POLITYKA OCHRONY DANYCH OSOBOWYCH w firmie BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
WPROWADZENIE
Niniejszy dokument określa zasady i procedury obowiązujące w procesie przetwarzania danych osobowych w firmie BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
Polityka Ochrony Danych osobowych została opracowana na podstawie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).
Firma BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ przetwarza dane osobowe w rozumieniu RODO. Firma BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ w procesie przetwarzania danych chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.
Firma BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ przetwarza dane osobowe znajdujące się w administrowanych przez nią zbiorach w określonych celach i w określonym zakresie, jeżeli:
- jest to konieczne do realizacji zadań Firmy,
- jest to niezbędne do osiągnięcia uzasadnionych celów biznesowych, zarządczych
i organizacyjnych, - w innym celu i zakresie, jeżeli osoba, której przetwarzane dane dotyczą, wyrazi na to pisemną zgodę – do czasu jej odwołania.
Polityka ochrony danych w Firma BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ zawiera:
- ogólne zasady bezpieczeństwa informacji w Firmie,
- informacje o przekazywaniu danych osobowych poza Unię Europejską lub Europejski Obszar Gospodarczy;
- informacje o szacowaniu ryzyka związanego z bezpieczeństwem informacji;
- wykaz dokumentacji w zakresie przetwarzania danych osobowych.
1. DEFINICJE
Na użytek niniejszej Polityki:
- Polityka – oznacza dokument „Polityka ochrony danych osobowych w Firmie BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
- Dane osobowe – należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
- Osoba możliwa do zidentyfikowania – należy przez to rozumieć osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
- Zbiór danych – należy przez to rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
- Administrator Danych Osobowych („ADO”) – należy przez to rozumieć Firmę BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, adres: 05-660 Warka, Gąski 86, NIP: 7972083081, REGON: 52513983000000.
- Przetwarzanie danych – należy przez to rozumieć jakiekolwiek operacje wykonywane na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
- Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
- System informatyczny – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
- Zabezpieczenie danych w systemie informatycznym – należy przez to rozumieć wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
- Usuwanie danych – należy przez to rozumieć zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
- Zgoda osoby, której dane dotyczą – należy przez to rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli innej treści.
- Podmioty zewnętrzne – należy przez to rozumieć podmioty, które na mocy pisemnej umowy powierzają Firmie zadania i funkcje związane z przetwarzaniem danych osobowych.
- Poufność danych – należy przez to rozumieć, że dane osobowe nie są udostępniane nieupoważnionym podmiotom.
- Integralność danych – należy przez to rozumieć, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
- Rozliczalność przetwarzanych danych – należy przez to rozumieć, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
- Zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
- Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
- Odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
- Strona trzecia oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
- Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
- Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
- REJESTR oznacza Rejestr Czynności Przetwarzania Danych Osobowych przez BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ.
- Rozporządzenie lub RODO oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
2. PRZEPISY OGÓLNE
2.1 ZADANIA ADMINISTRATORA DANYCH
Administratorem Danych Osobowych (ADO) jest Firma BOSCOO CERAMIC SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, adres: 05-660 Warka, Gąski 86, dalej również jako Firma.
Administrator Danych Osobowych realizuje zadania w zakresie ochrony danych osobowych, a w szczególności w zakresie:
- ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach danych Firmy,
- sprawowania kontroli nad wprowadzaniem i udostępnianiem danych osobowych,
- sprawowania kontroli nad wykonywaniem obowiązków informacyjnych przez Firmę w związku z przetwarzaniem danych osobowych,
- podejmowania stosownych działań zgodnie z niniejszą Polityką w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w dokumentacji papierowej lub systemie informatycznym,
- prowadzenia Rejestru Czynności Przetwarzania Danych, którego wzór stanowi załącznik nr 11,
- prowadzenia rejestru przypadków naruszenia zasad ochrony danych osobowych, którego wzór stanowi załącznik nr 7,
- nadzoru i kontroli systemów informatycznych służących do przetwarzania danych osobowych,
3. ZASADY OCHRONY DANYCH
Firma przetwarza dane przestrzegając zasady wynikające z w art. 5 Rozporządzenia:
- na mocy podstawy prawnej i zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbiera dane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza danych dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
- zbiera dane adekwatne, stosowne oraz ogranicza zakres zbieranych danych do niezbędnych celów, w których są przetwarzane („minimalizacja danych”);
- dane są prawidłowe i uaktualniane; Firma podejmuje wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowuje dane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; („ograniczenie przechowywania”);
- Firma przetwarza dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych („integralność i poufność”),
4. PRAWA JEDNOSTKI i OBOWIĄZKI INFORMACYJNE
Firma wypełnia obowiązki informacyjne wobec osób, których dane przetwarza i zapewnia wykonanie praw przysługujących osobom których dane dotyczą w sposób zrozumiały i przejrzysty.
