobowych
nie ma szczegółowej wiedzy na temat lokalizacji, w obrębie których dochodzi do
przetwarzania danych przez podmioty, którym powierzył przetwarzanie danych osobowych,
ale podmioty te zobowiązały się do stosowania odpowiednich środków ochrony i
bezpieczeństwa danych osobowych wymaganych przez przepisy prawa.7) Odpowiednie środki ochrony danych osobowych zostały wdrożone w lokalizacjach, o
których mowa w ust. 1 powyżej oraz na urządzeniach wykorzystywanych do przetwarzania
danych osobowych. Jeżeli chodzi o podmioty, którym administrator powierzył przetwarzanie
danych osobowych, oświadczyły one, że wdrożyły odpowiednie środki ochrony i
bezpieczeństwa danych osobowych wymagane przez przepisy prawa i zobowiązały się je
utrzymywać przez okres powierzenia przetwarzania danych.

§ 12
1) Dane osobowe przetwarzane są przy wykorzystaniu komputerów stacjonarnych,
przenośnych oraz smartfonów.
2) Przetwarzanie danych przy wykorzystaniu wskazanych powyżej urządzeń polega na tym,
że następuje z nich logowanie do systemów, w ramach których przetwarzane są dane
osobowe. Dostęp do zbioru danych osobowych wymaga podana loginu i hasła przyznanego
indywidualnie wg zasad określonych w Instrukcji zarządzania systemem informatycznym.
Dane są również przechowywane na dyskach komputerów oraz dyskach przenośnych.
Dostęp do zasobów tych dysków jest zaszyfrowany.

ROZDZIAŁ IV
ŚRODKI TECHNICZNE I ORGANIZACYJNE ZABEZPIECZENIA DANYCH

§ 13
1) W celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wprowadzono
zabezpieczenia organizacyjne i techniczne.
2) Zabezpieczenia organizacyjne:
a) sporządzono i wdrożono politykę ochrony danych osobowych.
b) sporządzono i wdrożono instrukcję zarządzania systemami informatycznymi.
c) do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające
upoważnienia nadane przez administratora danych osobowych.
d) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami
dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu
informatycznego.
e) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do
zachowania ich w tajemnicy.
f) dane osobowe przetwarzane są w warunkach zabezpieczających dane przed dostępem
osób nieupoważnionych.
g) dane osobowe w formie papierowej przechowywane są w zamkniętej, nie metalowej
szafie.h) dokumenty zawierające dane osobowe są po ustaniu przydatności niszczone z
wykorzystaniem niszczarek.
i) lokalizacja, w której przechowywane są zbiory danych osobowych w formie papierowej
zabezpieczona jest na wypadek pożaru poprzez wyposażenie pomieszczenia w gaśnice.
j) monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób
uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
k) kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej
nie metalowej szafie.
3) Zabezpieczenia techniczne:
a) zastosowano system Firewall do ochrony dostępu do sieci komputerowej.
b) zastosowano środki ochrony przed szkodliwym oprogramowaniem.
c) zastosowano uwierzytelnienie z wykorzystaniem identyfikatora użytkownika oraz hasła
przy dostępie do zbioru danych.
d) zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych
osobowych.
e) zastosowano uwierzytelnienie z wykorzystaniem identyfikatora użytkownika oraz hasła
przy starcie systemu operacyjnego komputera.
f) zastosowano środki kryptograficznej ochrony danych dla danych osobowych
przekazywanych drogą teletransmisji lub na nośnikach danych typu dysk zewnętrzny,
pendrive.
g) zastosowano kryptograficzne środki ochrony danych przechowywanych na dyskach
komputerów.
h) zastosowano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych
elementach zbioru danych osobowych.
i) zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do
zasobów informatycznych.
j) zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu
danych w ramach przetwarzanego zbioru danych osobowych.
k) zastosowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane
osobowe.
I) zastosowano mechanizm automatycznego wylogowania użytkownika po określonym
czasie braku aktywności.
4) Wskazane powyżej środki techniczne i organizacyjne zabezpieczenia danych dotyczą
wyłącznie środków wdrożonych bezpośrednio przez administratora danych osobowych. Wzakresie, w jakim administrator danych osobowych powierzył przetwarzanie danych
osobowych innym podmiotom, podmioty te zobowiązały się utrzymywać odpowiednie środki
ochrony danych osobowych wymagane przez przepisy prawa.

