POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH W SYSTEMACH INFORMATYCZNYCH QS Sp. z o.o.
Podstawa prawna:
rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pozn. zm.)
Definicje, cele i zakres polityki bezpieczeństwa
1. Definicja bezpieczeństwa informacji
1.1 Utrzymanie bezpieczeństwa przetwarzanych przez QS Sp. z o.o. informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą. bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki.
1.1.1. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i aplikacji:
1.1.1.1. Poufność informacji – rozumiana jako zapewnienie, ze tylko uprawnieni pracownicy mają dostęp do informacji,
1.1.1.2. Integralność informacji – rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania,
1.1.1.3. Dostępność informacji – rozumiana jako zapewnienie, ze osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne,
1.1.1.4. Zarzadzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych.
1.2. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem:
1.2.1. Niezaprzeczalności odbioru – rozumianej jako zdolność systemu QS Sp. z o.o.. do udowodnienia, ze adresat informacji otrzymał ją. w określonym miejscu i czasie,
1.2.2. Niezaprzeczalności nadania – rozumianej jako zdolność systemu QS Sp. z o.o. do udowodnienia, ze nadawca informacji faktycznie ją. nadal lub wprowadził do systemu w określonym miejscu i czasie.
1.2.3. Rozłączalności działań – rozumianej jako zapewnienie, ze wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania wykonał.
1.3. Ilekroć w niniejszym dokumencie jest mowa o:
1.3.1. QS Sp. z o.o. – należy przez to rozumieć QS Sp. z o.o. ul. Modlińska 190, 03-119 Warszawa.
1.3.2. Głównym Administratorze Informacji – należy przez to rozumieć Zarząd QS Sp. z o.o.,
1.3.3. Administratorze Bezpieczeństwa Informacji – należy przez to rozumieć pracownika QS Sp. z o.o. lub inną osobę wyznaczoną do nadzorowania przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymagań w zakresie ochrony wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych,
1.3.4. Administratorze Systemu Informatycznego – należy przez to rozumieć osobę odpowiedzialną za funkcjonowanie systemu informatycznego QS Sp. z o.o. oraz stosowanie technicznych i organizacyjnych środków ochrony,
1.3.5. Użytkowniku systemu – należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym QS Sp. z o.o.. Użytkownikiem może być pracownik urzędu, osoba wykonująca prace na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż w QS Sp. z o.o. lub wolontariusz,
1.3.6. Sieci lokalnej – należy przez to rozumieć połączenie systemów informatycznych QS Sp. z o.o. wyłącznie dla własnych jej potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych,
1.3.7. Sieci rozleglej – należy przez to rozumieć siec publiczną w rozumieniu ustawy z dnia16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z pozn. zm.)
1.3.8. Danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
1.3.9. Zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów
1.3.10. Wykazie zbiorów danych osobowych – rozumie się przez to wykaz zarejestrowanych, oraz nie podlegających rejestracji zbiorów danych osobowych,
1.3.11. Przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych
1.3.12. Systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych
2. Cele i strategie bezpieczeństwa
2.1. Cele QS Sp. z o.o. w dziedzinie bezpieczeństwa informacji:
2.1.1. ochrona zasobów informacyjnych i zapewnienie ciągłości działania procesów QS Sp. z o.o.
2.1.2. ochrona wizerunku QS Sp. z o.o.
2.1.3. zapewnienie zgodności z prawem podejmowanych działań
2.1.4. uzyskanie i utrzymanie odpowiednio wysokiego poziomu bezpieczeństwa zasobów QS Sp. z o.o. rozumiane jako zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienie rozliczalności podejmowanych działań
2.1.5. wyznaczenie ogólnych kierunków rozwoju systemu informacyjnego
2.2. Cele osiągane przez realizowane strategie:
2.2.1. właściwa organizacja Systemu Zarządzania Bezpieczeństwem Informacji,
2.2.2. zarządzanie ryzykiem w celu ograniczania go do akceptowanego poziomu,
2.2.3. właściwa ochrona informacji, a w szczególności informacji prawnie chronionych,
2.2.4. zapewnienie odpowiedniego poziomu dostępności informacji i niezawodności systemów informatycznych,
2.2.5. właściwa ochrona informacji związanych z zawartymi umowami,
2.2.6. wdrażanie i rozwój systemów informacyjnych z zachowaniem zasad bezpieczeństwa,
2.2.7. eksploatowanie systemów informacyjnych zgodnie z zasadami bezpieczeństwa,
2.2.8. stała edukacja użytkowników systemu informacyjnego.
