1. Wstęp
Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) Symposium Cracoviense Sp z o.o. wprowadza nową politykę bezpieczeństwa informacji.
2. Definicje
a) Administrator Danych Osobowych: Symposium Cracoviense Sp. z o.o., z siedzibą w Krakowie (31-511, ul. Rakowicka 1/14, zarejestrowana w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy dla Krakowa Śródmieścia w Krakowie, XI Wydział Gospodarczy pod numerem 0000210115, NIP 6762061612 Regon 351475079. Osoba – Prezes Zarządu lub w przypadku nieobecności Prezesa – członek Zarządu.
b) Użytkownik – osoba upoważniona do przetwarzania danych osobowych. Użytkownikiem może być osoba zatrudniona w spółce, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca praktykę w spółce lub podmiot przetwarzający, z którym Administrator Danych Osobowych zawarł stosowną umowę o powierzeniu przetwarzania danych osobowych.
c) Identyfikator użytkownika – jest to ciąg znaków jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych.
d) Administrator Systemu Informatycznego (ASI) - pracownik odpowiedzialny za funkcjonowanie systemu informatycznego oraz stosowanie technicznej ochrony danych w systemie.
e) Sieć lokalna – połączenie komputerów pracujących w spółce w celu wymiany danych dla własnych potrzeb.
f) System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
g) Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.
h) Zabezpieczenie danych w systemie informatycznym – wdrożenie i wykorzystywanie stosownych środków technicznych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
i) Poufność danych – jest to właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.
j) Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
k) Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
l) Aplikacja – program komputerowy wykonujący konkretne zadanie.
ł) Wysoki poziom bezpieczeństwa – musi występować wtedy, gdy przynajmniej jedno urządzenie systemu informatycznego, służące do przetwarzania danych osobowych, połączone jest z siecią publiczną.
3. Obowiązki Administratora Danych Osobowych
a) Monitorowanie przestrzegania przepisów dotyczących danych osobowych, przeciwdziałanie dostępowi osób niepowołanych do przetwarzania danych osobowych.
b) Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.
c) Organizowanie szkoleń i informowanie pracowników oraz podmiotów przetwarzających, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach wynikających z RODO oraz z innych przepisów Unii Europejskiej lub przepisów krajowych,
d) Podejmowanie odpowiednich działań w przypadku wykrycia naruszenia lub podejrzenia o naruszenie zabezpieczeń.
e) Współpraca z organem nadzorczym tj. z Prezesem Urzędu Ochrony Danych Osobowych, w tym zgłaszanie naruszeń ochrony danych
f) Nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe.
g) Nadzór nad prawidłowością archiwizacji oraz usuwania danych osobowych.
h) Nadzór nad prowadzeniem odpowiedniej dokumentacji.
4. Obszar przetwarzania danych osobowych
Adres: ul.Rakowicka 1/14, 31-511 Kraków, piętro 1 i 2,
5. Rejestr czynności przetwarzania danych osobowych
Administrator Danych Osobowych
Symposium Cracoviense Sp. z o.o., z siedzibą w Krakowie, ul. Rakowicka 1/14, zarejestrowana w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy dla Krakowa Śródmieścia w Krakowie, XI Wydział Gospodarczy pod numerem 0000210115, NIP 6762061612 Regon 351475079
Podmioty przetwarzające
home.pl Spółka Akcyjna z siedzibą w Szczecinie, adres: ul. Zbożowa 4, 70-653 Szczecin, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Szczecin – Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000431335, zarejestrowaną pod numerem NIP: 8522103252, REGON: 811158242
Medicover Sp z o.o. z siedzibą Al. Jerozolimskie 96, 00-807 Warszawa, wpisana do Krajowego Rejestru Sądowego w Warszawie, prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XII Wydział Gospodarczy KRS pod numerem 000021314, NIP 525-15-77-627 Regon 012396508
Netventure sp. z o.o. z siedzibą w Warszawie przy ul. Ojcowskiej 3, 02-918 Warszawa, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego w Sądzie Rejonowym dla m. st. Warszawy, XIII Wydziale Gospodarczym KRS pod numerem 0000347932, NIP: 521-35-53-406, REGON: 142229497.
