Menu Zamknij

/ POLITYKA BEZPIECZEŃSTWA

I. Przepisy wstępne

  1. Na podstawie Rozporządzenia Parlamentu Europejskiego UE 2016/679 z dnia 27.04.2016 r w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz ustawy z dnia 29.08.1997 r o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) został powołany dokument „Polityka bezpieczeństwa”, regulujący zasady, standardy w zakresie wewnętrznej polityki Spółki RES Polska w zakresie ochrony zbiorów danych osobowych.   
  2. Polityka bezpieczeństwa obowiązuje od 25 maja 2018 r.
  3. Administrator danych: RES Polska Spółka z ograniczoną odpowiedzialnością.

II . Zbiory danych osobowych

  1. W Spółce RES Polska funkcjonują zbiory danych osobowych:
  2. zbiór danych osobowych kandydatów do pracy
  3. zbiór danych osobowych kadrowo-płacowy
  4. zbiór danych osobowych współpracowników
  5. zbiór danych kontrahentów
  6. zbiór danych gromadzonych w systemie bazodanowym
  7. zbiór danych księgowych
  • Zbiór danych osobowych kandydatów do pracy – jest to zbiór zawierający podstawowe dane wynikające z odrębnych przepisów takich jak: art. 221 Kodeksu Pracy (KP) oraz § 1 Rozporządzenia Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Celem utworzenia zbioru danych osobowych kandydatów do pracy jest uzyskanie pracownika o kwalifikacjach odpowiadającym wymaganiom oferowanego stanowiska pracy. Zbiór ten ma usprawnić procesy rekrutacyjne w przyszłości.

W procesie rekrutacji Spółka wymaga od kandydata do pracy wyrażenia zgody na udostępnianie danych osobowych. Wzór zgody zawiera załącznik nr 1.

  • Zbiór danych osobowych kadrowo-płacowy – jest to zbiór danych osobowych gromadzone w celu realizacji obowiązków Spółki wynikające z odrębnych przepisów m.in.:
  • ustawie z dnia 26 czerwca 1974 r. Kodeks pracy – w tym m.in. art. 22ust. 2-4 oraz art. 94 pkt 9a KP (ostatnia podstawa prawna wskazuje obowiązek prowadzenia przez pracodawcę dokumentacji pracowniczej),
  • Rozporządzeniu Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika,
  • Rozporządzeniu Ministra Zdrowia i Opieki Społecznej z dnia 30 maja 1996 r. w sprawie prowadzenia badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy,
  • ustawie z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych- np. w zakresie przepisów określających zasady zgłaszania przez pracodawcę swoich pracowników do objęcia obowiązkowym ubezpieczeniem społecznym,
  • ustawie z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych- np. w zakresie przepisów określających zasady zgłaszania pracowników do urzędu skarbowego przez pracodawcę jako płatnika składek.
  • Zbiór danych osobowych współpracowników – zbiór ten zawiera dane osób fizycznych wykonujących pracę na rzecz RES Polska Sp. z o.o. na podstawie umowy o dzieło oraz umowy cywilnoprawnej. Zawiera dane wynikające z odrębnych przepisów m.in.: ustawa z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych- np. w zakresie przepisów określających zasady zgłaszania przez pracodawcę swoich pracowników do objęcia obowiązkowym ubezpieczeniem społecznym.
  • Zbiór danych kontrahentów – dane kontrahentów, partnerów biznesowych lub innych instytucji oraz ich przedstawicieli przetwarzane są w celu prowadzenia bieżącej działalności Spółki m.in.: wystawienia faktur, przeprowadzania windykacji należności, rozrachunków, prowadzenia sprawozdawczości finansowej. Dane tych osób pozyskiwane są podczas kontaktów bezpośrednich (wizytówki), korespondencji elektronicznej, rozmów telefonicznych.  Gromadzone dane wynikają z obowiązków, które nakłada na Spółkę m.in.: Rozporządzenie Ministra Finansów z dnia 03 grudnia 2013 r w sprawie wystawiania faktur.
  • Zbiór danych gromadzonych w systemie bazodanowym – zbiór ten jest tworzony przy wykorzystaniu autorskiego programu komputerowego pisanego wyłącznie na potrzeby bieżącej działalności Spółki. Do programu posiadają dostęp wyłącznie osoby upoważnione. Zbiory danych składających się na system bazodanowy to: zbiór danych kontrahentów w zakresie nazwy przedsiębiorstwa, zbiór danych współpracowników w zakresie: imię i nazwisko, ewentualnie w nielicznych przypadkach data urodzenia. System bazodanowy służy do archiwizowania i analizowania danych w zakresie kontroli bieżącej działalności Spółki.
  • Zbiór danych księgowych – zbiór ten zawiera dane księgowe wynikające z odrębnych przepisów w celu realizacji czynności nakładanych na Spółkę przez odrębne przepisy takie jak: Ustawa z dnia 15.02.1992 r o podatku dochodowym od osób prawnych, ustawa z dnia 29.09.1994 r o rachunkowości, ustawa z dnia 15.09.2000 r Kodeks spółek handlowych   Do zbioru danych księgowych będą miały dostęp wyłącznie osoby upoważnione. Zbiór danych księgowych prowadzony jest w formie papierowej i elektronicznej. Dokumentacja księgowa w formie papierowej przechowywane jest w szafach metalowych zamykanych na klucz, do których mają dostęp wyłącznie osoby upoważnione. Dokumentacja księgowa w formie informatycznej przetwarzana jest za pomocą komercyjnego programu księgowego do rozliczania ksiąg handlowych BZM-FK. Dostęp do programu posiadają wyłącznie osoby upoważnione posiadające indywidualne hasło.   