3. Informacje przetwarzane przez system informacyjny QS Sp. z o.o.
3.1 W systemie informacyjnym QS Sp. z o.o. przetwarzane są informacje służące do wykonywania zadań z zakresu wynikającego z umowy.
3.2 Informacje te są. przetwarzane i składowane zarówno w postaci manualnej jak i elektronicznej.
3.3 Przetwarzane w QS Sp. z o.o. informacje między innymi dotyczą-:
3.3.1 informacji publicznych,
3.3.2 danych osobowych,
3.3.3 informacji stanowiących tajemnice Handlowe,
3.3.4 i innych informacji prawnie chronionych.
3.3.5 Informacje niejawne nie objętych zakresem niniejszej Polityki
3.4 W celu skutecznego zarządzania bezpieczeństwem przetwarzanych informacji zasoby informacyjne podzielone na grupy informacji.
3.4.1 dla każdej grupy zidentyfikowane są zasoby uczestniczące w przetwarzaniu danej informacji,
3.4.2 dla każdej grupy zidentyfikowane są wymagania bezpieczeństwa, oszacowane jest ryzyko i na tej podstawie dobrane odpowiednie zabezpieczenia.
Struktura dokumentów Polityki Bezpieczeństwa Systemu Informacyjnego
1. Celem Polityki Bezpieczeństwa Informacji jest określenie zasad funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji.
2. Dokumenty ustanawiają metody zarządzania oraz wymagania niezbędne dla zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji.
3. Dokumenty Polityki Bezpieczeństwa Systemu Informacyjnego podzielone zostały na dwa poziomy:
3.1 dokumenty opisujące ogólne zasady bezpieczeństwa i zasady bezpieczeństwa dla poszczególnych grup informacji,
3.2 dokumenty opisujące zasady bezpieczeństwa systemów przetwarzania,
4. Zestaw dokumentów Polityki Bezpieczeństwa Systemu Informacyjnego składa się z następujących rodzajów dokumentów:
4.1 niniejszego dokumentu Polityki Bezpieczeństwa Systemu Informacyjnego opisującego:
4.1.1 cele działań dotyczących zapewnienia bezpieczeństwa informacji,
4.1.2 przyjęte strategie osiągniecia celów ochrony informacji,
4.1.3 opis struktury Polityki Bezpieczeństwa Systemu Informacyjnego,
4.1.4 opis struktury odpowiedzialności za bezpieczeństwo informacji,
4.1.5 podstawy prawne i normatywne Polityki Bezpieczeństwa Systemu Informacyjnego,
4.1.6 zakres stosowania Polityki Bezpieczeństwa Systemu Informacyjnego,
4.1.7 zakres rozpowszechniania niniejszego dokumentu.
4.2 dokumentu Instrukcji Zarządzania Systemami Informatycznymi opisującego zasady zarządzania bezpieczeństwem informacji,
4.3 regulaminów opisujących szczegółowe zasady postepowania użytkowników systemu informacyjnego QS Sp. z o.o.,
4.4 dokumentów standardów opisujących konfiguracje poszczególnych typów systemów przetwarzania.
5. Poszczególne dokumenty wymienione powyżej, będą tworzone sukcesywnie i wprowadzane w życie na podstawie poleceń służbowych Administratora Danych po zatwierdzeniu przez Administratora Bezpieczeństwa Informacji
6. Dokumenty, o których mowa w§4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100 poz. 1024) zostaną wprowadzone bądź w formie załączników do niniejszej Polityki, bądź w formie odrębnych dokumentów wydanych na podstawie stosownych upoważnień
Odpowiedzialność za bezpieczeństwo informacji
1. Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik QS Sp. z o.o..
