Bydgoszcz dnia 25 maja 2018 r.

Polityka Bezpieczeństwa Danych Osobowych
obowiązująca
w

Syneo.pl spółka z ograniczona odpowiedzialnością spółka komandytowa z siedzibą w Bydgoszczy przy ulicy Fordońskiej 246/1006, wpisana do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy w Bydgoszczy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000671620 , NIP 5542948235 , reprezentowana przez Komplementariusza Syneo.pl Spółka z o. o. reprez. przez Prezesa Zarządu Karola Chęcińskiego

§ 1 Cel i przedmiot polityki bezpieczeństwa danych osobowych

1.    Celem Polityki bezpieczeństwa danych osobowych wprowadzonych w Syneo.pl sp. z o.o., sp. k. w Bydgoszczy jest określenie zasad przetwarzania, ochrony i udostępniania danych osobowych, gromadzonych i przetwarzanych w przedsiębiorstwie prowadzonym przez spółkę zwaną dalej Syneo.pl, jak również czynny nadzór nad procesem przetwarzania danych osobowych w zgodzie z obowiązującymi przepisami prawa;
2.    Polityka bezpieczeństwa danych osobowych w Syneo.pl obowiązuje wszystkie osoby realizujące jakiekolwiek zadania na rzecz i w imieniu Syneo.pl, niezależnie od podstawy prawnej wykonywania tychże zadań oraz stanowiska pełnionego w Syneo.pl, jak i w innych podmiotach kooperujących z Syneo.pl.

§ 3 Podstawa prawna polityki bezpieczeństwa danych osobowych

Przedmiotowa regulacja opracowana została na podstawie:
1) Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
2) Ustawy z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich (Dz. U. z 2018 r. poz. 650);
3) Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 138, 723);
4) Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024) , wydanego na  podstawie  art. 39a  ustawy  z dnia  29  sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r.Nr  101,  poz. 926  i  Nr 153,  poz.  1271 oraz  z  2004 r.Nr 25, poz. 219 i Nr 33, poz. 285);

§ 4 Słownik pojęć Polityki Bezpieczeństwa Danych Osobowych

1. Użyte w niniejszej Polityce bezpieczeństwa danych osobowych pojęcia oznaczają:
1) Polityka bezpieczeństwa lub Polityka – niniejszy dokument opisujący stosowane w Syneo.pl zasady ochrony danych osobowych;
2) Administrator danych – Syneo.pl;
3) IOD – inspektor ochrony danych w rozumieniu art. 37 – 39 RODO;
4) Ustawa – ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych;
5) Rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
6) Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO;
2. W przypadkach, w których Administrator danych – na podstawie przepisów RODO – nie jest do tego zobowiązany i nie powoła lub nie wyznaczy IOD, zadania, które są przewidziane dla IOD w Polityce oraz w RODO, realizuje Administrator danych lub inna osoba przez niego wyznaczona.

§ 5 Zadania Administratora Danych osobowych

I. Zadania Administratora danych osobowych:
1. Administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były:
1) Przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
2) Zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, jak i dalej nieprzetwarzane w sposób niezgodny z tymi celami;
3) Adekwatne, stosowne oraz ograniczone do tego, co niezbędne dla celów, w których są przetwarzane;
4) Prawidłowe i w razie potrzeby uaktualniane, tym samym należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane w celu uniknięcia posiadania danych osobowych, które nie są niezbędne dla celów związanych z prowadzoną działalnością;
5) Przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
6) Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;
7) Przetwarzane przez osoby do tego uprawnione i należycie poinformowane o zakresie, sposobie i celu ich przetwarzania;
3. Administrator danych wyznacza IOD w przypadkach, w których RODO wprowadza taki obowiązek, lub w sytuacji, gdy sam uzna to za konieczne, przy czym obowiązki IOD pełni przełożony pracowników Syneo.pl lub osoba przez niego wyznaczona;
4. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych. Osoby te są zobowiązane zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczania, jak i wszelkie informacje mogące służyć do ich udostępnienia lub przetworzenia w sposób niezgodny z celami polityki;
5. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