III. Obowiązki Administratora danych

  1. Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych przed:

– udostępnieniem osobom nieupoważnionym,

– zabraniem przez osobę nieupoważnioną,

– zmianą, utratą lub zniszczeniem przez osobę nieupoważnioną.

  • Zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie by:

– dane osobowe były przetwarzane zgodnie z obowiązującymi przepisami prawa, dobrymi praktykami oraz normami społecznymi,

– dane osobowe zbierane w oznaczonym zgodnym z prawem celu

– dane były merytorycznie poprawne oraz zakres danych był adekwatny do celu zbierania, – – dane były przetwarzane z ograniczeniem czasowym.

  • Zatwierdzenie dokumentacji opisującej sposób przetwarzania danych osobowych, w szczególności:

– Polityki bezpieczeństwa danych osobowych,

– Rejestr czynności przetwarzania danych osobowych

  • Dopuszczenie do przetwarzania danych wyłącznie osób upoważnionych do przetwarzania danych.
  • Nadzorowanie i dbanie o zgodne z prawem przekazywanie danych osobowych.
  • Respektowanie praw osób, których dane dotyczą w zakresie:

– żądania uzupełnienia, uaktualnienia, sprostowania danych,

– wniesienie umotywowanego wniosku do zaprzestania przetwarzania danych,

– wycofanie zgody na przetwarzanie danych osobowych.

  • Zapewnienie przeprowadzania regularnych wewnętrznych sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. 

IV. Obowiązki personelu

  1. Zapoznanie się i stosowanie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.
  2. Zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem.
  3. Informowanie przełożonych o wszelkich zauważonych nieprawidłowościach skutkujących obniżeniem poziomu ochrony danych osobowych.
  4. Przestrzeganie tzw. „zasady czystego biurka” – na biurku powinny znajdować się jedynie dokumenty potrzebne do wykonania bieżącej pracy.
  5. Niszczenie zbędnych dokumentów papierowych oraz nośników zawierających dane osobowe w niszczarkach.
  6. Dbanie o to, by dokumenty zawierające dane osobowe były przechowywane w zamkniętych szafach lub szufladach, lub w inny sposób uniemożliwiający dostęp osobom nieupoważnionym.
  7. W odniesieniu do sprzętu komputerowego i urządzeń teleinformatycznych, a także w związku z korzystaniem z zasobów systemów i aplikacji służących do przetwarzania danych każda osoba jest zobowiązana do dbania o bezpieczeństwo użytkowanego komputera, w tym celu użytkownik ma obowiązek:

– informować przełożonych w przypadku wykrycia zagrożenia lub o fakcie posiadania praw dostępu do zasobów, do których nie powinna mieć dostępu,

– blokować dostęp do komputera podczas opuszczania stanowiska pracy

– zmieniać regularnie hasła dostępu do systemów służących przetwarzaniu danych osobowych

– niezwłocznie zmienić hasło, jeśli istnieje podejrzenie, że hasło mogło zostać poznane przez inną osobę,

– stosować następujące zasady w stosunku do haseł dostępowych:

  • Hasła mogą być zapisywane wyłącznie w postaci zaszyfrowanej,
  • Hasło musi zawierać małe i wielkie litery oraz znaki specjalne

– wykazywać szczególną ostrożność przy odbieraniu poczty elektronicznej przychodzącej od nieznanych adresatów lub o podejrzanym tytule e-maila.

– dbać, aby komputer wyposażony był w stosowne i na bieżąco aktualizowany program ochrony antywirusowej.

– ekran monitora ustawić tak, aby uniemożliwić wgląd w przetwarzane dane przez osoby nieuprawnione. 