ROZDZIAŁ V
ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH I ADMINISTRATORA SYSTEMU
INFORMATYCZNEGO

§ 14
1) Do najważniejszych obowiązków administratora danych osobowych należy:
a) organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami
obowiązujących przepisów prawa.
b) zapewnienie przetwarzania danych zgodnie z uregulowaniami niniejszej polityki.
c) wydawanie i anulowanie upoważnień do przetwarzania danych osobowych.
d) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.
e) prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych
osobowych i zgłoszenie faktu naruszenia organowi nadzorczemu oraz zawiadomienie o tym
osobę, której dane dotyczą.
f) nadzór nad bezpieczeństwem danych osobowych.
g) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych.
h) przeprowadzanie szkoleń użytkowników zgodnie z ust. 2, 3, 4, 5 poniżej.
2) Każdy użytkownik, za wyjątkiem administratora danych osobowych, przed
dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub
zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w
zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
3) Zakres szkolenia powinien obejmować zaznajomienie użytkownika z obowiązującymi
przepisami prawa w zakresie ochrony danych osobowych oraz z instrukcjami
obowiązującymi u administratora danych osobowych.

§ 15
1) Administratorem systemu informatycznego jest osoba określona przez administratora
danych osobowych. Powołanie administratora systemu informatycznego dokonywane jest w
formie pisemnej. Jeżeli administrator systemu informatycznego nie zostanie powołany, jego
zadania wykonuje administrator danych osobowych.
2) Administrator systemu informatycznego odpowiedzialny jest za:a) bieżący monitoring i zapewnienie ciągłości działania komputerów i innych urządzeń
wykorzystywanych do przetwarzania danych osobowych oraz systemów operacyjnych.
b) optymalizację wydajności komputerów i innych urządzeń wykorzystywanych do
przetwarzania danych osobowych oraz systemów operacyjnych.
c) instalację i konfiguracje sprzętu sieciowego i serwerowego.
d) instalację i konfigurację oprogramowania systemowego, sieciowego.
e) konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz
zabezpieczającym dane chronione przed nieupoważnionym dostępem.
f) nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń
mających wpływ na bezpieczeństwo przetwarzania danych.
g) współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego.
h) zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego.
i) zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich
przetwarzanie.
j) przeciwdziałanie próbom naruszenia bezpieczeństwa informacji.
k) przyznawanie na wniosek administratora danych osobowych ściśle określonych praw
dostępu do informacji w danym systemie.
I) wnioskowanie do administratora danych osobowych w sprawie zmian lub usprawnienia
procedur bezpieczeństwa i standardów zabezpieczeń.
m) zarządzanie licencjami, procedurami ich dotyczącymi.
n) prowadzenie profilaktyki antywirusowej.
3) Praca administratora systemu informatycznego jest nadzorowana przez administratora
danych osobowych, chyba, że administrator danych osobowych nie powołał administratora
systemu informatycznego wtedy jego zadania realizuje samodzielnie administrator danych
osobowych.

ROZDZIAŁ VI
ZGŁASZANIE I ZAWIADAMIANIE O NARUSZENIU OCHRONY DANYCH OSOBOWYCH

§ 16
1) Każde naruszenie ochrony danych osobowych powinno być niezwłocznie zgłaszane
przez użytkowników administratorowi danych osobowych. Szczegóły w zakresie
postępowania w związku ze stwierdzonym naruszeniem ochrony danych osobowych przy
korzystaniu z systemów informatycznych opisane zostały W Instrukcji zarządzania
systemami informatycznymi służącymi do przetwarzania danych osobowych.2) Administrator danych osobowych dokumentuje wszelkie naruszenia ochrony danych
osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte środki zaradcze.
Dokumentacja odbywa się z wykorzystaniem zestawienia incydentów naruszenia ochrony
danych osobowych.
3) W przypadku naruszenia ochrony danych osobowych, na administratorze danych
osobowych ciąży obowiązek zgłoszenia tego faktu do organu nadzorczego zgodnie z
postanowieniami art. 33 RODO oraz zawiadomienia osoby, której dane dotyczą, zgodnie z
postanowieniami art. 34 RODO.

ROZDZIAŁ VII
POSTANOWIENIA KOŃCOWE

§ 17
1) Administrator danych osobowych ma obowiązek zapoznać z treścią niniejszej polityki
każdego użytkownika.
2) Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych
postanowień zawartych w niniejszej polityce.