Polityka prywatności

Procedura postępowania z dokumentami i zasobami

Wdrożona do stosowania w ARK Events Sp. z o.o. decyzją Prezesa Zarządu z dnia 1.01.2022.

Nawigacja po dokumencie
Dokumentacja papierowa
Dokumenty poza biurem
Wysyłka dokumentów
Dokumenty cyfrowe
Nośniki danych
Poczta elektroniczna
Ewidencje udostępnień
Zmiana celu przetwarzania
  1. Postępowanie z dokumentacją papierową w obiegu w ramach ARK Events Sp. Z o.o.:
    1. Wszelkie dokumenty zawierające dane osobowe, o ile istnieje konieczność ich przekazania innemu członkowi zespołu, powinno się przekazywać do rąk własnych tego członka.
    2. W przypadku braku takiej możliwości, dokumenty należy przekazać na ręce bezpośredniego przełożonego tego członka, którego obowiązują te same zasady.
    3. Wszelkie dokumenty zawierające dane osobowe, w przypadku opuszczania stanowiska pracy lub w związku z zakończeniem dnia pracy, powinny zostać przeniesione do mebla zamykanego osoby na nich pracującej (standard postępowania z kluczami do mebli określa osobna procedura).
    4. Wszelkie dokumenty tworzone dla potrzeb chwilowych, wraz z upłynięciem okresu ich przydatności, należy niszczyć z wykorzystaniem niszczarki do dokumentów.
    5. Wszelkie dokumenty tworzone dla potrzeb chwilowych, przed upłynięciem okresu ich przydatności, należy przechowywać w teczkach, segregatorach, kartonach, wydzielonych szufladach lub innych pojemnikach oznaczonych jako "tymczasowe".
    6. Wszelkie dokumenty, które pracownik przewiduje przechowywać dłużej niż 30 dni, należy przechowywać w teczkach, segregatorach, kartonach, wydzielonych szufladach lub innych pojemnikach oznaczonych nazwą danego klienta / kontrahenta, projektu lub zadania.
    7. Z chwilą upłynięcia okresu przydatności dokumentów przechowywanych dłużej niż 30 dni, należy o tym fakcie zawiadomić bezpośredniego przełożonego i na jego polecenie odpowiednio: przenieść dokumenty w miejsce do tego wyznaczone lub zdać osobie wyznaczonej do gromadzenia dokumentacji w celu ustalenia, dochodzenia lub obrony roszczeń (oznacza to wskazanie nowego celu przetwarzania dla danych zawartych w tej dokumentacji), zniszczyć dokumenty w niszczarce lub dokonać ich anonimizacji przez trwałe uniemożliwienie odczytania danych identyfikujących (w przypadku danych procesowanych na zlecenie, standard dalszego postępowania z nimi określa umowa przedmiotowa; w przypadku wątpliwości, należy zainicjować fazę planowania zgodnie z niezależną procedurą).
    8. Zabrania się pozostawiania dokumentów zawierających dane osobowe na biurku, w momencie opuszczania biura oraz przekazywania dokumentów innym osobom poprzez położenie ich na biurku tej innej osoby pod jej nieobecność. Spod stosowania powyższej zasady wyłączone są wizytówki oraz inne dokumenty zawierające nieuporządkowane dane o analogicznej zawartości (np. kartki typu sticker z danymi osoby oczekującej na informację; kalendarz itd.).
    9. Zabrania się wyrzucania do śmieci wszelkich dokumentów zawierających dane osobowe.
    10. Każdy pracownik powinien zawsze znać przeznaczenie każdego dokumentu znajdującego się w jego posiadaniu.
  2. Postępowanie z dokumentacją papierową przetwarzaną poza biurem ARK Events Sp. Z o.o.:
    1. Wszelkie dokumenty zawierające dane osobowe i przeznaczone do wyniesienia poza biuro ARK Events Sp. Z o.o., należy na początku przygotować do transportu poprzez ich przeniesienie do nieprzezroczystych teczek, kopert lub segregatorów.
    2. Zabrania się otwierania tych teczek, kopert lub segregatorów w obecności osób trzecich, a zwłaszcza innych klientów / kontrahentów oraz w miejscach publicznych.
    3. Zabrania się przechowywania w jednej teczce lub kopercie dokumentów zawierających dane osobowe różnych klientów lub kontrahentów.
    4. Zabrania się pozostawiania dokumentów zawierających dane osobowe w salkach konferencyjnych po zakończeniu spotkania, chyba że salka ta zostanie zamknięta, a osoba sprawująca pieczę nad dokumentami ma gwarancję, że nie dojdzie do otwarcia tej salki do jej powrotu.