- przejrzyste informowanie – Firma przekazuje osobom informacje dotyczące przysługujących im praw w następujący sposób:
– zamieszcza w miejscu wykonywania działalności gospodarczej w miejscu widocznym dla Klientów oraz w Serwisie internetowym www.patinastyle.pl informacje o prawach osób, których dane przetwarza zgodnie z klauzulą informacyjną wskazaną w załączniku nr 8 do niniejszej Polityki;
- wykonywanie żądań – Firma zapewnia realizację żądań osoby, której dane są przetwarzane w terminach i na zasadach określonych w RODO,
- polityka zgłaszania naruszeń – Firma wprowadza procedury w zakresie zawiadomienia osób dotkniętych naruszeniem ochrony danych osobowych.
Zapewnione są prawa osób, których dane podlegają przetwarzaniu. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, przez Firmę, a w szczególności prawo do:
- uzyskania wyczerpującej informacji o przetwarzaniu jej danych przy pozyskaniu danych od tej osoby,
- informacji w zakresie przetwarzania danych niezidentyfikowanych przez Firmę,
- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych, w tym o planowanych zmianach celu przetwarzania danych,
- uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania w powszechnie zrozumiałej formie treści tych danych;
- uzyskania informacji o źródle danych, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej;
- uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
- żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane,
- informacji o prawie sprzeciwu względem przetwarzania danych najpóźniej przy pozyskaniu danych;
- zawiadomienia osoby o naruszeniu ochrony danych osobowych.
5. ŻĄDANIA OSÓB
Administrator prowadzi dokumentację w zakresie realizacji zawiadomień i żądań osób, których dane dotyczą. Dane osobowe udostępniane są na pisemny wniosek osoby, której dane dotyczą.
Wniosek powinien zawierać informacje umożliwiające wyszukanie żądanych danych osobowych.
W celu zapewnienia zasady integralności i poufności danych a także przeciwdziałaniu ujawnienia danych osobie nieuprawnionej Administrator ma obowiązek potwierdzić tożsamość wnioskodawcy.
Na żądanie osoby, której dane dotyczą Firma informuje osobę, czy przetwarza jej dane oraz informuje osobę o szczegółach przetwarzania udzielając informacji w zakresie określonym obowiązkowi informacyjnemu przy zbieraniu danych.
Dostęp do danych jest realizowany przez wydanie kopii danych. Administrator dokumentuje fakt wydania kopii danych. Firma może pobierać opłaty za udostępnienie kopii danych.
6. TERMIN REALIZACJI OBOWIĄZKÓW INFORMACYJNYCH
Administrator w odpowiedzi na żądanie otrzymane od podmiotu danych, udziela bez zbędnej zwłoki – nie później jednak niż w terminie 1 miesiąca – informacji o działaniach podjętych w związku z tym żądaniem.
W przypadku wystąpienia żądania o skomplikowanym charakterze lub dużej liczby żądań termin na rozpoznanie żądania podmiotu danych administrator może wydłużyć maksymalnie o dodatkowe 2 miesiące. W takim przypadku administrator zobligowany jest do poinformowania podmiotu danych o przyczynach i okresie na wydłużenia rozpoznania żądania.
7, SPROSTOWANIE DANYCH
Osoba której dane dotyczą ma prawo żądania niezwłocznego sprostowania dotyczących jej nieprawidłowych danych osobowych.
