Niniejsza Polityka została wdrożona u Magdaleny Giżyckiej prowadzącego działalność gospodarczą pod firmą Magdalena Giżycka malowanie dachów siedzibą w Tomicach przy ul. Floriańska 27, posiadającego numer NIP 5512320584 i stanowi instrument ochrony danych osobowych, o którym mowa w art. 24 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej także jako: RODO.
1. Administrator Danych (także: Administrator) – Magdalena
Giżycka prowadzący działalność gospodarczą pod firmą Magdalena
Giżycka malowanie dachów z siedzibą w Tomicach przy ul. Floriańska
27, posiadający numery NIP 5512320584;
2. dane osobowe –
wszelkie informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej („osobie, której dane
dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba,
którą można bezpośrednio lub pośrednio zidentyfikować, w
szczególności na podstawie identyfikatora takiego jak imię i
nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
internetowy lub jeden bądź kilka szczególnych czynników określających
fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną,
kulturową lub społeczną tożsamość osoby fizycznej;
3.
informatyczne nośniki danych – materiały lub urządzenia służące
do zapisywania, przechowywania i odczytywania danych osobowych w
postaci cyfrowej lub analogowej,
4. integralność danych –
właściwość zapewniająca, że dane osobowe nie zostały zmienione lub
zniszczone w sposób nieautoryzowany;
5. poufność danych –
właściwość zapewniająca, że dane nie są udostępniane
nieupoważnionym podmiotom;
6. przetwarzanie danych osobowych –
operacja lub zestaw operacji wykonywanych na danych osobowych lub
zestawach danych osobowych w sposób zautomatyzowany lub
niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie,
porządkowanie, przechowywanie, adaptowanie lub modyfikowanie,
pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez
przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
7.
RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z
dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych);
8. rozliczalność danych –
właściwość zapewniająca, że działania podmiotu mogą być przypisane w
sposób jednoznaczny tylko temu podmiotowi;
9. integralność
systemu - nienaruszalność systemu, niemożność jakiejkolwiek
manipulacji, zarówno zamierzonej, jak i przypadkowej;
10.
usuwanie danych – zniszczenie danych osobowych lub taka ich
modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której
dane dotyczą (”anonimizacja”).
1. Niniejsza Polityka została opracowana w celu:
a)
rzetelnego i zgodnego z prawem przetwarzania danych osobowych przez
Administratora;
b) ułatwienia zbudowania i konsekwentnego
utrzymywania systemu bezpieczeństwa podczas korzystania z systemów
informatycznych i tradycyjnych metod przetwarzania danych
osobowych;
c) ochrony danych osobowych przetwarzanych przez
Administratora, a zwłaszcza ochrony przed: uzyskaniem dostępu do
danych przez osoby nieupoważnione, zabraniem przez osoby
nieuprawnione, przed zmianą, uszkodzeniem lub zniszczeniem oraz przed
przetwarzaniem z naruszeniem przepisów określających zasady
postępowania przy przetwarzaniu danych osobowych.
2. Podjęte
działania i środki zostały ukierunkowane odpowiednio w stosunku do
zakresu, potrzeb i sposobu przetwarzania danych w ramach działalności
Magdalną Giżycką prowadzącego działalność pod firmą Magdalena Giżycka
Malowanie dachów 3. Treść niniejszej Polityki w szczególności
uwzględnia okoliczność, że Administrator nie powołał Inspektora
Ochrony Danych Osobowych ze względu na fakt, że:
a) nie zachodzą
podstawy do jego obligatoryjnego powołania w myśl art. 37 ust.1
RODO;
b) po przeprowadzeniu analizy sposobów i zakresu
przetwarzania danych osobowych, Administrator uznał, że nie ma takiej
potrzeby.
4. Polityka pełni funkcję przewodnią dla wszystkich
osób, które w związku ze współpracą z Magdaleną Giżycką w ramach
prowadzonej przez niego działalności wykonują zadania związane z
przetwarzaniem danych osobowych w rozumieniu niniejszej Polityki.
Otrzymując upoważnienie do przetwarzania danych osobowych osoby te
zapoznają się z niniejszym dokumentem i zobowiązują się do
przestrzegania jego postanowień.