II. Zadania IOD
1. IOD powołany przez Syneo.pl odpowiada za bezpieczeństwo systemu informatycznego, w którym przetwarzane są dane osobowe;
2. Do obowiązków IOD należy:
1) Wykonywanie zadań określonych w RODO, a w szczególności w przepisach art. 39 ust. 1 RODO;
2) Nadzór nad przestrzeganiem Polityki Bezpieczeństwa Danych Osobowych i wszelkich dokumentów oraz przepisów prawa będących podstawą obowiązywania Polityki, a także zarządzanie systemem informatycznym służącym do przetwarzania danych osobowych;
3) Nadzór i kontrola systemów informatycznych służących do przetwarzania danych osobowych i osób przy nim zatrudnionych;
4) Nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których przetwarzane są dane osobowe;
5) Nadzór nad wykorzystanym w Syneo.pl oprogramowaniem oraz jego legalnością;
6) Przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe;
7) Podejmowanie odpowiednich działań w celu właściwego zabezpieczania danych oraz bieżące uaktualnianie systemów bezpieczeństwa;
8) Badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych;
9) Zgłaszanie stwierdzonych naruszeń podmiotowi właściwemu zgodnie z brzmieniem art. 33 RODO;
10) Podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystanego do przetwarzania danych osobowych;
11) Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, zawierających dane osobowe;
12) Definiowanie haseł dostępu;
13) Aktualizowanie oprogramowania antywirusowego i innego zmierzającego do zapewnienia realizacji celów Polityki;
14) Wykonywanie kopii zapasowych, ich przechowywanie oraz okresowe sprawdzanie pod kątem ich dalszej przydatności, w przypadku potrzeby ich utworzenia;
15) Przeprowadzenie lub zapewnienie przeprowadzenia i wdrożenia wewnętrznych szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz środków technicznych i organizacyjnych służących przetwarzaniu danych w systemach informatycznych;
16) Sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna;
17) Zapewnienie ochrony i bezpieczeństwa danych osobowych znajdujących się w systemie informatycznym Syneo.pl oraz w tradycyjnych zbiorach danych, ze szczególnym uwzględnieniem danych osób fizycznych;
18) Niezwłoczne informowanie Administratora danych lub osoby przez niego upoważnionej o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych;
19) Podejmowanie, zgodnie z Polityką, stosownych działań w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym oraz danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna;
20) Zapewnienie fizycznego bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna;
21) Zapewnienie bezpieczeństwa funkcjonowania wszystkich urządzeń pracujących w systemie Syneo.pl;
22) Zapewnienie dostępu do systemów informatycznych oraz systemów i baz danych zawierających dane osobowe wyłącznie przez osób uprawnione;
3. IOD prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera:
a) imię i nazwisko osoby upoważnionej;
b) datę nadania upoważnienia;
c) datę ustania upoważnienia;
d) stanowisko pracy osoby upoważnionej;
c) podpis osoby upoważnionej, potwierdzający zapoznanie się ze wszystkimi dokumentami regulującymi bezpieczeństwo przetwarzania danych osobowych w Syneo.pl;

III. Zadania pracowników, współpracowników oraz podmiotów współpracujących z Syneo.pl:
1. Wszyscy pracownicy, współpracownicy oraz podmioty współpracujące z Syneo.pl (dalej łącznie zwani „pracownikami”) mają obowiązek przestrzegać postanowień zawartych w niniejszej Polityce oraz wszelkich innych dokumentach realizujących cele Polityki;
2. Przed dopuszczeniem do świadczenia pracy przy przetwarzaniu danych osobowych, każdy pracownik zobowiązany jest do zapoznania się z przepisami dotyczącymi ochrony danych osobowych, w tym z niniejszą Polityką. Fakt zapoznania się zostaje potwierdzony osobiście podpisanym oświadczeniem. Oświadczenie podlega włączeniu do akt pracownika lub dokumentów związanych z inna podstawą świadczenia usług w Syneo.pl;
3. Pracownicy zobowiązani są dbać o bezpieczeństwo powierzonych im do przetwarzania, archiwizowania lub przechowywania danych zgodnie z obowiązującą w placówce Polityką bezpieczeństwa, w tym między innymi:
1) chronić dane przed dostępem osób nieupoważnionych,
2) chronić dane przed przypadkowym zniszczeniem, utratą lub modyfikacją,
3) chronić wszelkie nośniki zawierające dane osobowe, w szczególności nośniki magnetyczne, optyczne, nośniki pamięci półprzewodnikowej oraz wszelkiego rodzaju druki i dokumenty, przed dostępem osób nieupoważnionych oraz przed przypadkowym zniszczeniem,
4) utrzymywać w tajemnicy hasła, częstotliwość ich zmiany oraz szczegóły technologiczne, także po ustaniu zatrudnienia w Syneo.pl,
4. Zabrania się pracownikom:
1) ujawniania danych, w tym danych osobowych zawartych w obsługiwanych systemach,
2) kopiowania baz danych lub ich części bez wyraźnego upoważnienia,
3) przetwarzania danych w sposób inny, niż wynikający z obowiązujących przepisów prawa,
5. Pracownicy zobowiązani są do udzielania pomocy IOD oraz do realizowania jego zaleceń przy wykonywaniu zadań dotyczących ochrony danych osobowych;
6. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych lub rażące nienależyte wykonanie zobowiązania, w szczególności przez osobę, która wobec naruszenia nie powiadomiła o tym IOD;

