• Start
  • Bezpieczeństwo Zakupów

Bezpieczeństwo Zakupów


Rozdział I - Podstawowe definicje
1. Administrator Danych Osobowych – GemUR sp. z o.o. z siedzibą we Wrocławiu;
2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczna, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożlwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań;
3. Dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym;
4. Hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
5. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
6. Nośnik danych – urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej, np. płyta CD, pamięć USB, interfejs USB w komputerze, karta micro SD.
7. Odbiorca danych – każdy, komu udostępnia się dane osobowe, z wyłączeniem:
osoby, której dane dotyczą,
osoby upoważnionej do przetwarzania danych,
przedstawiciela, o którym mowa w art. 31a ustawy,
podmiotu, któremu powierzono przetwarzanie danych osobowych,
organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
8. Polityka - Polityka bezpieczeństwa ochrony danych osobowych w GemUR.
9. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
10. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
11. Usuwanie danych – niszczenie lub modyfikowanie danych osobowych w sposób uniemożliwiający odtworzenie ich treści;
12. Użytkownik – pracownik posiadający uprawnienia do systemu informatycznego, w którym przetwarzane są dane osobowe;
13. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
14. Zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie;
15. Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych  przed ich nieuprawnionym przetwarzaniem;
16. Wykaz skrótów:
ADO – Administrator Danych Osobowych,
GIODO – Generalny Inspektor Ochrony Danych Osobowych – organ do spraw ochrony danych osobowych,
Ustawa – Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. 2014 poz. 1182 ze zm.),
Rozporządzenie – Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dz. U. 2004 r. Nr 100 poz. 1024),
GemUR - GemUR sp. z o.o., adres 50-078 Wrocław, ul. Leszczyńskiego 4 lok 25, REGON 021735780, NIP 8992728972, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Wrocławia Fabrycznej  we Wrocławiu VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000398801.

Rozdział II - Wprowadzenie
1. Niniejsza Polityka stanowi realizację obowiązków wynikających z przepisów dotyczących ochrony danych osobowych w zakresie odnoszącym się do sposobu przetwarzania danych osobowych oraz środków zapewniających ich ochronę.
2. Niniejsza Polityka została opracowana zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. 2014 poz. 1182 ze zm.), Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dz. U. 2004 r. Nr 100 poz. 1024), Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. 2008 r., Nr 229, poz. 1536) oraz innymi obowiązującymi przepisami.
3. Celem polityki bezpieczeństwa jest wdrożenie zasad i reguł postępowania dotyczących ochrony danych osobowych przetwarzanych przez GemUR przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.
4. Zasady bezpiecznego użytkowania systemu informatycznego, w którym przetwarzane są dane osobowe zawiera Instrukcja zarządzania systemem informatycznym, zwana dalej Instrukcją.
5. Zastosowane zabezpieczenia mają na celu zapewnić:
poufność danych t.j. właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,
integralność danych t.j. właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
rozliczalność danych t.j. właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
6. Zasady określone przez Politykę mają zastosowanie do wszystkich:
danych osobowych przetwarzanych przez GemUR zarówno w przypadku danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych, a także w sytuacji, gdy GemUR jest administratorem danych osobowych, oraz gdy przetwarza dane powierzone na podstawie umów zawartych w trybie art. 31 Ustawy,
nośników informacji, na których znajdują się dane osobowe,
lokalizacji – budynków i pomieszczeń, w których przetwarzane są dane osobowe,
pracowników GemUR oraz innych osób mających dostęp do danych osobowych.

Rozdział III - Obowiązki GemUR przetwarzającego dane osobowe jako Administrator Danych Osobowych
1. ADO zobowiązany jest dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Do jego obowiązków należ zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
1.1. Zapewnienie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczenie danych przed:
udostępnieniem osobom nieupoważnionym,
zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy,
zmianą, utratą, uszkodzeniem lub zniszczeniem.
1.2. Zapewnienie legalności przetwarzania danych osobowych, tj. zadbanie aby dane te były przetwarzane zgodnie z prawem, na podstawie jednej z przesłanek określonych w art. 23 ust. 1 Ustawy:
gdy osoba, której dane dotyczą wyrazi na to zgodę,
gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia     
    obowiązku wynikającego z przepisu prawa,
gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą
jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
gdy jest to niezbędne do wykonania określonych prawem zadań
    realizowanych dla dobra publicznego,
gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, przy czym za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych i dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
1.3. Zapewnienie, aby zostały spełnione obowiązki informacyjne, o których mowa w art. 24 i art. 25 Ustawy wobec osoby, której dane dotyczą.
1.4. Zapewnienie, aby dane osobowe były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami z zastrzeżeniem art. 26 ust. 2 Ustawy.
1.5. Zapewnienie, aby dane były merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane.
1.6. Zapewnienie, aby dane były przetwarzane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
1.7. Nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych, w tym Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
1.8. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
1.9. Dopuszczanie do przetwarzania danych wyłącznie osób przeszkolonych i posiadających upoważnienie, wydawanie i anulowanie upoważnień, a także prowadzenie ewidencji osób upoważnionych.
1.10. Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
1.11. Zagwarantowanie pracownikom i innym osobom upoważnionym do przetwarzania danych osobowych odpowiednich warunków i środków zapewniających bezpieczeństwo przetwarzanych danych.
1.12. Zgłaszanie zbiorów danych do rejestracji  GIODO zgodnie z przepisami Ustawy i ich aktualizacja.
1.13. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych poprzez przeprowadzanie okresowych kontroli.
1.14. Prowadzenie postępowań wyjaśniających w przypadku zaistnienia naruszenia bezpieczeństwa danych osobowych.
1.15. Podejmowanie działań mających na celu poprawę funkcjonowanie systemu ochrony danych osobowych.