Firma dokonuje sprostowania nieprawidłowych danych na żądanie osoby, której dane dotyczą. Firma ma prawo odmówić sprostowania danych w sytuacji gdy żądanie osoby jest sprzeczne z zasadami przetwarzania danych, w szczególności w sytuacji gdy osoba której dane dotyczą żąda zastąpienia dotychczasowych danych danymi nieprawidłowymi.
8. UZUPEŁNIENIE DANYCH
Firma uzupełnia i aktualizuje dane na żądanie osoby, której dane dotyczą. Firma ma prawo odmówić uzupełnienia danych w sytuacji gdy żądanie osoby jest sprzeczne z celami przetwarzania danych, w szczególności w sytuacji gdy osoba której dane dotyczą żąda uzupełnienia danych na podstawie niewiarygodnego oświadczenia.
9. USUNIĘCIE DANYCH – REALIZACJA PRAWA DO BYCIA ZAPOMNIANYM
Osoba, której dane dotyczą, ma prawo żądania niezwłocznego usunięcia dotyczących jej danych osobowych. Firma ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,
- osoba, której dane dotyczą, wnosi skuteczny sprzeciw wobec przetwarzania i nie występują prawnie uzasadnione podstawy przetwarzania,
- dane osobowe były przetwarzane niezgodnie z prawem,
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego,
- żądanie dotyczy danych osobowych dziecka i zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
W przypadku upublicznienia danych osobowych przez Firmę, Firma ma obowiązek podjąć działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
10. OGRANICZENIE PRZETWARZANIA DANYCH
Osoba, której dane dotyczą, ma prawo żądania ograniczenia przetwarzania danych. Na żądanie osoby Administrator dokonuje ograniczenia przetwarzania danych w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalając sprawdzić prawidłowość danych,
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
- Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
- osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu ich przetwarzania każdego odbiorcę któremu ujawniono dane, chyba że będzie to niemożliwe lub będzie wymagać niewspółmiernego wysiłku.
Administrator informuje osobę, której dane dotyczą o odbiorcach danych na żądanie tej osoby.
11. PRZENOSZENIE DANYCH
Administrator realizuje prawo do przenoszenia danych. Administrator na żądanie osoby wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dotyczące jej dane osobowe które dostarczyła Administratorowi, przetwarzane w wyniku udzielenia zgody przez osobę lub w celu zawarcia lub wykonania umowy.
12. SPRZECIW W SZCZEGÓLNEJ SYTUACJI
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw z przyczyn związanych z jej szczególną sytuacją wobec przetwarzania dotyczących jej danych osobowych, a dane te są przetwarzane przez Administratora w oparciu o uzasadniony interes Firmy lub o powierzone Firmie zadanie w interesie publicznym.
Administrator uwzględni sprzeciw i przestanie przetwarzać dane osobowe, chyba że wystąpią ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
13. SPRZECIW WOBEC MARKETINGU BEZPOŚREDNIEGO
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Administrator po otrzymaniu sprzeciwu uwzględni sprzeciw i zaprzestanie takiego przetwarzania.
14. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH W FIRMIE
Rejestr zawiera informacje, które są odzwierciedleniem procesów przetwarzania danych i związanych z tym obowiązków administratora.
Rejestr jest narzędziem realizacji zasady rozliczalności. Rejestr ma formę pisemną i prowadzony jest w systemie elektronicznym.
W Rejestrze zamieszczane są informacje dotyczące każdej czynności przetwarzania danych. Rejestr zawiera następujące dane:
1) imię i nazwisko lub nazwę oraz dane kontaktowe administratora,
2) nazwę czynności;
3) cele przetwarzania danych;
4) opis kategorii osób, których dane dotyczą, oraz kategorii danych ich dotyczących;
5)kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
6)opis kategorii danych,
7) podstawę prawną przetwarzania,
8) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
9) planowane terminy usunięcia poszczególnych kategorii danych;
10) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Wzór Rejestru stanowi Załącznik nr 11 do niniejszej Polityki.
15. INWENTARYZACJA DANYCH. OPIS STRUKTURY DANYCH
Inwentaryzacja danych w Firmie dokonuje się poprzez proces identyfikacji zasobów danych w Firmie, kategorii danych i sposobów ich wykorzystywania.
Wykaz zbiorów stanowi załącznik nr 7 do niniejszej Polityki.