2. Za przestrzeganie postanowień Polityki Bezpieczeństwa Informacji i rozwój Systemu Zarządzania Bezpieczeństwem odpowiada Administrator Bezpieczeństwa Informacji (ABI) a na poziomie Systemu Przetwarzania Administrator Systemu i Sieci (ASS),
Administrator Bezpieczeństwa Informacji (ABI)
Administratora Bezpieczeństwa Informacji (ABI) powołuje Prezes QS Sp. z o.o. ABI odpowiedzialny jest za:
1. realizacje ustawy o ochronie danych osobowych w zakresie dotyczącym Administratora Bezpieczeństwa Informacji,
2. zapewnienie, ze do informacji chronionych mają dostęp wyłącznie osoby upoważnione, oraz ze mogą one wykonywać wyłącznie uprawnione operacje,
3. zabezpieczenie obszarów przetwarzania danych osobowych w sposób uniemożliwiający dostęp do nich osób trzecich,
4. zgłoszenie konieczności uzupełnienia zakresu czynności osoby zatrudnionej przy przetwarzaniu danych o zakres odpowiedzialności tej osoby za ochronę danych do Administratora Informacji,
5. ewidencjonowanie udostępniania danych zgodnie z ustaw3 o ochronie danych osobowych,
6. weryfikacje dopuszczenia użytkowników do przetwarzania danych,
7. zatwierdzanie decyzji Administratora Informacji o przyznaniu danemu użytkownikowi identyfikatora w danym systemie przetwarzania,
8. zatwierdzanie decyzji Administratora Informacji o przyznaniu danemu użytkownikowi praw dostępu do informacji chronionych w danym systemie przetwarzania.
9. powiadomienie Administratora Systemu o konieczności utworzenia identyfikatora użytkownika w systemie,
10. powiadomienie Administratora Systemu o zmianie uprawnień dostępu Użytkownika do systemu,
11. prowadzenie rejestru osób dopuszczonych do przetwarzania grupy informacji chronionych,
12. przygotowanie dokumentów polityki bezpieczeństwa informacji,
13. szkolenia osób dopuszczonych do danej grupy informacji chronionych w tym zaznajomienie i przeszkolenie pracowników zatrudnionych przy przetwarzaniu danych osobowych z przepisami ustawy o ochronie danych osobowych i przepisami zawartymi w niniejszym zarz3dzeniu oraz za zebranie od nich oświadczeń o odbyciu takiego szkolenia,
14. nadzorowanie podpisania stosownych umów o poufności pomiędzy użytkownikiem dopuszczonym do przetwarzania danej grupy informacji.
Administrator Systemu i Sieci (ASS)
Role Administratora Systemu i Sieci (ASS) pełni pracownik, informatyk QS Sp. z o.o.. ASS odpowiedzialny jest za:
1. bieżący monitoring oraz zapewnianie ciągłości działania systemu informatycznego,
2. optymalizacja wydajności systemu informatycznego,
3. instalacje i konfiguracje sprzętu sieciowego i serwerowego,
4. instalacje i konfiguracje oprogramowania systemowego i sieciowego,
5. konfiguracje i administracje oprogramowaniem systemowym i sieciowym zabezpieczającym dane chronione przed nieupoważnionym dostępem,
6. konfiguracje i administracje systemem pocztowym QS Sp. z o.o.,
7. prowadzenie rejestru osób dopuszczonych do systemu (rejestr powinien zawierać: imię i nazwisko osoby, pełnioną rolę, grupę informacji, czas trwania dostępu),
8. współpracę z dostawcami Usług i sprzętu sieciowego, serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych,
9. weryfikacje możliwości integracji systemów informatycznych,
10. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego i sieciowego,
11. zarządzanie kopiami awaryjnymi danych w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
12. opracowanie procedur określających zarządzanie systemem informatycznym,
13. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
14. przyznawanie na wniosek Administratora Informacji, za zgodą Administratora Bezpieczeństwa Informacji ściśle określonych praw dostępu do informacji w danym systemie,
15. udostępnianie danych zgromadzonych w Systemie Informatycznym, za zgodą Administratora Bezpieczeństwa Informacji,
16. prowadzenie zakupów urządzeń sieciowych i serwerowych,
17. prowadzenie zakupów oprogramowania sieciowego i serwerowego,
18. wnioskowanie do Administratora Bezpieczeństwa Informacji w sprawie procedurach bezpieczeństwa i standardów zabezpieczeń.
