Polityka bezpieczeństwa informacji w Bodybar

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BODYBAR

25 MAJA 2018

 

Niniejsza „Polityka bezpieczeństwa”, zwana dalej Polityką, została opracowana zgodnie z wymogami § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 

Definicje:

1.    Administrator Danych – Małgorzata Kołodziejczyk Bodybar z siedzibą Leśna 5D, 05-501 Jazgarzewszczyzna, PL, NIP:      PL7121487737 (dalej „Bodybar”)
2.    Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
3.    System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych
4.    Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych
5.    Sieć lokalna – połączenie Systemów informatycznych Administratora Danych wyłącznie dla własnych potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych
6.    Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie
7.    Przetwarzanie danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, w formie tradycyjnej oraz systemach informatycznych
8.    Zabezpieczenie danych w systemie informatycznym – w razie Przetwarzania danych w Systemie informatycznym, wdrożenie i eksploatacja stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem
9.    Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie
10.    Użytkownik strony- osoba fizyczna korzystająca ze strony internetowej Bodybar www.bodybar.com.pl
11.    Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika)

I.    Postanowienia ogólne.

1.    Polityka dotyczy wszystkich Danych osobowych przetwarzanych w Bodybar niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
2.    Cele Polityki realizowane są poprzez zapewnienie Danym osobowym następujących cech:
a)    poufności — właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom;
b)    integralności — właściwości zapewniającej, że Dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c)    rozliczalności — właściwości zapewniającej, że działania podmiotu operującego na Danych osobowych mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
d)    ciągłości — zdolności do niezakłóconego ich przetwarzania, bez przerw uniemożliwiających ich udostępnianie osobom upoważnionym.
3.    Dla skutecznej realizacji Polityki Administrator Danych zapewnia:
a)    odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne;
b)    kontrolę i nadzór nad Przetwarzaniem danych osobowych;
c)    monitorowanie zastosowanych środków ochrony;
4.    Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in. działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
5.    Administrator Danych lub osoba przez niego upoważniona wdraża wszystkie dokumenty wykorzystywane w prowadzeniu Polityki Bezpieczeństwa i zapewnia zgodność niniejszej Polityki z przepisami określającymi zasady przetwarzania danych osobowych, tj. w szczególności:

a)    ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;
b)    rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

II.    Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem

1.    Wszystkie osoby przetwarzające Dane osobowe zobowiązane są do Przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych w Bodybar
2.    Za naruszenie lub próbę naruszenia ochrony Danych osobowych uważa się w szczególności:
a)    naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
b)    udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
c)    zaniechanie, choćby nieumyślne dopełnienia obowiązku zapewnienia danym osobowym ochrony;
d)    Przetwarzanie danych bez upoważnienia lub niezgodnie z zakresem określonym w nadanym upoważnieniu;
e)    niedopełnienie obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia;
f)    przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
g)    przetwarzania danych sensytywnych (wrażliwych), gdy ich przetwarzanie jest niedopuszczalne;
h)    spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub kopiowania Danych osobowych;
i)    spowodowanie incydentu naruszającego prawa osób, których dane są przetwarzane.
3.    W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych, Użytkownik  zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia, niezwłocznego powiadomienia Administratora Danych, i sporządzenia raportu o naruszeniu ochrony danych osobowych zawierającego szczegółowy opis zdarzenia mającego wpływ na ochronę danych osobowych. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz Administratora Danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie by:
a)    personel rozumiał swój zakres odpowiedzialności na danym stanowisku,
b)    pracownicy lub współpracownicy byli odpowiednio przygotowani do swoich zakresów obowiązków i okresowo szkoleni,
c)    każdy z przetwarzających Dane osobowe był pisemnie upoważniony do wskazanego zakresu danych i obszaru ich przetwarzania „Upoważnieniem do przetwarzania danych osobowych” 
4.    każdy z pracowników lub współpracowników przetwarzających Dane osobowe zapoznał się z dokumentami „Oświadczenie i zobowiązanie osoby przetwarzającej dane osobowe” i potwierdził stosowanie się do zawartych w nich postanowień własnoręcznym podpisem. 
5.    Prowadzona jest przez Administratora Danych ewidencja osób upoważnionych do przetwarzania danych osobowych. 
6.    Użytkownicy zobowiązani są do:
a)    ścisłego przestrzegania zakresu nadanego upoważnienia;
b)    przetwarzania i ochrony danych osobowych zgodnie z przepisami;
c)    zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
d)    zgłaszania do Administratora Danych incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu, a także informowania Administratora Danychlub odpowiedniego kierownika o przypadkach naruszenia zasad ochrony danych.