§ 6 Zakres obowiązywania

1. Niniejsza polityka dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Syneo.pl we wszelkiego rodzaju kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Syneo.pl;
2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, stanowi załącznik do Polityki;
3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów komputerowych zastosowanych do przetwarzania danych stanowi załącznik do Polityki;
4. Ewidencja osób upoważnionych do przetwarzania danych osobowych stanowi załącznik do Polityki;
5. Niezależnie od praw i obowiązków, określonych w niniejszej Polityce, przetwarzanie danych osobowych zawartych w dokumentacji i bazach danych prowadzonych w Syneo.pl odbywa się w zakresie i zasadach określonych w przepisach powszechnie obowiązujących, w szczególności w przepisach zawierających:
a) Podstawę przetwarzania danych osobowych;
b) Zakres gromadzonych i przetwarzanych danych osobowych;
c) Formę przetwarzania danych osobowych;
d) Podstawę i zakres udostępniania danych osobowych posiadanych przez Syneo.pl oraz podmiot uprawniony do dostępu do tych danych osobowych;
e) Okres przetwarzania i przechowywania tych danych osobowych.
6. Dane osobowe przetwarzane w systemach informatycznych przechowywane są na serwerach zlokalizowanych w siedzibie Syneo.pl w budynku przy ul. Fordońskiej 246/1006;
7. W odniesieniu do danych osobowych pracowników i współpracowników oraz innych podmiotów współpracujących z Syneo.pl, a także innych danych znajdujących się w dyspozycji Syneo.pl ich przetwarzanie może być prowadzone na podstawie odrębnej umowy o powierzenie przetwarzania danych osobowych z wykorzystaniem specjalistycznego oprogramowania będącego w dyspozycji podmiotu przetwarzającego powierzone dane, który na zlecenie Syneo.pl prowadzi obsługę rachunkowo-księgową. Powyższe nie wyklucza powierzenia danych innym podmiotom na podstawie odrębnej umowy powierzenia.

§ 7 Naruszenie Polityki bezpieczeństwa danych osobowych

1. Na potrzeby niniejszej Polityki Syneo.pl ustala, iż zdarzenia naruszające bezpieczeństwo danych osobowych lub grożące takim naruszeniem dzielą się na:
a) zagrożenia losowe zewnętrzne, w szczególności pożar, powódź, brak zasilania, które mogą prowadzić do utraty integralności danych, zniszczenia i uszkodzenia infrastruktury technicznej systemu oraz zakłócenia ciągłości jego pracy;
b) zagrożenia losowe wewnętrzne, w szczególności pomyłki pracowników, IOD, awarie sprzętowe, błędy oprogramowania, które mogą prowadzić do zniszczenia danych, zakłócić ciągłość pracy systemu, powodować naruszenie poufności danych, integralności danych oraz ich prawidłowości;
c) zagrożenia zamierzone, świadome i celowe, które polegać mogą na nieuprawnionym dostępie do systemu z jego wnętrza, nieuprawnionym przekazie danych, pogorszeniu jakości sprzętu i oprogramowania, bezpośrednim zagrożeniu materialnych składników systemu.
2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia ochrony danych osobowych, w tym zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to w szczególności:
a) sytuacje losowe, nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, w szczególności pożar, zalanie pomieszczeń, katastrofa budowlana;
b) rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji, w tym danych osobowych, w szczególności prace na danych osobowych w celach prywatnych, nie zamknięcie pomieszczenia, w którym znajduje się komputer lub urządzenie albo element wyposażenia do przechowywania danych osobowych, nieprawidłowe wylogowanie się lub zaniechanie wylogowania się z systemu;
c) niewłaściwe parametry środowiska, w którym pracuje sprzęt komputerowy, w szczególności nadmierna wilgotność lub zbyt wysoka temperatura, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych;
d) awaria sprzętu lub oprogramowania albo urządzenia lub elementu wyposażenia do przechowywania danych osobowych, w szczególności dokumentacji personalnej, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia zabezpieczeń lub ochrony danych, a także niewłaściwe działanie serwisu;
e) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie;
f) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie;
g) próba modyfikacji lub modyfikacja danych albo zmiana w strukturze danych bez odpowiedniego upoważnienia lub wbrew brzmieniu przepisów prawa;
h) niedopuszczalna manipulacja danymi osobowymi w systemie;
i) ujawnienie osobom nieupoważnionym danych osobowych lub procedury przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń;
j) odstępstwa od założonego rytmu pracy wskazujące na złamanie lub zaniechanie ochrony danych osobowych, w tym praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywych nieautoryzowanych próbach logowania;
k) istnienie nieautoryzowanych kont dostępu do danych;
3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc i urządzeń służących do przechowywania danych osobowych na papierowych nośnikach, wydrukach, lub innych elektronicznych nośnikach zewnętrznych tych danych.