Praca Administratora Systemu i Sieci jest nadzorowana pod względem bezpieczeństwa przez Administratora Bezpieczeństwa Informacji.
Użytkownik
Użytkownik odpowiedzialny jest za:
1. zachowanie szczególnej staranności przy gromadzeniu danych, aby dane te były:
1.1. przetwarzane zgodnie z prawem,
1.2. zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.
1.3. merytorycznie poprawne i adekwatne w stosunku do celów, jakich są. przetwarzane,
2. poprawne korzystanie z aplikacji zgodnie z powierzonymi obowiązkami służbowymi
3. informowanie Administratora Systemu o wszelkich nieprawidłowościach działania Aplikacji,
4. ustalenie hasła, okresowe zmiany haseł,
5. utrzymywanie w ścisłej tajemnicy haseł, którymi się posługuje
6. zmianę hasła w przypadku powzięcia przez użytkownika podejrzenia lub stwierdzenia, ze z hasłem mogły zapoznać się osoby trzecie i powiadomienie o tym fakcie Administratora Bezpieczeństwa Informacji
7. zgłaszanie Administratorowi Informacji wszelkich zauważonych nieprawidłowości danych gromadzonych w Aplikacji
8. zgłaszanie awarii Urządzeń komputerowych, Oprogramowania Systemowego, Sieci Komputerowej
Administratorowi Systemu
Polityka bezpieczeństwa określa:
1. Wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są. dane osobowe;
2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania miedzy nimi;
4. Sposób przepływu danych pomiędzy poszczególnymi systemami;
5. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Obszar przetwarzania danych osobowych
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są. dane osobowe wyznacza Administrator Bezpieczeństwa Informacji.
1. Przetwarzanie informacji, w tym informacji osobowych odbywa, się w Budynku przy ul. Modlińskiej 190, gdzie mieści się siedziba QS Sp. z o.o..
2. Część informacji przetwarzana jest również na komputerach przenośnych.
Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym
1. W skład systemu wchodzą:
1.1. dokumentacja papierowa (korespondencja, wnioski, deklaracje, itd.)
1.2. urządzenia i oprogramowanie komputerowe służące do przetwarzania informacji oraz procedury przetwarzania danych w tym systemie, w tym procedury awaryjne.
1.3. wydruki komputerowe
2. Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym prowadzi Administrator Bezpieczeństwa Informacji wykaz ten stanowi Zalacznik nr 1
Struktury zbiorów danych osobowych oraz sposób przepływu danych.
Opisy struktur zbiorów danych osobowych oraz powiązań miedzy zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami stanowi prowadzi Administrator Bezpieczeństwa Informacji.
Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalnosci przetwarzanych danych
1. Środki ochrony fizycznej
1.1 Budynek jest zamykany po zakończeniu pracy,
1.2 Budynek jest nadzorowany przez :
1.2.1 Pracownika dozoru
1.2.2 System monitoringu
1.3 Pomieszczenia QS Sp. zo.o. posiadają. system alarmowy
1.4 Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi.
1.5 Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych lub w obecności Administratora Bezpieczeństwa Informacji.
1.6 Pomieszczenia, o których mowa wyżej, powinny być zamykane na czas nieobecności pracownika zatrudnionego przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
1.7 W przypadku przebywania osób postronnych w pomieszczeniach, o których mowa wyżej, monitory stanowisk dostępu do danych osobowych powinny być ustawione w taki sposób, aby uniemożliwić tym osobom wgląd w dane.
1.8 Do przebywania w serwerowni uprawnieni są: Administrator Bezpieczeństwa Informacji oraz osoba odpowiedzialna za obsługę informatyczną.