– Użytkownicy, którym zostały powierzone komputery przenośne, powinni chronić je przed uszkodzeniami, kradzieżą  i dostępem osób postronnych. Zaleca się ponadto szczególną ostrożność podczas ich transportu, a w szczególności stosowanie się do poniższych zasad:

  • Nie wolno pozostawiać komputera przenośnego bez dozoru,
  • W samochodzie komputer przenośny należy przewozić albo w zamkniętym bagażniku, albo na podłodze w miejscu przeznaczonym na nogi pasażera.
  • Zabronione jest odstępowanie komputera przenośnego osobom trzecim,
  • Przy wychodzeniu z pomieszczenia, w którym zostaje komputer bez nadzoru należy komputer schować do zamykanej szuflady, szafki lub zamknąć pomieszczenie na klucz.
  • Po zakończonym dniu pracy komputer należy zabezpieczyć przed dostępem osób nieuprawnionych i kradzieżą przez zamknięcie go w szafce lub szufladzie zamykanej na klucz.

– Nieprzestrzeganie powyższych zasad może skutkować odpowiedzialnością karną zgodnie z ustawą o ochronie danych osobowych oraz wyciągnięciem konsekwencji służbowych z godnie z kodeksem pracy lub w przypadku umów cywilnoprawnych odpowiedzialnością cywilną.

– Każda osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do podpisania oświadczenia o zachowaniu poufności.     

V. Miejsce przetwarzania/przechowywania zbiorów danych osobowych

w formie elektronicznej

  1. RES Polska Sp. z o.o. posiada licencjonowany program kadrowo płacowy Comarch ERP Optima za pomocą, którego przetwarza dane osobowe pracowników i współpracowników w celu realizacji czynności, na które na pracodawcę nakładają odrębne przepisy.
    1. Spółka RES Polska Sp. z o.o. posiada autorski system informatyczny  tzw. „System bazodanowy”. Na podstawie danych wpisywanych do w/w systemu Spółka jest w stanie kontrolować i prowadzić bieżącą działalność przedsiębiorstwa. Dane zawarte w systemie dotyczącą w minimalnym zakresie danych osobowych pracowników i współpracowników (imię , nazwisko).

Program służy przede wszystkim do ewidencji wykonanej pracy na rzecz kontrahenta.

  • Spółka korzysta z programu Płatnik w celu wykonania ciążących na niej obowiązków nakładanych przez odrębne przepisy.
    • Wszystkie dane zgromadzone w w/w systemach informatycznych zapisywane są na serwer znajdujący się w siedzibie firmy RES Marcin Paruzel. Serwer znajduje się w zamykanym na klucz pomieszczeniu, do którego mają dostęp wyłącznie osoby upoważnione.   
  • Środki organizacyjne i techniczne stosowane w celu

VI. Zabezpieczenia danych osobowych.

  1. Pracownicy lub współpracownicy uzyskają dostęp do zbiorów danych osobowych wymienionych w cz. II po otrzymaniu stosownego upoważnienia nadanego przez administratora danych. (Załącznik nr. 2). Spółka RES Polska w związku z wydawaniem upoważnień do przetwarzania danych osobowych prowadzi ewidencję osób upoważnionych (załącznik nr 3).
  2. W celu zabezpieczenia korzystania przez pracownika lub współpracownika z systemu bazodanowego administrator danych nadaje indywidualny login i hasło.
  3. Każdy pracownik mający dostęp do systemów informatycznych takich jak: płatnik, system kadrowo płacowy optima, system bazodanowy przetwarzających dane osobowe posiada swój indywidualny login i hasło.
  4. Pracownik lub współpracownik mający dostęp do danych osobowych otrzymuje do zapoznania się i stosowania dokument mówiący o obowiązku zachowania tajemnicy firmy (załącznik nr 2).
  5. Użytkownicy systemu bazodanowego i systemu kadrowo płacowego optima wprowadzając dane do systemów są każdorazowo odnotowywani w tych systemach.      
  6. Zastosowano środki ochrony przed szkodliwym oprogramowaniem. Komputery wykorzystywane przez Spółkę posiadają komercyjne zabezpieczenia antywirusowe: Bitdefender GravityZone Business Security
  7. Zastosowano system rejestracji dostępu do systemu informatycznego poprzez logowanie i zakładanie konta do systemu bazodanowego.
  8. System bazodanowy pozwala na rejestrację zmian wykonywanych na poszczególnych danych.
  9. Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych.
  10. Dostęp do systemów informatycznych oraz komputera wymaga uwierzytelnienia z wykorzystaniem identyfikatora i hasła.
  11. Pracownicy działu kadr posiadają indywidualnie nadany certyfikat kwalifikowany (podpis elektroniczny) wystawiony przez firmę Asseco Data Systems SA, który umożliwia podpisywanie dokumentów m.in.: dokumentów wysyłanych do ZUS przy wykorzystaniu aplikacji Płatnik. 
  12. Zbiory w formie papierowej przechowywane są w wyodrębnionym pokoju w metalowych szafach zamykanych na klucz, do których dostęp mają wyłącznie  osoby upoważnione. Pokój zamykany jest na klucz, który posiadają wyłącznie osoby upoważnione.
  13. We wszystkich pomieszczeniach biurowych gromadzone są zbiory danych kontrahentów.
  14. Budynek, w którym przechowywane są zbiory danych osobowych zabezpieczony jest alarmem.