    5. W przypadku przenoszenia danych dotyczących różnych spraw (patrz powyżej) w segregatorze, dokumenty te muszą być rozdzielone w widoczny sposób.
    6. Dokumenty zawierające dane osobowe, a przeznaczone do przekazania osobie nie będącej pracownikiem lub współpracownikiem ARK Events Sp. Z o.o. podlegają ewidencjonowaniu na zasadach opisanych poniżej. Pod pojęciem przekazania rozumie się umożliwienie odbiorcy wyniesienia danych (dokumentu źródłowego albo jego kopii) poza siedzibę ARK Events Sp. Z o.o.. Przekazaniem nie jest umożliwienie wglądu w dane, np. w sytuacji audytu lub kontroli.
  3. Postępowanie z dokumentami zawierającymi dane osobowe i przeznaczonymi do wysyłki pocztą lub wysyłki kurierskiej:
    1. Dokumenty przeznaczone do wysyłki pocztą lub przesyłką kurierską oczekują na wysyłkę w postaci zapakowanej, w zaklejonej, zaadresowanej kopercie, a w przypadku paczek dokumentów (ilości nie mieszczącej się w kopercie), również zafoliowane. Obowiązek przygotowania dokumentacji do wysyłki ciąży na nadawcy.
    2. Dokumenty przeznaczone do wysyłki podlegają ewidencji na zasadach opisanych poniżej.
  4. Postępowanie z zasobami (dokumentami w postaci cyfrowej) zawierającymi dane osobowe:
    1. Z dokumentami cyfrowymi postępuje się w sposób analogiczny, co z dokumentacją papierową, z uwzględnieniem następujących różnic:
    2. Zamiast teczek, segregatorów, kartonów, szuflad lub innych pojemników, dokumenty cyfrowe przechowuje się w folderach:
      1. jeżeli są to dokumenty procesowane wyłącznie przez jednego pracownika, w folderach prywatnych w ramach zasobu chmurowego / udziału sieciowego / zapisanego lokalnie,
      2. jeżeli jest to dokument współdzielony, przeznaczony do wglądu lub edycji paru osób, w folderach działów lub spraw w ramach zasobu chmurowego / udziału sieciowego.
    3. Wszelkie informacje stanowiące opis zawartości teczki, segregatora, kartonu lub szuflady, takie jak jego tymczasowy charakter, powiązanie z określonym klientem / kontrahentem, procesem lub zadaniem oraz datę usunięcia danych, zamieszcza się w nazwie folderu.
    4. Dokumenty cyfrowe, których zawartość stanowią kserokopie lub zdjęcia dokumentów tożsamości, jak również dokumenty cyfrowe dotyczące spraw pracowniczych, ze szczególnym uwzględnieniem skanów pism urzędowych oraz informacji o stanie zdrowia, w celu ich wysyłki pocztą elektroniczną należy objąć ochroną kryptograficzną (hasło / klucz kryptograficzny należy wówczas przekazywać innym kanałem, szczegółowo sprawę haseł przedstawia niezależna procedura). Pozostałe dokumenty cyfrowe zawierające dane osobowe wysyła się jako załączniki do poczty elektronicznej. W przypadku, w którym odbiorcą wiadomości i danych jest instytucja publiczna, przyjmuje się standard komunikacji narzucony przez tę instytucję (np. przez profil zaufany, platformę wymiany danych, ale też pocztą elektroniczną w postaci niezaszyfrowanej, o ile taki jest wymóg odbiorcy).
    5. Dokumenty usuwa się poprzez wielokrotny nadpis, a nie zastosowanie niszczarek (ze względu na inną postać) - do dokonywania wielokrotnego nadpisu służy oprogramowanie tzw. Shreddujące.
    6. W zastępstwie zakazu pozostawiania dokumentów papierowych zawierających dane osobowe, dla dokumentów cyfrowych wprowadza się obowiązek włączania wygaszacza ekranu (kombinacja win+l) podczas opuszczania stanowiska pracy.
  5. Postępowanie z nośnikami danych:
    1. Z nośnikami danych, w pamięci których zapisano dane osobowe, postępuje się analogicznie, jak z dokumentami papierowymi o identycznej lub tożsamej zawartości, z następującymi różnicami:
    2. Do przechowywania oraz opisu nośników stosuje się koperty w zastępstwie teczek, segregatorów, kartonów itd.
    3. Na nośnikach nie wolno przechowywać dokumentów innych aniżeli tymczasowe. Dla wszystkich dokumentów o dłuższym okresie przechowywania, nośniki mogą pełnić wyłącznie rolę narzędzia do przenoszenia danych, a docelowo zapis musi nastąpić w zasobie chmurowym lub na dysku sieciowym.
