Supremum SEO Sp. z o.o. (zwana dalej „Spółką”) mając na względzie poszanowanie prawa do prywatności, w tym w szczególności prawa osób fizycznych powierzających swoje dane osobowe do właściwej i skutecznej ochrony tych danych oświadcza, iż:

  • podejmuje wszystkie działania niezbędne dla ochrony praw i usprawiedliwionych interesów osób, których dane przetwarza w celu zapewnienia bezpieczeństwa ich danych osobowych,

  • stale podnosi świadomość oraz kwalifikację osób upoważnionych do przetwarzania danych osobowych w zakresie problematyki bezpieczeństwa tych danych,

  • osoby upoważnione do przetwarzania danych osobowych wykonują swoje obowiązki dokładając szczególnej staranności w zakresie zapewnienia bezpieczeństwa danych osobowych.

Zważywszy na zagrożenia związane z przetwarzaniem danych osobowych w systemach informatycznych oraz sieciach telekomunikacyjnych Supremum SEO Sp. z o.o. ustala niniejszy dokument w celu zapewnienia prawidłowej ochrony danych osobowych rozumianej jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz utratą, uszkodzeniem lub zniszczeniem.

Niniejszy dokument został opracowany i wdrożony zgodnie z :

a) Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm., zwaną dalej „Ustawą”),

b) Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100, poz. 1024, zwanym dalej „Rozporządzeniem”).

  1. Postanowienia ogólne

Ilekroć w niniejszym dokumencie jest mowa o:

1. Ustawie – należy przez to rozumieć ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

2. Zbiorze danych osobowych – należy przez to rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

3. Przetwarzaniu danych – należy przez to rozumieć wszystkie czynności wykonywane na danych, w tym szczególnie gromadzenie, utrwalanie, modyfikacja, usuwanie, przechowywanie, przenoszenie i przekazywanie, niezależnie od formy, w jakiej wykonywane są te czynności.

4. Administratorze Danych – należy przez to rozumieć Supremum SEO sp. z o.o. z siedzibą w Krakowie, pod adresem: plac Jana Matejki 10/6B, 31-157 Kraków, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie, XI Wydział Gospodarczy KRS pod numerem 0000345825, o kapitale zakładowym wynoszącym 252.000,00 zł, NIP: 676-241-23-94, REGON: 121128628

5. Administratorze Bezpieczeństwa Informacji – należy przez to rozumieć osobę odpowiedzialną za przestrzeganie zasad ochrony danych osobowych i nadzorowanie bezpieczeństwa przetwarzania danych osobowych, powoływaną przez Administratora danych. Administratorem Bezpieczeństwa Informacji może zostać pracownik jak i osoba zatrudniona na podstawie umowy cywilnoprawnej.

6. Administratorze Systemu Informatycznego – należy przez to rozumieć osobę odpowiedzialną za przestrzeganie zasad ochrony danych osobowych w systemie informatycznym i nadzorowanie przetwarzania danych osobowych w tym systemie. Administratorem Systemu Informatycznego może zostać pracownik jak i osoba zatrudniona na podstawie umowy cywilnoprawnej.

7. Systemie informatycznym – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, zespół zabezpieczeń środków technicznych oraz sieć informatyczną i udostępniane przez nią zasoby.

8. Osobach upoważnionych do przetwarzania danych osobowych – należy przez to rozumieć pracownika, a także osobę zatrudnioną na podstawie umowy cywilnoprawnej, które na podstawie pisemnego upoważnienia udzielonego przez Administratora danych, w ramach wykonywanych czynności przetwarzają dane osobowe.

9. Poufności – należy przez to rozumieć zapewnienie dostępu do danych osobowych wyłącznie Osobom upoważnionym do ich przetwarzania.

10. Integralności – należy przez to rozumieć spójność danych, zapewnienie, że dane nie zostaną zmienione, dodane lub usunięte w nieautoryzowany sposób.

11. Dostępności – należy przez to rozumieć zapewnienie, że osoby upoważnione będą miały dostęp do danych osobowych tylko wtedy, gdy jest to uzasadnione.

12. Rozliczalności – należy przez to rozumieć zapewnienie, że działania osoby upoważnionej do przetwarzania danych osobowych mogą być przypisane w sposób jednoznaczny tylko tej osobie.

  1. Podstawy systemu bezpieczeństwa danych osobowych

  1. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba upoważniona do przetwarzania danych osobowych w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych osobowych.

  2. W celu prawidłowego zabezpieczenia danych osobowych przez osobami nieupoważnionymi, Administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera:

  1. imię i nazwisko osoby upoważnionej,

  2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

  3. identyfikator, jeśli osoba upoważniona została zarejestrowana w systemie informatycznym, służącym do przetwarzania danych osobowych.

  1. Osoby upoważnione do przetwarzania danych osobowych przy przetwarzaniu danych osobowych przy wykorzystaniu Systemu informatycznego są zobowiązane do postępowania zgodnie z „Instrukcją zarządzania informatycznym systemem przetwarzania danych osobowych”

  2. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w związku z wykonywanymi czynnościami służbowymi w trakcie zatrudnienia.