§ 8 Sposoby ochrony danych osobowych

1. Podstawowym sposobem zabezpieczenia danych przetwarzanych w systemie informatycznym i dostępu do nich w Syneo.pl jest system definiowania loginów i haseł osób upoważnionych do przetwarzania danych osobowych. Są to zabezpieczenia programowe (logiczne) wmontowane w eksploatowane systemy uniemożliwiające dostęp do systemu osobom nieupoważnionym;
2. Podstawowym sposobem zabezpieczenia danych przetwarzanych w formie pisemnej tj. na papierowych nośnikach danych, w tym dokumentacji osobowych, jest ograniczenie dostępu do niej za pomocą elementów zabezpieczeń fizycznych poprzez ograniczenie dostępu do pomieszczeń i szaf lub innego wyposażenia biurowego, w których przechowywane są te dokumenty oraz organizacyjnych poprzez nadawanie, weryfikowanie i kontrolowanie dostępu do tych danych przez upoważnionych pracowników;
3. Zalogowanie się do systemu informatycznego wymaga podania loginu i hasła. Każdy upoważniony pracownik samodzielnie ustala i zmienia hasło systemowe, hasła mogą być zmieniane przez bezpośredniego przełożonego oraz osobę zarządzającą;
4. IOD ma dostęp do wszystkich loginów i haseł stosowanych przez wszystkich pracowników;
5. Hasła systemowe powinny być zmieniane nie rzadziej, niż co 90 dni;
6. Na każdym komputerze pracującym w systemie, który posiada dostęp do Internetu, jest zainstalowany odpowiedni program antywirusowy adekwatny do stopnia zagrożenia i istotności chronionych danych;
7. Wydruki zawierające dane osobowe powinny znajdować się w miejscu, które uniemożliwia dostęp osobom postronnym.

§ 9 Osobowa procedura ochronna

1. Przed rozpoczęciem pracy użytkownik ma obowiązek sprawdzić, czy stan urządzenia, zarówno komputera, jak i pomieszczenia oraz urządzenia do przechowywania danych na papierowych nośnikach nie wskazuje na naruszenie lub próbę naruszenia danych osobowych;
2. Użytkownicy mogą zakończyć pracę po wylogowaniu się z systemu. Osoby te są obowiązane do wylogowania się z sytemu także w przypadku czasowego opuszczenia stanowiska pracy, odstępstwo od powyższej zasady możliwe jest jedynie w uzasadnionych okolicznościami sytuacjach;
3. W przypadku wykrycia korzystania z danych osobowych przez osoby nieuprawnione lub naruszenia zabezpieczeń dostępu do systemu, każdy kto stwierdził powyższe naruszenie, winien o tym powiadomić niezwłocznie IOD.