Rozdział IV - Obowiązki GemUR przetwarzającego dane osobowe na podstawie umowy powierzenia
1. Obowiązki ADO w zakresie zbiorów powierzonych w trybie art. 31 Ustawy:
1.1. Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych przed:
udostępnieniem osobom nieupoważnionym,
zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy,
zmianą, utratą, uszkodzeniem lub zniszczeniem.
1.2. Nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych, w tym Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
1.3. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
1.4. Dopuszczanie do przetwarzania danych wyłącznie osób przeszkolonych i posiadających upoważnienie, wydawanie i anulowanie upoważnień, a także prowadzenie ewidencji osób upoważnionych.
1.5. Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
1.6. Zagwarantowanie pracownikom i innym osobom upoważnionym do przetwarzania danych osobowych odpowiednich warunków i środków zapewniających bezpieczeństwo przetwarzanych danych.
1.7. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych poprzez przeprowadzanie okresowych kontroli.

Rozdział V - Upoważnienie do przetwarzania danych osobowych
1. Do przetwarzania danych osobowych w GemUR mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez ADO.
2. ADO nadaje upoważnienia do przetwarzania danych osobowych po odbyciu szkolenia, o którym mowa w rozdziale VI.
3. Wzór upoważnienia do przetwarzania danych osobowych stanowi Załącznik nr 1 do niniejszej Polityki.
4. Anulowanie upoważnienia do przetwarzania danych osobowych dokonywane jest zgodnie ze wzorem stanowiącym Załącznik nr 2 do Polityki.

Rozdział VI - Szkolenie
1. Każdy pracownik przed dopuszczeniem do pracy ze zbiorami danych osobowych w wersji papierowej lub przed rozpoczęciem korzystania z systemu informatycznego przetwarzającego dane osobowe powinien odbyć szkolenie w zakresie ochrony danych osobowych.
2. Za zorganizowanie szkolenia odpowiada ADO.
3. Zakres szkolenia obejmuje zaznajomienie pracownika z przepisami Ustawy oraz wydanymi na jej podstawie aktami wykonawczymi, a także Polityką oraz Instrukcją obowiązującymi u ADO.
4. Po odbyciu szkolenia, pracownik GemUR składa na piśmie oświadczenie o zapoznaniu się z przepisami o ochronie danych osobowych i zobowiązaniu do zachowania danych osobowych w tajemnicy. Wzór oświadczenia stanowi Załącznik nr 3 do Polityki.

Rozdział VII - Dane wrażliwe
1. Zabrania się przetwarzania danych wrażliwych, z wyjątkiem przypadków, o których mowa w punkcie 2 poniżej.
2. Przetwarzanie danych wrażliwych jest dopuszczalne jeżeli:
osoba, której dane dotyczą wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony,
przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, gdy osoba, której dane dotyczą nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
przetwarzanie jest niezbędne do wykonania zadań ADO odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
przetwarzanie danych dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Rozdział VIII - Powierzanie przetwarzania i udostępnianie danych osobowych
1. Stosownie do treści art. 31 ustawy ADO może powierzyć przetwarzanie danych osobowych innemu podmiotowi w drodze umowy zawartej na piśmie, w celu i w zakresie przewidzianym w umowie. Wzór umowy powierzenia przetwarzania danych osobowych stanowi Załącznik 4 do Polityki.
2. Podmiot, któremu powierzono przetwarzanie danych osobowych zobowiązany jest przez rozpoczęciem przetwarzania podjąć środki zabezpieczające zbiór danych, o których mowa w art. 26-39 Ustawy oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a.
3. Szczegółowy wykaz podmiotów, którym powierzono przetwarzanie danych osobowych zawiera Załącznik nr 5 do Polityki.
4. Udostępnianie danych osobowych odbiorcom danych może nastąpić, podobnie jak przetwarzanie danych, w przypadku spełnienia jednej z przesłanek określonych w art. 23 ust. 1 Ustawy, tj.:
gdy osoba, której dane dotyczą wyrazi na to zgodę,
gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
gdy jest to niezbędne do wykonania określonych prawem zadań    realizowanych dla dobra publicznego,
gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, przy czym za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych i dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
5. Szczegółowy wykaz podmiotów, którym dane osobowe są udostępniane zawiera Załącznik nr 6 do Polityki.