    4. Do usuwania danych zapisanych na nośnikach stosuje się oprogramowanie shreddujące, identycznie jak ma to miejsce w przypadku dysków.
  6. Postępowanie z pocztą elektroniczną:
    1. Wszystkie wiadomości wysyłane oraz odbierane za pomocą poczty elektronicznej zawierają dane osobowe.
    2. W związku z powyższym, do poczty elektronicznej stosuje się zasady analogiczne, jak do dokumentów papierowych o identycznej lub tożsamej zawartości, z następującymi różnicami:
      1. folder ogólny poczty wychodzącej oraz przychodzącej traktuje się jako miejsce składowania dokumentów tymczasowych;
      2. w zastępstwie teczek, segregatorów, kartonów lub szuflad do przechowywania dokumentów o dłuższym okresie przechowywania, stosuje się foldery wydzielone w ramach konta pocztowego;
      3. wszelkie informacje, które należy zawrzeć w opisie teczki, segregatora, kartonu lub szuflady, należy zawrzeć w nazwie folderu;
      4. za skuteczne usunięcie danych uważa się ich zwykłe usunięcie z serwera pocztowego.
  7. Prowadzenie ewidencji udostępnień i innych przypadków przekazania danych osobowych:
    1. Ewidencja zawiera informacje o tym, kto otrzymał dane, jakie to były dane, kiedy miało miejsce przekazanie oraz z czego wynikało.
    2. Dokumenty do ewidencji wprowadza osoba dokonująca przekazania lub udostępnienia.
    3. W przypadku udostępnienia danych przez przesyłanie skanów dokumentów, osoba dokonująca przekazania odpowiada za to, aby nazwa dokumentu cyfrowego odpowiadała opisowi (nazwie) wskazanej w ewidencji (sugeruje się kopiować do ewidencji nazwę pliku skanu.
    4. Obowiązek ewidencjonowania nie dotyczy treści wiadomości e-mail z uwagi na fakt, że dla tych wiadomości zdolność dowodowa i tak jest dostateczna, ponieważ figurują one w skrzynce nadawczej.
    5. Obowiązek ewidencjonowania dotyczy natomiast dokumentów stanowiących załączniki do korespondencji, ponieważ nie istnieje prosty sposób przeszukiwania konta pocztowego pod względem treści załączników.
    6. Spod obowiązku ewidencjonowania wyjęte są wszelkie dokumenty, których zawartość jasno wynika z ich formy lub sprawy, której dotyczą, takie jak:
      1. zestandaryzowane zgłoszenia, powiadomienia lub wnioski (np. deklaracje celne nawet jeżeli zawierają dane osobowe, listy przewozowe itd.);
      2. opracowane na podstawie obowiązujących druków / wzorów (np. zgłoszenie pracownika do ZUS, US itd.);
      3. wszelkie inne, jeżeli zakres danych osobowych w nich zawarty nie przekracza standardowego zakresu informacji obecnych na wizytówce oraz dane dotyczą nie więcej niż 5 osób (warunki muszą być spełnione łącznie).
  8. Zmiana celu przetwarzania - przeniesienie dokumentów z zasobów procesowanych do zasobów przechowywanych:
    1. Z chwilą zakończenia zadania, projektu lub współpracy z danym klientem lub kontrahentem, osoba prowadząca ten proces zawiadamia o tym fakcie Zarząd.
    2. Zarząd podejmuje decyzję odpowiednio o anonimizacji, archiwizacji lub usunięciu danych:
      1. anonimizacja polega na nieodwracalnym usunięciu danych pozwalających na identyfikację osób - w przypadku wątpliwości, należy zainicjować fazę planowania.
      2. archiwizacja polega na takim przeniesieniu dokumentu lub zasobu, aby możliwe było niezależne zarządzanie uprawnieniami dostępowymi oraz znany był termin usunięcia danych (może to wymagać trwałego usunięcia danych z systemów dedykowanych i zapisu ich w postaci dokumentu pakietu biurowego).
      3. usunięcie danych odbywa się na zasadach określonych powyżej, odpowiednio dla każdego zasobu / typu dokumentów.
    3. W przypadku podjęcia decyzji o archiwizacji danych, należy wykonać następujące czynności:
      1. przenieść dokumenty lub dokumenty cyfrowe z pierwotnej lokalizacji do innej lokalizacji - dla dokumentacji papierowej jest to składnica dokumentów; dla dokumentacji cyfrowej jest to osobny folder w zasobie chmurowym, do którego dostęp posiada wyłącznie Zarząd.
      2. po skutecznym przeniesieniu dokumentów cyfrowych, upewnić się, że zasób pierwotny jest skutecznie usunięty.
Powrót do góry