III.    Obszar przetwarzania danych osobowych

1.    Obszar, w którym przetwarzane są Dane osobowe na terenie Bodybar opisywany jest na bieżąco w dokumencie “Wykaz budynków oraz pomieszczeń w Bodybar i tworzących obszar w którym przetwarzane są dane osobowe”, który stanowi Załącznik nr 1 do niniejszej Polityki Bezpieczeństwa.
2.    Dodatkowo obszar, w którym przetwarzane są Dane osobowe stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym w Załączniku nr 1 do niniejszej Polityki Bezpieczeństwa, na których dochodzi do Przetwarzania danych osobowych.

IV.    Wykaz zbiorów Danych osobowych wraz ze wskazaniem programów zastosowanych do Przetwarzania tych danych.


1.    Podanie danych osobowych takich jak imię, nazwisko, numer telefonu i adres email jest niezbędne do  realizacji usług kosmetycznych oraz treningu EMS w Bodybar i czynności z tym  związanych (w tym kontroli jakości, zgłoszenia reklamacji, itp.). Jeśli z jakiegoś powodu nie zostaną podane w.w. dane osobowe, niestety Bodybar nie będzie mógł świadczyć usługi.
2.    Korzystając ze sklepu internetowego, formularzy kontaktowych, marketingowych  zawartych na stronie internetowej Bodybar oraz podając dane takie jak w szczególności: imię, nazwisko, numer telefonu, adres e-mail, ale też korzystając ze strony internetowej i udostępniając tym samym dane zapisane w przeglądarce Użytkownika stron internetowych Użytkownik strony wyraża zgodę na przetwarzanie danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie oochronie danych) (dalej „RODO”) przez Administratora Danych
3.    Dane osobowe Użytkownika strony przetwarzane będą w celu otrzymywania informacji o ofertach i promocjach oferowanych przez Bodybar, a także w celu ankietowania oraz profilowania. Udostępnione dane osobowe będą przetwarzane do czasu wycofania zgody.
4.    W dowolnym momencie Użytkownik strony posiada prawo dostępu do treści swoich danych osobowych oraz ich sprostowania, usunięcia, ograniczenia ich przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu oraz prawo do cofnięcia uprzednio wyrażonej zgody na przetwarzanie danych osobowych. Cofnięta zgoda w dowolnym momencie nie ma wpływu na zgodność przetwarzania danych z prawem, którego dokonano na podstawie niniejszej zgody przed jej cofnięciem.
5.    Użytkownik strony ma prawo wniesienia skargi do organu nadzorczego, gdy uzna, iż przetwarzanie jego Danych osobowych w zakresie niniejszej zgody narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. L 119/1, 4/05/2016).
6.    Wszelkie sprostowania, usunięcia, ograniczenia ich przetwarzania, przenoszenia danych, wniesienia sprzeciwu oraz cofnięcia uprzednio wyrażonej zgody na przetwarzanie danych osobowych w zakresie Danych osobowy, możliwe z wykorzystaniem kontaktu email: kontakt@bodybar.com.pl  lub pisemnie na adres siedziby Administratora Danych.
7.    Pliki cookie i inne narzędzia na stronie Bodybar
a)    Pliki cookie to niewielkie pliki tekstowe, które pozostają na komputerze Użytkownika strony  i pozwalają w szczególności na prawidłowe funkcjonowanie strony internetowej Bodybar oraz na zapisywanie informacji dotyczących sposobu korzystania z niej, w tym informacji o odwiedzanych podstron internetowych (dalej: Pliki cookie).
b)    Pliki cookie nie służą bezpośrednio do zbierania danych osobowych, ale mogą zbierać dane dotyczące profilowania użytkownika strony, a po połączeniu z innymi danymi doprowadzić do możliwości identyfikacji i/lub profilowania użytkownika strony dla celów marketingowych.
c)    Bodybar stosuje Pliki cookie w celu ułatwienia korzystania ze stron internetowych, uzyskania informacji o sposobie ich użytkowania oraz do profilowania reklam, komunikacji marketingowej, etc.
d)    Zgoda na używanie Plików cookie jest całkowicie dobrowolna. Użytkownik strony internetowej Bodybar może odmówić akceptacji korzystania z Plików cookie lub skorzystać z ustawień przeglądarki internetowej regulujących ich użycie.
e)    Bodybar informuje, że w przypadku zablokowania Plików cookie w całości lub w części, możliwe jest ograniczenie funkcjonalności strony internetowej Bodybar
f)    Bodybar używa lub może używać różnych narzędzi na stronie internetowej (na przykład takich jak Facebook Pixel, kod remarketingowy Google, identyfikator Google Analytics User-ID itp.) dla celów marketingowych, ankietowych, statystycznych, reklamowych, w tym profilowania marketingowego. 
g)    Bodybar może łączyć dane zebrane o użytkownikach strony internetowej Bodybar z danymi prawidłowo zbieranymi w systemie operacyjnym Bodybar  (na podstawie odrębnie udzielonych, odpowiednich zgód) na potrzeby statystyczne i/lub marketingowe (w tym do profilowania).
h)    Profilowanie danych osobowych może polegać na przetwarzaniu Danych (również w sposób zautomatyzowany), poprzez wykorzystywanie ich do oceny niektórych informacji Użytkowniku strony, w szczególności do analizy lub prognozy osobistych preferencji oraz potrzeb tylko w celach statystycznych i zaoferowaniu Użytkownikowi strony produktów i usług (reklamy) Bodybar także poza stroną internetową Bodybar
8.    Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania Danych osobowych jest prowadzony przez Administratora Danych. „Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych” stanowi Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa. 

