Polityka bezpieczeństwa w zakresie ochrony danych osobowych


W oparciu o punkt 1 ust. 7 Polityki Prywatności Serwisu www.agrosystems.pl przyjmuje się do realizacji i przestrzegania Politykę Bezpieczeństwa w Zakresie Ochrony Danych Osobowych [Polityka Bezpieczeństwa].
§1.
OCHRONA DANYCH OSOBOWYCH


1. Zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych przetwarzanie danych osobowych dokonywane przez Agrosystems Sp. z o.o. odbywa się w celach marketingowych w ramach prowadzonej działalności gospodarczej.
2. Przy przetwarzaniu danych osobowych Agrosystems Sp. z o.o przestrzega postanowień Polityki Bezpieczeństwa, ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).


§2.
ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH


1. Przetwarzanie danych osobowych jest dopuszczalne, jeżeli osoba [Podmiot], której dane dotyczą, wyrazi zgodę na ich przetwarzanie. Niewyrażenie zgody na przetwarzanie danych osobowych jest równoznaczne z brakiem możliwości przetwarzania danych.
2. Wyrażenie zgody na przetwarzanie danych osobowych odbywa się poprzez zaznaczenie stosownego pola w formularzu zamieszczonym na witrynie internetowej lub w formie pisemnego oświadczenia w przypadku dokumentów papierowych.
3. W przypadku przetwarzania danych osobowych pracowników Agrosystems Sp. z o.o, następuje ono w zakresie i wymiarze przewidzianym przez odpowiednie przepisy Kodeksu Pracy i w celach związanych z jej świadczeniem.


§3.
PRZETWARZANIE DANYCH OSOBOWYCH


1. Obszar, w którym przetwarzane są dane osobowe to pomieszczenia siedziby Agrosystems Sp. z o.o
2. Przetwarzanie danych osobowych odbywa się w systemie informatycznym Agrosystems Sp. z o.o
3. Przetwarzanie danych może odbywać się na serwerach należących do Agrosystems Sp. z o.o lub na serwerach należących do osób trzecich, respektujących niniejszą Politykę Bezpieczeństwa.
4. Dane osobowe są przetwarzane przez Agrosystems Sp. z o.o wyłącznie w celach marketingowych związanych z prowadzoną działalnością gospodarczą.


§4.
ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH


1. Elektronicznymi nośnikami informacji zawierającymi dane osobowe są dyski serwera umieszczonego w serwerowni zabezpieczonej przed nieautoryzowanym dostępem w sposób mechaniczny, na którym, dane przechowywane będą przez okres wymagany stosownymi przepisami.
2. System informatyczny umożliwiający dostęp do informacji zawartych na serwerze zlokalizowany jest na stacjach roboczych pracowników posiadających upoważnienia, o których mowa w §5.
3. Dostęp do systemu informatycznego, w którym są przetwarzane dane osobowe jest zabezpieczony za pomocą procesu uwierzytelniania z wykorzystaniem hasła.
4. Użytkownicy zobowiązani są do zakończenia albo zablokowania sesji w przypadku oddalania się od stanowiska roboczego.
5. Sieć komputerowa jest zabezpieczona przed nieuprawnionym dostępem z sieci Internet poprzez zastosowanie firewalla programowego chroniącego zasoby Agrosystems Sp. z o.o.
6. Oprogramowanie antywirusowe działające w czasie rzeczywistym na wszystkich komputerach wykrywa i eliminuje wirusy, konie trojańskie, robaki komputerowe, oprogramowanie szpiegujące i kradnące hasła oraz inne niebezpieczne oprogramowanie.
7. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe tworzone są poprzez zapisanie danych na płytach CD lub innych nośnikach danych elektronicznych. Zapisywane dane powinny zostać uprzednio skompresowane do jednego z formatów: ZIP, TAR, GZ lub RAR oraz zabezpieczone hasłem (np. z wykorzystaniem programu Win RAR lub 7-Zip). Kopie zapasowe przechowuje się w zamykanych na klucz szafach, do których dostęp mają tylko osoby posiadające stosowne upoważnienia, o których mowa w § 5.
8. Nie obowiązują żadne dedykowane procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych z uwagi na stosowanie przez Agrosystems Sp. z o.o standardowych działań przewidzianych i zalecanych przez producentów używanego oprogramowania operacyjnego sprzętu stanowiącego przedmiotowe nośniki informacji.