5. Uzupełnieniem systemu
ochrony danych osobowych u Administratora jest:
a) Polityka
Prywatności;
b) Procedura mająca zastosowanie w razie
wystąpienia naruszeń ochrony danych osobowych;
c) Stosowanie
umów o powierzenie przetwarzania danych osobowych zobowiązujących
podmioty przetwarzające dane osobowe w imieniu Administratora do
zapewnienia odpowiedniego poziomu bezpieczeństwa danych;
d)
Prowadzenie ewidencji osób upoważnionych do przetwarzania danych
osobowych w imieniu Administratora;
e) Przeszkolenie osób
upoważnionych do przetwarzania danych osobowych w imieniu
Administratora w zakresie zasad i sposobów przetwarzania oraz ochrony
danych osobowych, jak również zobowiązanie ich do zachowania
poufności danych;
f) Stosowanie odpowiednich klauzul
informacyjnych przy zawieraniu umów z klientami i kontrahentami. Poza
powyższym, wszystkie podmioty współpracujące z Administratorem w
ramach prowadzonej przez niego działalności gospodarczej -
niezależnie od podstawy tej współpracy - zawierając umowy dotyczące
współpracy zobowiązują się przestrzegać zasad ochrony danych
osobowych.
1. Zastosowane zabezpieczenia mają służyć osiągnięciu celów, o
których mowa w §3 powyżej i zapewnić:
a) integralność i
poufność danych rozumiane jako przetwarzanie w sposób zapewniający
odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed
niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową
utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków
technicznych lub organizacyjnych;
b) rozliczalność danych
rozumianą jako przyjęcie na siebie przez Administratora
odpowiedzialności za przestrzeganie zasad ochrony danych osobowych
oraz zobowiązanie do wykazania przestrzegania tych przepisów;
c)
integralność systemu.
2. Administrator zapewnia także
przejrzystość przetwarzania poprzez rzetelne informowanie osób,
których dane dotyczą o zasadach przetwarzania oraz utrzymywanie
dialogu z tymi osobami. Administrator dba aby informacje były
przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej
formie oraz jasnym i prostym językiem.
1. Polityka ma zastosowanie w stosunku do wszelkich danych
osobowych przetwarzanych u Administratora, niezależnie od formy ich
przetwarzania i od tego, czy mogą być one przetwarzane w zbiorach
danych, a w szczególności do:
a) danych osobowych przetwarzanych
w systemie informatycznym Administratora, danych osobowych zapisanych
na informatycznych nośnikach danych oraz danych przetwarzanych w
tradycyjnej formie papierowej;
b) danych osobowych
przetwarzanych zarówno w zestawach, jak i pojedynczych informacji
osobowych.
2. Polityka będzie weryfikowana i dostosowywana w
celu zapewnienia odpowiedniego poziomu bezpieczeństwa nie rzadziej
niż raz w roku.
1. Administrator przetwarza następujące kategorie danych
osobowych:
a) dane osobowe zleceniobiorców świadczących usługi
dla Administratora,
b) dane osobowe klientów Administratora,
c)
dane osobowe kontrahentów i dostawców Administratora,
d) dane
osobowe innych niż ww. osób tylko w zakresie incydentalnego
przetwarzania, którego zakres jest wyznaczony jednorazową
potrzebą.
2. Dane osobowe przetwarzane są:
a) w formie
tradycyjnej – papierowych zbiorów danych;
b) w systemie
informatycznym - na stacjonarnym stanowisku komputerowym posiadającym
dostęp do Internetu, a korespondencja e-mail na komputerze przenośnym
z dostępem do Internetu.
3. Administrator stale przechowuje
dokumentację zawierającą dane osobowe kontrahentów i dostawców oraz
zleceniobiorców (m.in. rejestry osób upoważnionych do przetwarzania
danych osobowych). Umowy ze zleceniobiorcami są przechowywane
wyłącznie przez podmiot przetwarzający (biuro rachunkowe).
4.
Pozostałą dokumentację zawierającą dane osobowe Administrator
przechowuje przez okres miesiąca kalendarzowego, z końcem którego
dokumentacja za ten miesiąc przekazywana jest podmiotowi
przetwarzającemu (biuro rachunkowe) i następnie tylko przez ten
podmiot jest przechowywana.
1. Obszar przetwarzania danych osobowych w ramach działalności
Administratora tworzą pomieszczenia zajmowane przez Administratora w
budynku, w którym znajduje się siedziba Administratora, tj. pod
adresem: ul. Floriańska 27 w Tomicach.
2. Wykaz budynków,
pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
przetwarzane są dane osobowe i tworzących obszar przetwarzania danych
osobowych stanowi załącznik nr 1 do niniejszej Polityki.