Rozdział IX - Zasady bezpieczeństwa informacji
1. Ochrona danych osobowych realizowana jest poprzez stosowanie zabezpieczeń fizycznych, zabezpieczeń informatycznych oraz procedur organizacyjnych.
2. W zakresie procedur organizacyjnych:
1.1. opracowano i wdrożono dokumentację z zakresu ochrony danych osobowych, w tym Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym,
1.2. pracownicy oraz inne osoby upoważnione do przetwarzania danych osobowych zostały zaznajomione z zasadami dotyczącymi ochrony danych osobowych,
1.3. pracownicy oraz inne osoby przetwarzające dane osobowe zostały zobowiązane do zachowania ich w poufności danych osobowych oraz sposobów ich przetwarzania,
1.4. do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez ADO,
1.5. prowadzona jest ewidencja osób upoważnionych do przetwarzania danych,
1.6. stosowane są pisemne umowy powierzenia przetwarzania danych w trybie art. 31 Ustawy,
1.7. przeprowadzane są regularne przeglądy Polityki oraz Instrukcji oraz dokonuje się ich aktualizacji,
1.8. przeprowadzane są sprawdzenia w zakresie przestrzegania przepisów dotyczących ochrony danych osobowych,
1.9. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych, tj.
dokumenty zawierające dane osobowe przechowywane są w miejscach  wyznaczonych i w taki sposób, aby osoba nieuprawniona nie miała do nich dostępu (stosowanie zasady czystego biurka),
dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów są trwale niszczone w sposób uniemożliwiający odtworzenie treści,
dokumenty zawierające dane osobowe, przed wyrzuceniem do kosza zostają zanonimizowane w taki sposób, aby nie można było odtworzyć ich treści i zidentyfikować osoby, której dane dotyczą, lub zniszczone za pomocą niszczarki,
nośniki informacji z danymi podlegającymi ochronie przechowywane są w szafkach lub pomieszczeniach zamykanych na klucz,
przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
3. Zabezpieczenia fizyczne zostały opisane w Załączniku nr 7 do Polityki.
4. Zabezpieczenia systemu informatycznego zostały szczegółowo opisane w Instrukcji.

Rozdział X - Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarza się dane osobowe
Określenie obszaru pomieszczeń, w których przetwarzane są dane osobowe, w tym miejsca, w których wykonuje się operacje na danych osobowych, jak również miejsc gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe, a także zabezpieczeń zawiera Załącznik 7 do Polityki.

Rozdział XI - Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
Wykaz zbiorów danych osobowych oraz systemów informatycznych wraz ze wskazaniem programów używanych do przetwarzania tych danych został opisany w Załączniku 8 do Polityki.

Rozdział XII - Opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
Opis struktury zbiorów danych osobowych i zakres informacji gromadzonych w danym zbiorze dla każdego zbioru zawiera Załącznik 9 do Polityki.

Rozdział XIII - Sposób przepływu danych pomiędzy poszczególnymi systemami
Zakres przesyłanych danych, podmioty lub kategorie podmiotów, do których dane są przekazywane oraz sposób przesyłania danych pomiędzy systemami informatycznymi, w których przetwarzane są dane osobowe zawiera Załącznik 10 do Polityki.
Rozdział XIV - Postępowanie w przypadku stwierdzenia zagrożenia lub naruszenia zasad ochrony danych osobowych
1. W przypadku stwierdzenia zagrożenia lub naruszenia zasad ochrony danych osobowych, pracownik zobowiązany jest poinformować bezpośredniego przełożonego lub ADO.
2. ADO prowadzi postępowanie wyjaśniające w celu ustalenia zakresu oraz przyczyn zagrożenia lub naruszenia zasad ochrony danych osobowych, a także osób odpowiedzialnych za wstąpienie incydentu.
3. ADO podejmuje działania naprawcze, a także rekomenduje działania zmierzające do zapobieżenia występowaniu podobnych incydentów w przyszłości i wzmocnienia systemu ochrony danych osobowych.
4. Wobec pracownika, który naruszył zasady ochrony danych osobowych wszczyna się postepowanie dyscyplinarne. Naruszenie zasad ochrony danych osobowych postrzegane jest jako ciężkie naruszenie obowiązków pracowniczych.