Do zasobów systemu informatycznego służącego do przetwarzania danych osobowych zalicza się:
- Word,
- Excel,
- program mailowy Firmy
Firma może tworzyć własne bazy danych w programach Word i Excel i dotyczy to zbiorów danych osobowych zgromadzonych samodzielnie i danych osobowych powierzonych przez podmioty trzecie w ramach umowy powierzenia.
Klienci i Użytkownicy – dokumentacja jest prowadzona w formie elektronicznej i papierowej. Struktura zbioru zawiera następujące informacje o Klientach i Użytkownikach:
- imię, nazwisko, nazwa firmy,
- NIP
- adres do korespondencji
- adres e-mail
- numer telefonu
- nick, login
- hasło
16. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY SYSTEMAMI
Podmioty, do których przekazywane są dane to:
- Zakład Ubezpieczeń Społecznych,
- Urząd Skarbowy,
- PayU
- firmy kurierskie
- Poczta Polska S.A.
- Organy Państwa na podstawie przepisów prawa,
Przelewy bankowe i międzybankowe realizowane są teletransmisyjnie za pośrednictwem Internetu.
17. ŚRODKI TECHNICZNE I ORGANIZACYJNE STOSOWANE PRZY PRZETWARZANIU DANYCH OSOBOWYCH
ŚRODKI ORGANIZACYJNE
Zapewnienie poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych w Firmie oraz przez osoby upoważnione odbywa się poprzez:
- opracowanie i wdrożenie Polityki potwierdzone oświadczeniem osób przetwarzających dane o zapoznaniu się z zasadami przetwarzania danych – zgodnie z załącznikiem nr 1 i 2 do niniejszej Polityki,
- nadanie pracownikom, współpracownikom, praktykantom i stażystom Firmy upoważnień do przetwarzania danych osobowych załącznikiem 4 do niniejszej Polityki,
- prowadzenia ewidencji osób upoważnionych zgodnie z załącznikiem nr 5 do niniejszej Polityki;
- odwoływania upoważnień do przetwarzania danych osobowych zgodnie z załącznikiem nr 6 do niniejszej Polityki;
- sprawowanie kontroli i nadzoru nad procesem wprowadzania danych osobowych do zbioru oraz ich udostępniania.
18. MINIMALIZACJA
Firma przestrzega zasady minimalizacji przetwarzanych danych pod względem ich adekwatności do celów przetwarzania, dostępu do danych i okresu ich przechowywania.
19. ILOŚĆ DANYCH I ZAKRES PRZETWARZANIA
Firma przetwarza tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych.
Okresowy przegląd przetwarzanych danych w zakresie ilości i zakresu danych Firma przeprowadza nie rzadziej niż raz na rok.
20. DOSTĘP (privacy by default)
Do zastosowanych w Firmie rozwiązań organizacyjnych służących zapewnieniu poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych należą:
- przetwarzania danych przez tylko przez osoby posiadające stosowane upoważnienia;
- przestrzeganie przez osoby przetwarzające dane zobowiązania do zachowania poufności i stosowania zasad określonych w niniejszej Polityce,
- kontrola dostępu do pomieszczeń w których przetwarzane są dane osobowe;
- przetwarzanie danych osobowych w wydzielonych, odpowiednio zabezpieczonych i przystosowanych do tego pomieszczeniach;
- zabezpieczenie wejścia do pomieszczeń i wyposażenie pomieszczeń w szafy dające gwarancję bezpieczeństwa dokumentacji i nośników danych;
- zastosowanie środków technicznych w zakresie dostępu do danych przetwarzanych w systemach informatycznych, jak loginy i hasła dostępu do komputera.
21. ŚRODKI TECHNICZNE
Do zastosowanych w Firmie środków technicznych służących zapewnieniu poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych należą:
- w przypadku systemów informatycznych dla potrzeb bieżącego użytkowania i przesyłania danych stosowane są zabezpieczenia podmiotów, którym przekazywane są dane:
- dostęp do systemu informatycznego na którym znajdują się dane osobowe chroniony jest wymogiem podania loginu i hasła, uniemożliwiających nieuprawnione korzystanie osobom nieupoważnionym,
- ustawienie monitorów komputerów w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
- Loginy i hasła umożliwiające dostęp do komputerów są zabezpieczone w systemie informatycznym.