BOKUN a Tripadvisor Company, Tripadvisor LLC, 400 1st Avenue, Needham, Massachusetts 02494, United States Expedia Inc., 10190 Covington Cross, NV89144 Las Vegas, USA
Viator, Inc. , 360 3rd Street #400, San Francisco, CA 94107, USA
Hotelbeds Switzerland AG, Elias Canetti-Strasse 2, 8050 Zurich
FSI Sp. z o.o. z siedzibą: ul. Gdyńska 19, 31-323 Kraków; Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie Wydział XI Gospodarczy Krajowego Rejestru Sądowego;NIP: 945-19-26-796, Regon: 357238140, KRS: 0000219900.
FreshMail spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa - Śródmieścia w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS: 0000497051;
Fakturownia sp. z o. o. z siedzibą w Warszawie, ul. Juliana Smulikowskiego 6/8, 00-389 Warszawa, wpisana do rejestru przedsiębiorców, prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000572426, NIP PL5213704420;
MEETING APPLICATION spółka z ograniczoną odpowiedzialnością z siedzibą we WROCŁAWIU przy ulicy św. Antoniego 15, 50-073 Wrocław, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI Wydział Gospodarczy KRS, pod numerem KRS 0000433314, NIP 8992738060, REGON 021940356
Google Ireland Limited Gordon House Barrow Street, Dublin 4, Irlandia IE6388047V
IOD
nie został powołany, administrator nie ma obowiązku powołania inspektora
Cel przetwarzania
Realizacja umów zawieranych z klientami, kontrahentami,
Marketing usług własnych,
Przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej,
Realizacja stosunku pracy na podstawie prawa pracy
Kategorie osób
Klienci, kontrahenci, pracownicy
Kategorie użytkowników
Przeszkoleni i upoważnieni pracownicy (ewidencja osób upoważnionych stanowi załącznik nr 2 do Polityki Bezpieczeństwa Informacji)
Podmiot przetwarzający Home.pl na podstawie umowy głównej o świadczeniu usług hostingowych oraz umowy o powierzeniu przetwarzania danych osobowych zwykłych (nazwisko, imię, adres, numer telefonu, adres email)
Podmiot przetwarzający Google Ireland Limited Gordon House Barrow Street, Dublin 4, Irlandia IE6388047V na podstawie umowy głównej o świadczeniu usług mailowych i przechowywania danych oraz umowy o powierzeniu przetwarzania danych osobowych zwykłych (nazwisko, imię, adres, numer telefonu, adres email)
Podmiot przetwarzający Netventure Sp z.o.o. na podstawie umowy głównej o świadczeniu usług hostingowych oraz umowy o powierzeniu przetwarzania danych osobowych zwykłych (nazwisko, imię, adres, numer telefonu, adres email) Podmiot przetwarzający
Meeting Application na podstawie umowy głównej o świadczeniu usług hostingowych oraz umowy o powierzeniu przetwarzania danych osobowych zwykłych (nazwisko, imię, adres, numer telefonu, adres email)
Freshmail na podstawie umowy głównej o świadczeniu usług hostingowych oraz umowy o powierzeniu przetwarzania danych osobowych zwykłych (nazwisko, imię, adres, numer telefonu, adres email)
Fakturownia na podstawie umowy głównej o świadczeniu usług hostingowych oraz umowy o powierzeniu przetwarzania danych osobowych zwykłych (nazwisko, imię, adres, numer telefonu, adres email)
Medicover Sp z o.o. na podstawie porozumienia do Umowy Opieki Medycznej regulującego kwestie przekazywania danych osobowych pracowników oraz członków ich rodzin.
Kategorie danych osobowych
Dane zwykłe:
Klienci i kontrahenci - imię, nazwisko, adres, adres e-mail, nr telefonu – podstawa przetwarzania:
1) Wykonanie umowy
2) Prawnie uzasadnione interesy realizowane przez Symposium Cracoviense, polegające na oferowaniu klientom usług własnych, w celach marketingowych oraz w celu prowadzenia działalności gospodarczej zgodnie z przepisami prawa, w tym prawa podatkowego. Dane są pozyskiwane w wyniku przeprowadzonych zapytań ofertowych, przetwarzania i realizacji zamówień, korespondencji lub w wyniku uczestnictwa w konferencjach, targach, warsztatach, road showach, prezentacjach, itp.
3) Dobrowolna zgoda na przetwarzanie danych osobowych w celach marketingowych
4) Dobrowolna zgoda na przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej,
Pracownicy - imię (imiona) i nazwisko, imiona rodziców, data urodzenia, adres do korespondencji, adres poczty elektronicznej, numer telefonu, wykształcenie, przebieg dotychczasowego zatrudnienia, numer PESEL, miejsce zamieszkania, a także imiona i nazwiska oraz daty urodzenia dzieci pracownika, jeżeli jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy oraz inne dane wynikające z przepisów prawa – podstawa przetwarzania stosunek pracy
Ubiegający się o zatrudnienie w procesie rekrutacji - imię (imiona) i nazwisko, imiona rodziców, data urodzenia, adres do korespondencji, adres poczty elektronicznej, numer telefonu, wykształcenie, przebieg dotychczasowego zatrudnienia – podstawa przetwarzania – dobrowolna zgoda osoby fizycznej składającej CV.
