POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
HUGESELLER Sp. z o.o. z siedzibą w Krakowie

1. Postanowienia ogólne
Niniejsza Polityka Bezpieczeństwa Danych Osobowych (dalej „Polityka Bezpieczeństwa”) stosowana jest przez HUGESELLER Sp. z o.o z siedzibą w Krakowie, adres: ul. Bolesława Prusa 10 lok. 17, 30-109 Kraków, NIP: 6772372408, REGON: 122729844, wpisaną do Krajowego Rejestru Sądowego – Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000441510 (dalej „Administrator Danych”), w związku z gromadzeniem danych osobowych w ramach serwisu internetowego funkcjonującego pod domeną www.motiveo.pl, służącego do świadczenia usług drogą elektroniczną przez Administratora Danych polegających na udostępnianiu przedsiębiorcom narzędzi informatycznych i rozwiązań służących do prowadzenia mobilnego zintegrowanego systemu motywacyjno-lojalnościowego dla zatrudnianych przez nich przy sprzedaży usług lub towarów osób.

Polityka Bezpieczeństwa powstała zgodnie z wymaganiami zawartymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Dokument powiązany z Polityką Bezpieczeństwa stanowi „Instrukcja zarządzania systemem informatycznym”.

2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe:

  • NAZWA ZBIORU DANYCH OSOBOWYCH:
    Zbiór danych osobowych MOTIVEO
  • ADRES
    ul. Bolesława Prusa  10/17 Kraków oraz Zone Industrielle Les Hutes, 59820 Gravelines, Francja
  • POMIESZCZENIE:
    a) Pomieszczenie biurowe pod adresem: ul. Bolesława Prusa  10/17 (5 piętro);
    b) Pomieszczenie serwerowni;

Obszar tworzący obszar, w którym przetwarzane są dane osobowe w siedzibie Administratora Danych zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych poprzez zamknięcie na klucz. Przebywanie osób nieupoważnionych w tym obszarze jest dopuszczalne za zgodą Administratora Danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Nie użytkuje się komputerów przenośnych zapewniających dostęp do danych osobowych poza w/w obszarem.

3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych.
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych:

  • NAZWA ZBIORU DANYCH OSOBOWYCH:
    Zbiór danych osobowych MOTIVEO;
  • RODZAJ SYSTEMU/PROGRAMU:
    System informatyczny oparty o infrastrukturę bazodanową, funkcjonujący w modelu SAAS.

4. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pół informacyjnych i powiązania między nimi.
Opis struktury zbiorów danych wskazujący zawartość poszczególnych pół informacyjnych i powiązania między nimi:

  • NAZWA ZBIORU DANYCH OSOBOWYCH:
    Zbiór danych osobowych MOTIVEO
  • ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI:
    W zbiorze danych przetwarzane są następujące dane osobowe:
    a) dla użytkowników serwisu www.motiveo.pl, będących osobami fizycznymi prowadzącymi jednoosobową działalność gospodarczą, jak również działalność gospodarczą w formie spółki osobowej: imię, nazwisko, data urodzenia, e-mail, numer telefonu telefon, wizerunek, NIP, REGON, adres zamieszkania lub pobytu;
    b) dla osób zatrudnionych przez użytkowników serwisu www.motiveo.pl przy sprzedaży ich towarów lub usług, uczestniczących w programach motywacyjno – lojalnościowych: imię, nazwisko, data urodzenia, e-mail, numer telefon, wizerunek, adres zamieszkania lub pobytu, miejsce pracy;
    c) dla osób reprezentujących przedsiębiorców będących użytkownikami serwisu www.motiveo.pl lub innych wyznaczonych przez nich do zarządzania w ich imieniu usługami świadczonymi w ramach serwisu:
    imię, nazwisko, data urodzenia, e-mail, numer telefonu, wizerunek;

5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.
Stosowne środki techniczne i organizacyjne zapewniają przetwarzanym danym poufność, integralność, dostępność, rozliczalność, autentyczność, niezaprzeczalność i niezawodność. Środki te powinny zapewnić zachowane w/w właściwości dla wszelkich działań związanych z przetwarzaniem danych osobowych.
Został wyznaczony administrator bezpieczeństwa informacji (ABI) nadzorujący przestrzeganie zasad ochrony przetwarzanych danych osobowych, do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie (Załącznik nr 1 – upoważnienie), prowadzona jest ewidencja osób upoważnionych do przetwarzania danych, (Załącznik nr 2 – ewidencja osób upoważnionych do przetwarzania danych osobowych), została opracowana i wdrożona niniejsza polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym.
System informatyczny chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń obejmują one kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną oraz kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Stosuje się następujące środki ochrony fizycznej danych:
a) zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie – drzwi klasy C,
b) pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy,
c) pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.

Stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
a) zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania,
b) dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
c) zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych prze użyciu systemów informatycznych,
d) zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł,
e) zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych,
f) zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji,
g) zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity,
h) użyto system Firewall do ochrony dostępu do sieci komputerowej.

Stosuje się środki ochrony w ramach narzędzi programowych i baz danych:
a) wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych
elementach zbioru danych osobowych,
b) zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu
danych w ramach przetwarzanego zbioru danych osobowych,
c) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
d) zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do
zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego,
e) zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych
osobowych,
f) zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
g) zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

Stosuje się środki organizacyjne:
a) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
b) przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego,
c) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
d) monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane,
e) kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.

Wzór oświadczenia o znajomości zasad ochrony danych osobowych określa Złącznik nr 3 – oświadczenie, opracowana została instrukcja postępowania w sytuacji naruszenia zasad ochrony danych osobowych w systemie informatycznym, którą określa Załącznik nr 4 – instrukcja postępowania w sytuacji naruszenia zasad ochrony danych osobowych w systemie informatycznym.

Zapisz się do newslettera biznesmusisprzedawac.pl
i zyskaj 1 miesiąc dostępu do Motiveo gratis


 Wyrażam zgodę na otrzymywanie newslettera biznesmusisprzedawac.pl zgodnie z Ustawą o świadczeniu usług drogą elektroniczną z dnia 26 sierpnia 2002r.