22. CZAS (retencja danych)
Firma analizuje i weryfikuje czas przechowywania danych osobowych. Firma określa z góry czas, przez który przechowuje dane osobowe i dokonuje monitorowania okresowej przydatności oraz planowego usuwania danych.
23. EKSPORT DANYCH
Firma weryfikuje przekazywanie danych do państw trzecich lub organizacji międzynarodowych, w przypadku eksportu danych zapewnia zgodność z prawem procesu przekazania.
24 PRIVACY BY DESIGN
W realizacji nowych projektów Firma zarządza zmianami wpływającymi na prywatność. Wdrażanie nowych projektów i inwestycji w Firmie poprzedza analiza ryzyka wpływu zmiany na ochronę danych osobowych w fazie projektowania.
25. PODMIOT PRZETWARZAJĄCY
Jeżeli przetwarzanie ma być dokonywane w imieniu Firmy, Firma korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie było zgodne z niniejszą Polityką i chroniło prawa osób, których dane dotyczą.
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie pisemnej umowy i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Wzór umowy powierzenia przetwarzania danych stanowi Załącznik do niniejszej Polityki.
26. ZAPEWNIENIA BEZPIECZEŃSTWA PRZETWARZANYCH DANYCH:
- Firma przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii,
- Przeprowadza oceny skutków dla ochrony danych,
- Wprowadza środki ochrony danych w stosunku do ustalonego ryzyka,
- Stosuje procedury umożliwiające zarządzanie incydentami i dotyczące identyfikacji i zgłoszenia naruszenia ochrony danych do Urzędu Ochrony Danych.
27. OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH
Zabronione jest przez pracowników/współpracowników Firmy oraz pracowników/współpracowników podmiotów trzecich :
- Przetwarzanie w zbiorze danych osobowych:
- do których przetwarzania nie jest dany pracownik upoważniony,
- do których przetwarzanie jest zabronione,
- niezgodnych z celem stworzenia zbioru danych,
- Udostępnianie lub umożliwianie dostępu do danych osobowych osobom nieupoważnionym.
- Niedopełnianie obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach,
- Uniemożliwianie osobie, której dane dotyczą, korzystania z przysługujących jej praw.
Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie wyjaśniające.
W przypadku potwierdzenia nieprawidłowości przez pracownika lub współpracownika podmiotu trzeciego, który powierzył na mocy umowy przetwarzanie danych osobowych, Firma przekazuje podmiotowi trzeciemu sprawozdanie z postępowania wyjaśniającego dotyczącego nieprzestrzegania przepisów o ochronie danych osobowych.
28. Firma przeprowadza analizy w zakresie ryzyka wystąpienia następujących zagrożeń:
- nieuprawnionego dostępu do systemu z zewnątrz (włamanie do systemu),
- nieuprawnionego dostęp do systemu z jego wnętrza,
- nieuprawnionego przekazania danych,
- pogorszenie jakości sprzętu i oprogramowania,
- bezpośrednie zagrożenie materialnych składników systemu.
Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to głównie:
- sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, niepożądana ingerencja ekipy remontowej itp.;
- niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego,
- awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych;
- pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu;
- pogorszenie jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie;
- naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie;
- stwierdzona próba modyfikacji lub modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia (autoryzacji);
- niedopuszczalna manipulacja danymi osobowymi w systemie;
- ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedury ochrony przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń;
- nieprzypadkowe odstępstwa od zasad bezpieczeństwa pracy w systemie lub sieci komputerowej wskazujące na przełamanie lub zaniechanie ochrony danych osobowych – np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu itp.;
- istnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki” itp.;
- podmiana lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia, jak również skasowanie lub skopiowanie w sposób niedozwolony danych osobowych;
- rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, niezamknięcie pomieszczenia z komputerem, niewykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych itp.).
Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (w szczególności otwarte szafy, biurka, regały, urządzenia archiwalne) na nośnikach elektronicznych i tradycyjnych, tj. na papierze (wydrukach).
Osoby zajmujące się przetwarzaniem danych osobowych są zobowiązane powiadomić Administratora Danych Osobowych o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych w każdym zbiorze danych lub systemie.