1.9 Przebywanie w pomieszczeniu serwera osób nieuprawnionych (konserwator, elektryk, sprzątaczka) dopuszczalne jest tylko w obecności jednej z osób upoważnionych, o których mowa w pkt. 1.8
2. Środki sprzętowe, informatyczne i telekomunikacyjne
2.1 Każdy dokument papierowy zawierający dane osobowe przeznaczony do wyrzucenia powinien być zniszczony w sposób uniemożliwiający jego odczytanie, przy pomocy niszczarki, która umożliwia ciecie poprzeczne.
2.2 Urządzenia wchodzące w skład systemu informatycznego podłączone do odrębnego obwodu elektrycznego, zabezpieczonego na wypadek zaniku napięcia albo awarii w sieci zasilającej UPS-em.
2.3 Siec lokalna podłączona do Internetu , oddzielona sprzętowym firewallem (zaporą)
2.4 Na stanowiskach pracy, w których przetwarzane dane osobowe zastosowano oprogramowanie do tworzenia kopii zapasowych.
2.5 Kopie awaryjne wykonywane w cyklach:
2.5.1 dzienna na streamerach
2.5.2 miesięczna na streamerach, płytach CD,DVD
2.5.3 kwartalna na płytach DVD-R
3.Środki ochrony w ramach oprogramowania systemu
3.1 Dostęp fizyczny do baz danych osobowych zastrzeżony jest wyłącznie dla osoby zajmującej się obsługą informatyczną oraz Administratora Bezpieczeństwa Informacji.
3.2 Konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych jedynie za pośrednictwem aplikacji.
3.3 System informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu.
4 Środki ochrony w ramach narządzi baz danych i innych narządzi programowych
4.1 Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji.
4.2 Dla każdego użytkownika systemu jest ustalony odrębny identyfikator.
4.3 Zdefiniowano użytkowników i ich prawa dostępu do danych osobowych na poziomie aplikacji (unikalny identyfikator i hasło).
5. Środki ochrony w ramach systemu użytkowego
Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika.
Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem uruchomieniowym (BIOS), hasłem wejściowym do systemu operacyjnego oraz hasłem do każdej aplikacji przy pomocy której przetwarzane są. dane osobowe.
6. Środki organizacyjne
6.1 Osoby upoważnione do przetwarzania danych osobowych przed dopuszczeniem do pracy zostaną przeszkolone w zakresie obwiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych, oraz poinformowane o podstawowych zagrożeniach związanych z przetwarzaniem danych w systemie informatycznym.
6.2 Prowadzona jest ewidencja osób upoważnionych do przetwarzaniu danych osobowych
6.3 Wprowadzono instrukcje zarządzania systemem informatycznym
6.4 Zdefiniowano procedury postepowania w sytuacji naruszenia ochrony danych osobowych.
6.5 Wprowadzono obowiązek rejestracji wszystkich przypadków awarii systemu, działań konserwacyjnych w systemie oraz naprawy systemu.
6.6 Określono sposób postepowania z nośnikami informacji.
Znajomość polityki bezpieczeństwa systemu informatycznego
Do zapoznania się z niniejszym dokumentem oraz stosowania zawartych w nim zasad zobowiązani wszyscy pracownicy.
Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym PRACTIQS
Spółka dnia 24 lipca 2012 roku zgłosiła Generalnemu Inspektorowi Danych Osobowych zbiór danych o nazwie PRACTIQS. Przedmiotowy zbiór został zarejestrowany w Rejestrze Zbiorów Danych Osobowych prowadzonym przez Generalnego Inspektora Danych Osobowych dnia 25 sierpnia 2015 roku. Podstawą prawną przetwarzania danych osobowych w powyższym zbiorze jest:
1) zgoda osób których dane dotyczą,
2) konieczność przetwarzania danych dla realizacji umowy, gdy osoba której dane dotyczą jest jej stroną lub niezbędność podjęcia działań przed zawarciem umowy na żądanie osoby której dane dotyczą;
3) niezbędność przetwarzania do wypełnienia prawnie usprawiedliwionych celów realizowanych przez spółkę albo odbiorców danych (marketing bezpośredni produktów lub usług spółki, dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej), gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.