3.
Wewnątrz obszaru przetwarzania danych osobowych osoby nieupoważnione
przez Administratora mogą przebywać wyłącznie pod kontrolą osoby
upoważnionej do przetwarzania danych osobowych i za zgodą
Administratora.
4. Pomieszczenia, w których przetwarzane są dane
osobowe są zamykane na klucz na czas nieobecności w nich osób
upoważnionych do przetwarzania danych osobowych, w sposób
uniemożliwiający dostęp do nich osobom nieupoważnionym.
5.
Klucze do pomieszczeń, w których przechowywane są dane osobowe po
otwarciu pomieszczeń przechowywane są w zamkniętej na klucz szafie.
Po opuszczeniu i zamknięciu pomieszczeń klucze przechowuje
Administrator lub upoważniona przez niego osoba.
Dla zapewnienia poufności, integralności i rozliczalności
przetwarzania danych osobowych Administrator stosuje następujące
środki:
1. techniczne:
a) ochrona danych osobowych
przetwarzanych w ramach systemu informatycznego przez kontrolę
dostępu do zasobów systemu - uwierzytelnienie użytkownika.
Po
uruchomieniu komputera wymagane jest podanie identyfikatora
użytkownika i hasła zawierającego co najmniej 8 znaków, w tym duże i
małe litery, cyfrę i jeden znak dodatkowy. Hasło i login zapewniają
dostęp do systemu informatycznego jedynie upoważnionym użytkownikom,
którym udzielono dostępu. Użytkownicy obowiązani są nie ujawniać
hasła innym osobom;
b) bezpieczne zasilanie urządzeń
przetwarzających dane chroniące dane przed utratą lub
uszkodzeniem;
c) archiwizacja danych;
d) zastosowanie
wygaszaczy ekranów na stanowiskach, na których przetwarzane są dane
osobowe;
e) zastosowanie mechanizmu blokady dostępu do systemu
informatycznego służącego do przetwarzania danych osobowych w
przypadku dłuższej nieaktywności pracy użytkownika – po
opuszczeniu stanowiska pacy na ponad 10 minut wymagane jest ponowne
zalogowanie się;
f) ochrona antywirusowa stosowana w przypadku
zarówno komputera stacjonarnego, jak i przenośnego;
g) bieżąca i
regularna aktualizacja oprogramowania antywirusowego gwarantująca
aktualność bazy sygnatur szkodliwego oprogramowania;
h) w
przypadku dostępu do systemu informatycznego z sieci zewnętrznej -
zapory sieciowe, a także inne programy i rozwiązania techniczne
zapewniające kontrolę przepływu danych pomiędzy sieciami i w samej
sieci;
i) korzystanie z usług podmiotu profesjonalnie
zajmującego się zabezpieczeniem stacji komputerowych;
j)
niszczenie zbędnych dokumentów i nośników.
Administrator
dokonuje regularnych przeglądów stanu przechowywanych nośników
danych. Nośniki danych, które przeznaczone są do wycofania z użytku z
różnych przyczyn, w tym z powodu: zapisania na nich w sposób
nieodwracalny (nośniki optyczne, dokumenty papierowe) danych
osobowych podlegających usunięciu w związku z osiągnięciem celu ich
przetwarzania, sprzeciwu co do ich przetwarzania, decyzji
administracyjnej itp., upływu okresu ich eksploatacji lub z powodu
uszkodzenia; niszczone są mechanicznie w obrębie obszaru
przetwarzania danych osobowych w sposób trwale uniemożliwiający
odczytanie całości oraz części danych osobowych, które znajdowały się
na nośniku.
2. organizacyjne:
a) zapoznawanie osób
upoważnionych do przetwarzania danych osobowych z dokumentacją
ochrony danych osobowych obowiązującą u Administratora, w tym z
niniejszą Polityką;
b) publikowanie informacji o zagrożeniach i
incydentach;
c) prowadzenie postępowań wyjaśniających w
przypadku stwierdzenia naruszenia ochrony danych osobowych;
d)
doskonalenie zabezpieczeń zasobów systemu informatycznego;
e)
prowadzenie wydzielonych archiwów dla dokumentów papierowych i
nośników komputerowych;
f) przechowywanie dokumentów i nośników
informatycznych w odpowiednio zabezpieczonych szafach;
g)
powierzenie przetwarzania danych osobowych w zakresie rachunkowości
podmiotowi przetwarzającemu zapewniającemu odpowiedni stopień ochrony
powierzonych danych, w tym także przechowywanie przez podmiot
przetwarzający tych danych;
h) zastosowanie procedur
postępowania w razie wystąpienia naruszeń danych osobowych;
i)
opracowywanie i aktualizowanie Polityki i pozostałych dokumentów z
zakresu ochrony danych osobowych obowiązujących u Administratora.