§ 10 Przedmiotowa procedura ochronna

1. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych;
2. Za wykonywanie kopii zapasowych, umożliwiających odtworzenie sprawności systemu, odpowiada każdy pracownik lub IOD. Są one przechowywane na serwerze oraz na nośnikach zewnętrznych. Nośniki zewnętrzne Syneo.pl przechowuje poza obszarem przetwarzania danych, o którym mowa w załączniku zawierającym wykaz budynków i pomieszczeń;
3. Z nośników magnetycznych kopie zapasowe usuwa się niezwłocznie po ustaniu ich użyteczności w taki sposób, aby nie można było odtworzyć ich zawartości.

§ 11 Kontrola ochrony danych osobowych

1. W ramach monitoringu i kontroli systemu należy przeprowadzić przede wszystkim następujące działania:
a) okresowe sprawdzanie kopii zapasowych pod względem przydatności do odtworzenia danych;
b) kontrola ewidencji nośników magnetycznych i optycznych;
c) sprawdzanie częstotliwości zmian haseł;
d) bieżąca kontrola sprawdzania procedur ochrony danych osobowych;
2. IOD przeprowadza kontrole oraz dokonuje ocen stanu bezpieczeństwa danych osobowych;
3. Ponadto nie rzadziej niż raz na 6 miesięcy IOD dokonuje analizy zagrożeń dla danych osobowych zgromadzonych przez Syneo.pl. Wnioski z analizy zawiera raport sporządzony przez IOD.

§ 12 Zasady postępowania na wypadek udostępnienia urządzeń osobom trzecim

1. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
a) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
b) przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
c) naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie, albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora danych lub w inny sposób gwarantujący zachowanie poufności tych danych;
2. Wydruki zawierające dane osobowe po ich wykorzystaniu są niszczone w sposób uniemożliwiający odczytanie znajdujących się na nich danych.

§ 13 Obowiązki w przypadku wykrycia naruszenia postanowień Polityki

1. Każda osoba wykonująca jakiekolwiek zadania na rzecz lub w imieniu Syneo.pl, która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony danych osobowych, zobowiązana jest niezwłocznie informować o tym IOD i Administratora danych;
2. Obowiązek, o którym mowa w ust. 1, dotyczy także sytuacji, gdy stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci w odniesieniu do elektronicznych zbiorów danych mogą wskazywać na naruszenie zabezpieczeń tych danych;
3. Osoba wykonująca jakiekolwiek zadania przy przetwarzaniu danych osobowych, która uzyskała informację lub sama stwierdziła naruszenie zabezpieczenia bazy danych osobowych w systemie informatycznym lub naruszenie zabezpieczenia zbioru danych przetwarzanych na papierowych nośnikach, zobowiązana jest niezwłocznie powiadomić o tym IOD, a przypadku jego nieobecności, Administratora danych;
4. IOD w pierwszej kolejności powinien:
a) ustalić wszelkie okoliczności związane z tym zdarzeniem, w szczególności dokładny czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas samodzielnego wykrycia tego faktu;
b) niezwłocznie wygenerować i wydrukować (jeżeli zasoby systemu na to pozwalają) wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem, przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, a zwłaszcza do określenia skali naruszeń i metody dostępu do danych osobowych nieuprawnionej osoby;
c) niezwłocznie podjąć dalsze odpowiednie kroki w celu powstrzymania lub ograniczania dostępu do danych osoby nieuprawnionej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów jej ingerencji, w szczególności przez:
I) fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie nieuprawnionej, w szczególności poprzez dostęp z zewnątrz;
II) przejściowe ograniczenie dostępu dla niektórych osób do danych osobowych przetwarzanych na papierowych nośnikach, w tym do dokumentacji osobowej, oraz dokonanie weryfikacji uprawnień do przetwarzania takich danych osobowych, jak również sprawdzenia i weryfikacji ustalonych zasad obiegu dokumentów, zawierających dane osobowe;
III) zmianę hasła do konta, poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby włamania;
6. Po wyeliminowaniu bezpośredniego zagrożenia IOD powinien przeprowadzić wstępną analizę stanu systemu informatycznego, w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych;
7. W tym celu IOD powinien sprawdzić w szczególności:
a) stan urządzeń wykorzystywanych do przetwarzania danych osobowych;
b) zawartość zbioru danych osobowych;
c) sposób działania programu;
d) jakość komunikacji w sieci;
e) możliwość obecności wirusów komputerowych;
8. Po dokonaniu czynności, o których mowa powyżej, IOD powinien przeprowadzić szczegółową analizę stanu systemu informatycznego obejmującego identyfikację:
a) rodzaju zaistniałego zdarzenia;
b) metody dostępu do danych osoby nieuprawnionej;
c) skali zniszczeń;
9. Po przywróceniu normalnego stanu działania systemu przetwarzania danych osobowych, jeżeli nastąpiło uszkodzenie bazy danych lub zbioru tradycyjnego, niezbędne jest odtworzenie jej z dostępnych źródeł, w tym z ostatniej kopii zapasowej, z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego dostępu tą samą drogą przez osobę nieuprawnioną;
10. Po przywróceniu właściwego stanu bazy danych osobowych, należy przeprowadzić szczegółową analizę przyczyny naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. Jeśli przyczyną był:
a) błąd osoby wykonującej jakiekolwiek zadania przy przetwarzaniu danych osobowych w systemie informatycznym, należy przeprowadzić szkolenie osób biorących udział przy przetwarzaniu danych;
b) uaktywnienie wirusa, należy ustalić źródło jego pochodzenia oraz zainstalować zabezpieczenia antywirusowe lub sprawdzić stan istniejących zabezpieczeń;
c) zaniedbanie ze strony osoby wykonującej jakiekolwiek zadania przy przetwarzaniu danych osobowych, należy wyciągnąć odpowiednie konsekwencje;
d) włamanie w celu uzyskania bazy danych osobowych, należy dokonać szczegółowej analizy wdrożonych środków zabezpieczających w celu zapewnienia skutecznej ochrony danych osobowych;
e) zły stan urządzenia, w tym urządzenia do przechowywania danych utrwalonych na papierowych nośnikach, lub sposób działania programu, należy niezwłocznie przeprowadzić kontrolne czynności serwisowe;
11. IOD zobowiązany jest przygotować szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia;
12. Raport ten IOD niezwłocznie przekazuje Administratorowi danych, a w przypadku jego nieobecności osobie uprawnionej przez Administratora danych;
13. IOD w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia, zgodnie z brzmieniem art. 33 RODO
14. Zgłoszenie wyszczególnione w § 13 ust 13 powinno zawierać:
a) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