Rejestracji podlegają wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy.
W przypadku, gdy uszkodzenie sprzętu zawierającego nośnik danych, na którym zapisane są dane osobowe wymusza konieczność przekazania go poza siedzibę Firmy, nośnik ten należy wymontować.
29. POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH
W przypadku stwierdzenia :
- naruszenia zabezpieczeń systemu informatycznego,
- naruszenia technicznego stanu urządzeń,
- naruszenia zawartości zbioru danych osobowych,
- ujawnienia metody pracy lub sposobu działania programu,
- jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
- innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, )
Każda osoba przetwarzająca dane osobowe jest zobowiązana niezwłocznie powiadomić o tym fakcie ADO.
Procedura postępowania w przypadku naruszenia ochrony danych osobowych jest następująca:
- Każdy pracownik/współpracownik Firmy, bądź pracownik/współpracownik podmiotu trzeciego, który na mocy umowy powierzył przetwarzanie danych osobowych, a który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to ADO
- W przypadku naruszenia ochrony danych należy:
- niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony (o ile to jest możliwe),
- ustalić przyczynę i sprawcę naruszenia ochrony,
- rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, na ile to możliwe należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia ochrony i udokumentowanie zdarzenia.
- nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia przedstawiciela ADO.
- Firma podejmuje następujące kroki:
- zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy Firmy,
- może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem,
- powiadamia o zaistniałym naruszeniu podmiot trzeci,
- nawiązuje kontakt ze specjalistami spoza Firmy (jeśli zachodzi taka potrzeba).
- ADO lub osoba przez nią upoważniona dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport wg wzoru stanowiącego załącznik Nr 9 do niniejszej Polityki, który zawiera następujące informacje:
- wskazanie osoby zawiadamiającej o naruszeniu, oraz innych osób zaangażowanych w wyjaśnienie okoliczności naruszenia bezpieczeństwa,
- określenie czasu i miejsca zawiadomienia o naruszeniu bezpieczeństwa, jak i samego naruszenia (o ile da się ustalić),
- określenie okoliczności towarzyszących i rodzaju naruszenia,
- opis podjętego działania wraz z wyjaśnieniem wyboru sposobu działania,
- wstępną ocenę przyczyn wystąpienia naruszenia bezpieczeństwa,
- ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego
- raport z wystąpienia zdarzenia przekazuje Urzędowi Ochrony Danych.
- ADO zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń, oraz terminu wznowienia przetwarzania danych osobowych).
- Zaistniałe naruszenie bezpieczeństwa może stać się przedmiotem zespołowej analizy przeprowadzanej przez ADO oraz kierownictwo podmiotu trzeciego.
- Analiza ta powinna zawierać wszechstronną ocenę zaistniałego naruszenia bezpieczeństwa, wskazanie odpowiedzialnych, wnioski co do ewentualnych działań proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości.
- ZGŁASZANIE NARUSZEŃ
Firma niezwłocznie, nie później niż w terminie 72 godzin od ustalenia naruszenia zgłasza Urzędowi Ochrony Danych identyfikację naruszenia ochrony danych. Zgłoszenie zawiera opis naruszenia danych, charakter naruszenia, możliwe konsekwencje i zastosowane środki zaradcze.
- POSTANOWIENIA KOŃCOWE
Osoby, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, potwierdzają ten fakt poprzez podpisanie oświadczenia stanowiącego załącznika nr 1 do Polityki.
Ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, zobowiązany jest prowadzić Administrator Danych Osobowych. Jednocześnie podmiot trzeci, który zawarł z Administratorem umowę o powierzeniu przetwarzania danych osobowych zobligowany jest do powiadomienia pracowników i współpracowników o podmiocie, który na mocy umowy powierzenia będzie przetwarzał dane osobowe.
Polityka wchodzi w życie z dniem 16.07.2023 r.
W sprawach nieuregulowanych niniejszą Polityką mają zastosowanie przepisy Rozporządzenia RODO.
Zmiany w Polityce będą wchodzić w życie w terminach określonych przez Przedsiębiorcę. Zmiany te dokumentuje się w Arkuszu Zmian, którego wzór stanowi Załącznik 1 do Polityki.