§5.
DOSTĘP DO DANYCH OSOBOWYCH


1. Dostęp do danych osobowych mogą mieć tylko osoby posiadające stosowne pisemne upoważnienie zgodnie z art. 37 ustawy z dnia 27 sierpnia 1997 roku o ochronie danych osobowych.
2. Upoważnienia do przetwarzania danych osobowych obejmują wgląd do danych osobowych, rejestrów, raportów, zestawień oraz do wprowadzania i modyfikowania danych osobowych, oraz sporządzania raportów, zestawień, sprawozdań.
3. Upoważnienia udziela Administrator Bezpieczeństwa Informacji [ABI] po konsultacji z Zarządem Agrosystems Sp. z o.o. W tym samym trybie dokonuje się wszelkich modyfikacji związanych z nadawaniem i odwoływaniem upoważnienia.
4. W celu nadania dalszych uprawnień do przetwarzania danych osobowych lub zmiany ich zakresów dla pracowników i współpracowników Agrosystems Sp. z o.o, ABI przydziela danemu pracownikowi indywidualny identyfikator oraz hasło.
5. Upoważnienia, o których mowa powyżej obowiązują do dnia pisemnego ich odwołania,. Upoważnienie wygasa z chwilą ustania zatrudnienia upoważnionego pracownika.
6. Agrosystems Sp. z o.o prowadzi rejestr upoważnień.
7. Każdy pracownik posiadający upoważnienie do przetwarzania danych osobowych zobowiązany jest podpisać oświadczenie o zachowaniu w tajemnicy danych osobowych, do których uzyskał dostęp.
8. Wszyscy pracownicy przetwarzający dane osobowe mają obowiązek zapoznania się z powszechnie obowiązującymi przepisami oraz przepisami wewnętrznymi Agrosystems Sp. z o.o dotyczącymi polityki bezpieczeństwa w zakresie ochrony danych osobowych.


§6.
ADMINISTROWANIE


1. Wyznacza się ABI – odpowiedzialnego za nadzór nad zapewnieniem bezpieczeństwa danych osobowych.
2. W Agrosystems Sp. z o.o stanowisko ABI powierza się Justyna Wojtaszczyk.
3. ABI jest jednocześnie Administratorem Systemu.
4. Dostęp do formularza danych osobowych zabezpieczony jest hasłem.


§7.
ŚRODKI ZABEZPIECZAJĄCE ZBIÓR DANYCH OSOBOWYCH


1. Agrosystems Sp. z o.o. w celu zapewnienia ochrony danych osobowych stosuje wszelkie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
2. Wprowadzanie, modyfikacja i usuwanie danych jest wykonywane wyłącznie przez pracowników posiadających stosowne upoważnienia.
3. Pracownik użytkujący komputer przenośny umożliwiający dostęp do danych osobowych zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem Agrosystems Sp. z o.o
4. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
a. likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
b. przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
c. naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
5. Dane osobowe przetwarzane przez Agrosystems Sp. z o.o. na nośnikach materialnych przechowywane są wyłącznie w zamkniętych szafach, do których klucze posiadają jedynie upoważnieni pracownicy. Ponadto pomieszczenie w którym przechowywane są dane zabezpieczone jest elektronicznym kontrolerem dostępu.
6. Dane osobowe przetwarzane w celu dopełnienia obowiązku wobec ZUS - Agrosystems Sp. z o.o - baza danych znajduje się na serwerze, dostęp do danych zabezpieczony indywidualnym hasłem.
7. Dane osobowe przetwarzane w celu spełnienia wymogów określonych
przepisami Prawa Pracy - programy: Agrosystems Sp. z o.o - baza danych znajduje się na serwerze, dostęp do danych zabezpieczony indywidualnym hasłem.
8. Dane osobowe przetwarzane w celach marketingowych i reklamowych przechowywane są na:
a. serwerach należących do Agrosystems Sp. z o.o lub firmy trzeciej, która na mocy odrębnej umowy zobowiązała się do przestrzegania Polityki Prywatności i Instrukcji Bezpieczeństwa, zabezpieczonych hasłami i osobnymi zabezpieczeniami serwerowymi.
b. komputerach poszczególnych pracowników, zabezpieczonych indywidualnym loginem i hasłem, przy założeniu, że pracownicy są upoważnieni do przetwarzania i przechowywania danych osobowych.
Wskazane w tym ustępie dane przechowywane są jedynie w celach wskazanych w odrębnych umowach z poszczególnymi podmiotami i za ich uprzednią zgodą wyrażoną w umowie lub osobnym oświadczeniu.


§8.
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH


1. Na mocy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ma prawo powierzyć przetwarzanie danych osobowych innym podmiotom.
2. Powierzenie przetwarzania danych osobowych odbywa się na mocy odrębnej umowy uwzględniającej zapisy Polityki Bezpieczeństwa, ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz w rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
3. Agrosystems Sp. z o.o. ma prawo upoważnić podmiot przetwarzający dane osobowe do wydawania i odwoływania upoważnień do przetwarzania danych osobowych swoim pracownikom.
4. Do przetwarzania danych osobowych uprawnieni są tylko pracownicy podmiotów przetwarzających dane osobowe na zlecenie Agrosystems Sp. z o.o


§9.
POSTANOWIENIA KOŃCOWE


Niniejsza Polityka Bezpieczeństwa może zostać w każdym momencie zmieniona decyzją Zarządu Agrosystems Sp. z o.o. Zmiany Polityki Bezpieczeństwa są obowiązujące od dnia ich umieszczenia na stronie internetowej.