§ 14 Dokumentowania realizacji celów Polityki

1. Rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 RODO, stanowi załącznik do Polityki;
2. Rejestr, o którym mowa w§ 14, ust. 1, ma formę pisemną oraz formę elektroniczną;
3. Rejestr wszystkich kategorii czynności przetwarzania dokonywanych przez pracowników w imieniu Administratora danych, o którym mowa w art. 30 ust. 2 RODO, stanowi załącznik do Polityki;
4. Rejestr, o którym mowa w § 14, ust. 3, ma formę pisemną oraz formę elektroniczną;
5. Rejestr przypadków naruszenia lub podejrzenia naruszenia bezpieczeństwa przetwarzania danych osobowych, o którym mowa w art. 33 ust. 5 RODO, stanowi załącznik do Polityki.

 

Polityka dotycząca Cookies

Niniejsza polityka ciasteczek określa sposób wykorzystywania i ochrony informacji, które są udostępniane podczas korzystania z tej strony. Zapewniamy, że prywatność jest chroniona. Kiedy poprosimy o podanie pewnych informacji, dzięki którym możesz zostać zidentyfikowany podczas korzystania z tej strony, to mogą Państwo mieć pewność, że będą one używane zgodnie z niniejszą polityką prywatności. Co jakiś czas możemy zmienić tę politykę poprzez aktualizację strony. Należy wtedy sprawdzić tę stronę, aby upewnić się, czy są Państwo zadowoleni ze zmian.

Co to są ciasteczka?
Pliki cookie (tzw. „ciasteczka”) to małe pliki wysyłane z serwerów odwiedzanych stron internetowych oraz aplikacji i przechowywane przez przeglądarki internetowe i inne rozwiązania technologiczne na komputerach osobistych. Ciasteczka są stosowane najczęściej w przypadku liczników, sond, sklepów internetowych, stron wymagających logowania, reklam i do monitorowania aktywności odwiedzających.