Informacje o przekazaniu do państwa trzeciego lub organizacji międzynarodowej
Symposium Cracoviense Sp z o.o. nie przekazuje danych do państw poza Europejski Obszar Gospodarczy. Współpracuje jednak z kontrahentami i klientami spoza terytorium EOG i w przypadku przejmowania danych osobowych, odbywać się to będzie na podstawie odpowiednich mechanizmów prawnych, takich jak standardowe klauzule umowne lub inne podobne instrumenty prawne przewidziane w RODO.
Planowany termin usunięcia danych osobowych
Dokumentacja pracownicza – 50 lat po wygaśnięciu stosunku pracy.
Umowy, protokoły, dokumentacja finansowa – 5 lat od końca roku kalendarzowego, w którym umowa była realizowana, z wyłączeniem ustalania, dochodzenia oraz ochrony roszczeń.
Dane osobowe zwykłe (imię, nazwisko, adres do korespondencji, numer telefonu oraz adres email) klientów, kontrahentów – po 10 latach przetwarzania danych osobowych lub natychmiast po wniesieniu sprzeciwu wobec takiego przetwarzania.
Dane osobowe przetwarzanie są w systemie informatycznym i w wydrukach papierowych
W skład systemu wchodzą:
a) Dokumentacja papierowa (korespondencja z osobami fizycznymi i przedsiębiorcami).
b) Oprogramowanie komputerowe służące do przetwarzania informacji oraz procedury przetwarzania danych w systemie.
c) Wydruki komputerowe.
d) Do przetwarzania danych osobowych w systemie informatycznym spółki stosuje się aplikacje:
SYMFONIA FINANSE i KSIĘGOWOŚĆ firmy Sage,
SYMFONIA PŁACE firmy Sage,
PŁATNIK firmy Asseco,
dostęp do bankowości elektronicznej Alior Banku
Syskonf
Microsoft Outlook
Microsoft Excel
Microsoft Word
systemy operacyjne telefonów komórkowych: Android i iOS
Meeting Application
Bokun, Tripadvisor Company
Fakturownia
Freshmail
usługi Google Workspace dla biznesu
Zoom Video Communications Inc.
VIMEO, Inc.
W systemie informatycznym stosuje się wysoki poziom bezpieczeństwa przy przetwarzaniu danych osobowych.
Aplikacja PŁACE powiązana jest z aplikacjami PŁATNIK oraz FINANSE i KSIĘGOWOŚĆ. Część danych z programu PŁACE jest dostępna w programie FINANSE i KSIĘGOWOŚĆ oraz wykonywany jest eksport danych z programu PŁACE do programu PŁATNIK oraz do programu FINANSE i KSIĘGOWOŚĆ.
Pozostałe programy są niezależne od siebie.
Środki techniczne i organizacyjne niezbędne do zapewnienia poufności i rozliczalności danych przetwarzanych w systemie
a) Środki ochrony fizycznej:
Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych drzwiami z zamkami.
Dostęp do pokoi jest kontrolowany za pomocą wydawania kluczy tylko osobom uprawnionym.
Zastosowano sejf do przechowywania nośników z kopiami zapasowymi zawierającymi dane osobowe.
b) Środki sprzętowe, informatyczne i telekomunikacyjne:
Stosuje się niszczarkę dokumentów.
Sieć lokalna podłączona jest do Internetu poprzez router spełniający jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną.
Kopie zapasowe wykonywane są raz w tygodniu na nośnik backup.
c) Środki ochrony w ramach oprogramowania urządzeń teletransmisji:
Na komputerach użytkowników systemu działa program antywirusowy.
Na komputerach użytkowników systemu działa programowy firewall.
Dostęp do programów zawierających dane osobowe zabezpieczony jest hasłem.
d) Środki ochrony w ramach oprogramowania systemu:
Dostęp do baz danych osobowych zastrzeżony jest wyłącznie dla uprawnionych pracowników.
Konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych przechowywanych w systemie informatycznym wyłącznie za pośrednictwem aplikacji wymienionych w punkcie d poprzedniego wiersza tabeli.
System informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu odrębnie dla każdego pracownika.
W systemie sieciowym stosuje się mechanizm wymuszający okresową zmianę haseł dostępu.
e) Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych:
Zastosowano identyfikator i hasło dostępu do danych w konkretnej aplikacji.
Dla każdego użytkownika systemu wyznaczony jest odrębny identyfikator.
f) Środki ochrony w ramach systemu użytkowego:
Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem uruchomieniowym.
Zastosowano wygaszacze ekranu w przypadku dłuższej nieaktywności użytkownika.
g) Środki organizacyjne:
Tymczasowe wydruki z danymi osobowymi są po ustaleniu ich przydatności niszczone.
Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do zachowania ich w tajemnicy.
Osoby przetwarzające dane osobowe są przed dopuszczeniem ich do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o zagrożeniach związanych z przetwarzaniem danych osobowych w systemie informatycznym.
Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
Wyznaczono Administratora Systemu Informatycznego.
Napisano Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych.
Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych.
W przypadku, gdy uszkodzenie sprzętu zawierającego nośnik danych, na którym zapisane są dane osobowe wymusza konieczność przekazania go poza siedzibę spółki, nośnik ten należy wymontować.
Procedura postępowania w przypadku naruszenia ochrony danych osobowych
a) Każdy pracownik spółki, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to Administratorowi Danych Osobowych
b) W razie braku możliwości zawiadomienia Administratora Danych Osobowych – Prezesa Zarządu należy zawiadomić innego członka Zarządu lub bezpośredniego przełożonego.
c) Do czasu przybycia na miejsce Administratora Danych Osobowych należy:
niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony, ustalić przyczynę i sprawcę naruszenia ochrony, rozważyć wstrzymanie bieżącej pracy w celu zabezpieczenia miejsca zdarzenia; nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora Danych Osobowych.
d) Po przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych Administrator Danych Osobowych podejmuje następujące kroki: zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy firmy; może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem.
e) Administrator Danych Osobowych dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając Raport – Zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego tj. Urzędu Ochrony Danych Osobowych wg wzoru stanowiącego załącznik Nr 7, który zawiera następujące informacje: wskazanie osoby zawiadamiającej o naruszeniu oraz innych osób zaangażowanych w wyjaśnienie okoliczności naruszenia bezpieczeństwa, określenie czasu i miejsca zawiadomienia o naruszeniu bezpieczeństwa, określenie okoliczności towarzyszących i rodzaju naruszenia, opis podjętego działania oraz ocenę przeprowadzonego postępowania wyjaśniającego. Zgłoszenie o naruszeniu ochrony danych osobowych organowi nadzorczemu zostanie wysłane w ciągu 72 godzin po stwierdzeniu naruszenia.
6. Postanowienia końcowe.
a) Wobec Użytkownika, który w przypadku naruszenia ochrony danych osobowych nie podjął działania określonego w niniejszym dokumencie, a w szczególności nie powiadomił Administratora Danych Osobowych zgodnie z określonymi zasadami wszczyna się postępowanie wyjaśniające.
b) W przypadku zaniedbania czy naruszenia obowiązków pracowniczych Użytkownik będzie ponosić odpowiedzialność na podstawie Kodeksu Pracy, z tytułu niedopełnienia obowiązków pracowniczych, jak też w skrajnych przypadkach odpowiedzialność odszkodowawczą, a nawet karną, gdy naruszenie będzie miało charakter przestępstwa.
c) Administrator Danych Osobowych zobowiązany jest prowadzić ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych wg wzoru określonego w załączniku Nr 2.
7. Spis załączników do „Polityki Bezpieczeństwa Informacji” w Symposium Cracoviense Sp. z o.o.
Załącznik Nr 1. Instrukcja zarządzania systemem informatycznym.
Załącznik Nr 2. Wykaz osób upoważnionych do przetwarzania danych.
Załącznik Nr 3. Wykaz pomieszczeń, w których są przetwarzane dane osobowe.
Załącznik Nr 4. Upoważnienie imienne do przetwarzania danych osobowych.
Załącznik Nr 5. Zobowiązanie użytkownika do zachowania tajemnicy.
Załącznik nr 6 Zgoda na wykorzystanie wizerunku osoby fizycznej
Załącznik Nr 7. Wzór raportu-zgłoszenia o naruszeniu ochrony danych osobowych.
Anna Jędrocha – prezes zarządu
Kraków, dn. 01.03.2023 r.