  1. Zarządzanie systemem bezpieczeństwa danych osobowych

1. Osoby upoważnione do przetwarzania danych osobowych powiadamiają niezwłocznie Administratora Bezpieczeństwa Informacji o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych w każdym zbiorze danych lub Systemie informatycznym.

2. Rejestracji podlegają wszystkie przypadki awarii Systemu informatycznego, działania konserwacyjne w Systemie informatycznym oraz jego naprawy.

3. Administrator Bezpieczeństwa Informacji wykonuje swoje obowiązki w szczególności poprzez:

  1. określenie wymagań bezpieczeństwa przetwarzania danych osobowych;

  2. nadzorowanie nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu ochrony przetwarzanych danych osobowych;

  3. prowadzenie dokumentacji opisującej zastosowaną politykę bezpieczeństwa przetwarzania danych osobowych;

  4. przeprowadzanie analiz sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych

  5. przygotowanie oraz przedstawianie Administratorowi danych zaleceń i rekomendacji dotyczących eliminacji ryzyk wystąpienia naruszeń.

  1. Obowiązki pracowników w zakresie zachowania bezpieczeństwa przetwarzanych danych

  1. Każdy pracownik Spółki powinien:

    1. Przestrzegać zasad zachowania bezpieczeństwa podczas pracy w systemie informatycznym;

    2. W należyty sposób chronić przed niedozwolonymi zmianami, nieupoważnionym dostępem, rozpowszechnianiem, uszkodzeniem lub zniszczeniem wszelkiego rodzaju dokumentów przetwarzanych zarówno w formie elektronicznej jak i papierowej, z wiązanych z klientami Spółki;

    3. Brać aktywny udział w szkoleniach dotyczących bezpieczeństwa informacji i systemu informatycznego;

    4. Informować o incydentach w zakresie bezpieczeństwa systemu informatycznego;

    5. Brać aktywny udział we wdrażaniu mechanizmów bezpieczeństwa poprzez opiniowanie możliwości zastosowania określonego rozwiązania przy realizacji zadań danego pracownika;

    6. Bezwzględnie wykonywać polecenia przełożonych w zakresie ochrony informacji i bezpieczeństwa systemu informatycznego;

    7. Po otrzymaniu indywidualnych identyfikatorów i haseł dostępu powinien je zapamiętać i zachować w ścisłej tajemnicy;

  1. Zabrania się:

    1. Zapisywania identyfikatorów i haseł dostępu do systemu informatycznego i programów w miejscach, które umożliwiłyby osobom trzecim zapoznanie się z nimi;

    2. Udostępniania stanowisk roboczych oraz istniejących na nich danych
      (w postaci elektronicznej jak i wydruków) osobom nieupoważnionym;

    3. Wykorzystywania komputerów i zasobów sieci teleinformatycznej w celach innych niż służbowe;

    4. Trwałego lub czasowego kopiowania programów komputerowych w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie;

    5. Udostępniania osobom postronnym programów komputerowych i danych przez możliwość dostępu do zasobów sieci wewnętrznej lub Internetu;

    6. Wykorzystywania oprogramowania lub materiałów ściąganych z Internetu do masowego rozpowszechniania bez wyraźnego upoważnienia;

    7. Używania prywatnych skrzynek mailowych działających na innych serwerach niż urzędowy bez uzgodnienia;

    8. Uruchamiania programów otrzymanych pocztą elektroniczną oraz odczytywania listów o wątpliwej treści;

    9. Kopiowania całości lub części baz danych zawierających dane osobowe na jakichkolwiek nośnikach bez zgody;

  1. Działania Spółki zmierzające do poprawy jakości pracy w systemie informatycznym polegające w szczególności na eliminowaniu możliwości pobierania określonych danych z Internetu, odciążeniu sieci informatycznej poprzez ograniczenie możliwości transferu danych z lub do komputera pracownika, usuwaniu nielegalnego oprogramowania, blokowania dostępu do nielegalnej treści oraz kontroli antywirusowej nie wymagają zgody pracownika.

  1. Fizyczne zabezpieczenie danych osobowych

  1. Dane osobowe przetwarzane są w budynku znajdującym się przy placu Jana Matejki 10/6B, 31-157 Kraków.

  2. Fizyczne zabezpieczenie danych osobowych zapewnia wydzielenie strefy bezpieczeństwa w pomieszczeniach budynku, o którym mowa w pkt. 1 powyżej i ustanowienie kontroli dostępu do pomieszczeń.

  3. W ramach strefy bezpieczeństwa wydzielone są miejsca do przechowywania i przetwarzania danych osobowych.

  4. Przebywanie wewnątrz pomieszczeń przeznaczonych do przechowywania i przetwarzania danych osobowych jest dopuszczalne wyłącznie w obecności Osoby upoważnionej do przetwarzania tych danych.