Do czego wykorzystujemy ciasteczka?
Pliki cookie są bardzo pożyteczne.  Raz się zgodzisz, plik jest dodawany i pomaga analizować ruch sieciowy i pozwala wiedzieć, kiedy użytkownik odwiedza daną witrynę. Cookies pozwalają aplikacjom internetowym reagować na użytkownika jako na konkretną osobę. Aplikacja internetowa może dostosować swoje działanie do potrzeb, upodobań użytkowników poprzez zbieranie i zapamiętywanie informacji dotyczących preferencji.
Używamy cookies w celu identyfikacji, które strony są używane. To pomaga nam analizować dane o ruchu na naszej stronie internetowej i ulepszania jej, w celu dostosowania do potrzeb klienta. Używamy tych informacji tylko dla celów statystycznych i analizy danych, a następnie  usuwamy z systemu.

Ogólnie, cookies pomagają nam zapewnić użytkownikom lepszą stronę, poprzez umożliwienie nam monitorowania, które strony mogą okazać się przydatne, a które nie. Cookie w żaden sposób nie daje nam dostępu do komputera ani żadnych informacji o konsumentach, poza danymi, którymi zdecydują się z nami podzielić. Każdy użytkownik może wybrać, czy zaakceptować lub odrzucić pliki cookie. Większość przeglądarek internetowych automatycznie akceptuje pliki cookie, ale zazwyczaj można zmodyfikować ustawienia przeglądarki, aby odrzucać pliki cookie. Jednakże to może uniemożliwić pełne korzystanie z witryny.

Co robimy z zebranymi informacjami?
Potrzebujemy tych informacji, aby zrozumieć Twoje potrzeby i zapewnić naszym klientom lepszą obsługę, w szczególności z następujących powodów:

  • Wewnętrzna ewidencja
  • Ulepszenie naszych produktów oraz usług
  • Okresowe wysyłanie promocyjnych wiadomości o nowych produktach, ofertach specjalnych lub innych informacji, które naszym zdaniem mogą się okazać interesujące, przy użyciu adresu e-mail, który został udostępniony
  • Od czasu do czasu, korzystamy również z tych informacji, by skontaktować się z użytkownikami w celu przeprowadzenia badań rynkowych. Możemy się skontaktować przez e-mail, telefonicznie, faksem lub pocztą. Możemy wykorzystać te informacje, aby dostosować stronę zgodnie z własnymi interesami.

Jak zmienić ustawienia lub wyłączyć pliki cookie?
Jeżeli uważasz, że obecność plików cookie narusza Twoją prywatność, możesz w każdej chwili je wyłączyć albo dla konkretnej witryny albo w ogóle dla wszystkich połączeń z Twojej przeglądarki.

W przeglądarce Mozilla Firefox
W menu „Narzędzia” wybierz „Opcje” i w nich zakładkę „Prywatność”. Przeglądarka daje Ci możliwość zaznaczenia, że nie chcesz być śledzony w ogóle albo usunięcia pojedynczych ciasteczek poszczególnych witryn.

W przeglądarce Microsoft Internet Explorer
W menu „Narzędzia” wybierz „Opcje internetowe” i w nich zakładkę „Prywatność”. Specjalnym suwakiem możesz regulować ogólny poziom prywatności albo przyciskiem „Witryny” zarządzać ustawieniami poszczególnych serwisów internetowych.

W przeglądarce Google Chrome
W menu ukrytym pod trzema poziomymi kreseczkami w prawym górnym rogu przeglądarki wybierz „Narzędzia” a potem „Wyczyść dane przeglądania…”. Oprócz możliwości czyszczenia plików cookie, znajduje się tam link „Więcej informacji”, który prowadzi do szczegółowego opisu funkcji prywatności przeglądarki.

W przeglądarce Opera
Przyciskiem „Opera” w lewym górnym rogu otwórz menu i wybierz w nim „Ustawienia” i dalej „Wyczyść historię przeglądania…”. Oprócz możliwości skasowania już ustawionych plików cookie, jest tam też przycisk „Zarządzaj ciasteczkami…” prowadzący do bardziej zaawansowanych opcji dla poszczególnych witryn.

W przeglądarce Apple Safari
W menu „Safari” wybierz „Preferencje” i w nich zakładkę „Prywatność”. Znajdziesz w niej liczne opcje dotyczące plików cookie.

W telefonach komórkowych, tabletach i innych urządzeniach mobilnych
Każdy model telefonu może tę funkcję obsługiwać w inny sposób. Dlatego zachęcamy do zapoznania się z opcjami prywatności w dokumentacji na stronie internetowej producenta Twojego urządzenia mobilnego.