V.    Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi.

1.    Pola informacyjne (kategorie przetwarzanych danych osobowych) w odniesieniu do poszczególnych zbiorów danych oraz powiązania między nimi zostały określone w dokumencie „Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych”, stanowiącym Załącznik nr 2 do Polityki Bezpieczeństwa.

VI.    Sposób przepływu danych pomiędzy poszczególnymi systemami.

1.    W ramach procesów Przetwarzania danych, dochodzi do przepływu danych pomiędzy różnymi Systemami informatycznymi określonego w dokumencie „Wykaz przepływu danych pomiędzy systemami”, stanowiącym Załącznik nr 3 do Polityki Bezpieczeństwa.

VII.    Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

1.    Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości Przetwarzanych danych.
2.    Administrator Danychwraz z wyznaczonymi Użytkownikami przeprowadzają okresową analizę ryzyka dla poszczególnych systemów i na tej podstawie przedstawiają Administratorowi Danych propozycje dotyczące zastosowania środków technicznych i organizacyjnych (środków ochrony).
3.    Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych w przypadku Przetwarzania danych osobowych w Systemie informatycznym 
4.    Środki ochrony, zastosowane przez Administratora Danych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych, obejmują: 

a)    środki fizyczne;
b)    środki techniczne;
c)    środki organizacyjne;

5.    Zastosowane środki ochrony fizycznej obejmują: 


a)    budynki oraz wchodzące w ich skład pomieszczenia tworzące obszar Przetwarzania danych osobowych, zamykane są na czas nieobecności pracownika zatrudnionego przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich,
b)    do przechowywania Danych osobowych w części z pomieszczeń stanowiących obszar Przetwarzania danych osobowych wykorzystywana jest zamykana szafa, 

6.    Zastosowane środki techniczne obejmują następujące elementy: 


a)    Sieć lokalna jest chroniona urządzeniami typu firewall,
b)    sprzęt służący do Przetwarzania danych osobowych posiada ochronę antywirusową,
c)    dostęp do komputerów oraz oprogramowania zabezpieczony jest hasłem do systemu operacyjnego, oraz hasłem do systemów służących przetwarzania danych, wskazanych w załączniku nr 2 do Polityki Bezpieczeństwa, 

7.    Zastosowane środki organizacyjne obejmują następujące elementy: do obsługi systemów przetwarzających Dane osobowe dopuszczone są jedynie osoby na podstawie indywidualnych upoważnień, 


a)    przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych, dopuszczalne jest tylko w obecności osoby upoważnionej do Przetwarzania danych 
b)    osoby upoważnione do przetwarzania danych osobowych obowiązane są do zachowania ich w tajemnicy w trakcie obowiązywania umowy o pracę bądź innej umowy łączącej je z Administratorem Danych jak i po jej rozwiązaniu,  
c)    prowadzona jest ewidencja osób upoważnionych do Przetwarzania danych osobowych,
d)    w pomieszczeniach, w których przewiduje się przyjmowanie osób nieupoważnionych do Przetwarzania danych, monitory stanowisk komputerowych ustawione są w sposób uniemożliwiający wgląd w przetwarzane dane,
e)    pracownicy przetwarzający dane osobowe obowiązani są do prawidłowego ich zabezpieczania na swoich stanowiskach pracy.

Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy.Wszystkie osoby upoważnione do przetwarzania danych osobowych mogę ponieść odpowiedzialność karną w sytuacji naruszenia zasad określonych w niniejszym dokumencie.

Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące Załączniki:

Załącznik nr 1 – Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe w  Bodybar
Załącznik nr 2 – Wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do ich przetwarzania w Bodybar
Załącznik nr 3 – Wykaz przepływu danych pomiędzy poszczególnymi systemami;