  5. Wszelkie urządzenia serwerowe, na których dane osobowe są gromadzone i przechowywane umieszczone są w przeznaczonych do tego specjalnie miejscach, które znajdują się w pomieszczeniach objętych strefą bezpieczeństwa.

  6. Zbiory danych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych na dysk lub inny elektronicznych nośnik informacji. Dyski lub inne elektroniczne nośniki informacji są przechowywane zgodnie z pkt 6.

  7. Komputery, z których możliwy jest dostęp do danych osobowych zabezpieczone są hasłem uruchomieniowym, w tym wygaszaniem ekranu w przypadku dłuższej nieaktywności osoby upoważnionej do przetwarzania danych osobowych, a także stosowaniem blokady hasłem podczas dłuższej nieaktywności.

  1. Dodatkowe zabezpieczenia danych osobowych:

  1. Stanowiska komputerowe wykorzystywane do przetwarzania danych osobowych w Systemie informatycznym znajdują się wyłącznie w pomieszczeniach przeznaczonych do przetwarzania danych osobowych.

  2. Każde stanowisko komputerowe służące do przetwarzania danych osobowych w Systemie informatycznych ma zainstalowany program antywirusowy.

  3. W celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników, w każda z osób upoważnionych do przetwarzania danych osobowych rejestruje się do Systemu informatycznego poprzez odrębny identyfikator i hasło.

  4. Pracownik korzystający z komputera przenośnego do przetwarzania danych osobowych poza obszarem, o którym mowa w rozdziale V , zobowiązany jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem.

  1. Zbiory danych

  1. Administrator danych prowadzi wykaz zbiorów danych.

  2. Zakresy danych osobowych przetwarzanych w poszczególnych zbiorach danych osobowych są ustalone w oparciu o strukturę zbiorów danych osobowych prowadzonych w Systemie informatycznym oraz powiązania pól informacyjnych utworzonych w tym systemie.

  3. Zawartość pól informacyjnych, występujących w Systemie informatycznym zastosowanych w celu przetwarzania danych osobowych, musi być zgodna z przepisami Ustawy, która uprawnia Administratora danych do przetwarzania danych osobowych.

  1. Powierzenie przetwarzania danych

  1. Administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie.

  2. Umowa o powierzenie przetwarzania danych określa zakres i cel przetwarzania powierzonych danych osobowych. Przetwarzanie danych osobowych w zakresie i celu niezgodnym z zawartą umową jest zabronione i rodzi odpowiedzialność prawną po stronie podmiotu, któremu powierzono przetwarzanie danych.

  3. Podmiot, któremu powierzono w drodze umowy przetwarzanie danych osobowych, zobowiązany jest do zapewnienia ochrony powierzonych danych w zakresie określonym przepisami prawa.

  4. Administrator danych czuwa nad prawidłowym wykonaniem umowy o powierzenie przetwarzania danych.

  5. Umowa o powierzenie przetwarzania danych osobowych określa termin wypowiedzenia umowy oraz zasady postępowania z powierzonymi danymi osobowymi po wypowiedzeniu umowy.

  6. Umowa o powierzenie przetwarzania danych osobowych musi być zgodna z aktualną Polityką Bezpieczeństwa.

  7. Przed podpisaniem umowy o powierzenie przetwarzania danych osobowych, Spółka zobowiązana jest do zasięgnięcia opinii administratora danych w przedmiocie zgodności umowy z przepisami prawa oraz Polityką Bezpieczeństwa.

  1. Zasady udostępniania danych osobowych

  1. Udostępnianie danych osobowych ze zbioru danych, osobom lub podmiotom uprawnionym do ich otrzymania odbywać się może na pisemny, umotywowany wniosek.

  2. Decyzję o udostępnieniu danych osobowych podejmuje Administrator Danych.

  3. Po otrzymaniu zgody od Administratora Danych, dane do udostępnienia przygotowuje pracownik merytorycznie odpowiedzialny za ich przetwarzanie w terminie 30 dni.

  1. Usuwanie danych

  1. Dane osobowe są przechowywane w sposób uniemożliwiający identyfikację osób, których dotyczą oraz nie dłużej, niż wymaga tego cel, w którym są przetwarzane. Przepisy prawa mogą inaczej określać czas przechowywania danych osobowych.

  2. Decyzję o usunięciu danych lub o zniszczeniu nośników danych podejmuje administrator danych.

  3. Dane osobowe podlegają usunięciu w obszarze przeznaczonym do przetwarzania danych.

  4. Nośniki zawierające dane osobowe oraz informacje o danych osobowych są niszczone w obszarze przeznaczonym do przetwarzania danych pod nadzorem administratora systemu informatycznego.

  5. Na podstawie umowy o powierzenie danych osobowych, dane osobowe oraz nośniki danych osobowych mogą być usuwane i niszczone przez podmiot, któremu powierzono dane osobowe, w sposób uniemożliwiający zapoznanie się z danymi przez osoby nieupoważnione.

  1. Postanowienia końcowe

W sprawach nieuregulowanych niniejsza Polityką mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r., Nr 100, poz. 1024).