6.
ochrony fizycznej:
a) przetwarzanie danych osobowych w
wydzielonych pomieszczeniach;
b) przestrzeganie zasady
ograniczonego dostępu do danych tylko dla wykonania czynności
objętych poleceniami Administratora .
7. bezpieczeństwa
osobowego:
a) obowiązek zapoznania się przez wszystkie osoby
współpracujące z Administratorem z zasadami ochrony danych osobowych
obowiązującymi u niego;
b) minimalizacja dostępu do danych
osobowych przez zleceniobiorców świadczących usługi dla
Administratora (zakres upoważnienia dopasowany indywidualnie do zadań
wykonywanych przez każdego zleceniobiorcę);
c) zobowiązanie się
zleceniobiorców do zachowania w tajemnicy danych osobowych oraz
sposobów ich przetwarzania i zabezpieczania;
d) przetwarzanie
danych osobowych wyłącznie przez osoby, które zostały do tego
upoważnione;
e) prowadzenie ewidencji osób upoważnionych do
przetwarzania danych osobowych;
f) nadzór nad powierzonym
przetwarzaniem danych osobowych i przetwarzaniem danych w ramach
udzielonego upoważnienia;
g) bieżąca kontrola pracy systemu
informatycznego, zgodnie z aktualnie obowiązującą w tym zakresie
wiedzą;
h) informowanie Administratora o zaobserwowanych
nieprawidłowościach i korzystanie z pomocy podmiotów profesjonalnie
zajmujących się zabezpieczeniem i serwisowaniem stacji
komputerowych;
i) obowiązek raportowania do Administratora
wszelkich naruszeń, zauważonych podatności i innych słabych punktów
systemu zabezpieczeń oraz przypadków błędnego działania sprzętu i
oprogramowania.
1. Administrator udziela upoważnienia do przetwarzania danych
osobowych współpracującym z nim zleceniobiorcom, określając
jednocześnie zakres upoważnienia.
2. Upoważnienia udzielane są w
zakresie niezbędnym do wykonania czynności w ramach umowy o
świadczenie usług dla Administratora. Przy udzielaniu upoważnień
Administrator kieruje się zasadą minimalizacji i udostępnia dane
osobowe zleceniobiorcom w minimalnym możliwym zakresie.
3. Przed
przystąpieniem do wykonywania zadań Administrator lub osoba przez
niego upoważniona zapoznaje ww. osoby z obowiązującymi przepisami
dotyczącymi ochrony danych osobowych oraz z obowiązującą u
Administratora Polityką.
4. Wszystkie osoby upoważnione do
przetwarzania danych osobowych mają obowiązek uprzedniego złożenia
oświadczenia o zachowaniu w poufności informacji podlegających u
Administratora ochronie oraz o znajomości i zobowiązaniu się do
bezpiecznego i zgodnego z prawem przetwarzania i zabezpieczania
danych osobowych.
5. Wzór upoważnienia, o którym mowa w ust. 1
wraz z oświadczeniem, o którym mowa w ust. 4 powyżej stanowi
załącznik nr 2 do Polityki.
6. Uprawnienia użytkownika
umożliwiające dostęp do danych osobowych przetwarzanych w systemie
informatycznym mogą być nadawane wyłącznie osobom upoważnionym do
przetwarzania danych osobowych.
7. Administrator przechowuje
kopie upoważnień oraz prowadzi ewidencję osób upoważnionych do
przetwarzania danych osobowych, która obejmuje następujące dane:
a)
imię i nazwisko osoby upoważnionej,
b) potwierdzenie nadania
upoważnienia do przetwarzania danych osobowych,
c) daty nadania
i ustania upoważnienia do przetwarzania danych osobowych,
d)
zakres upoważnienia.
8. Ewidencja osób upoważnionych do
przetwarzania danych osobowych i mających dostęp do obszaru
przetwarzania danych osobowych aktualizowana jest na bieżąco, a raz w
roku dokonywany jest całościowy przegląd tej ewidencji.
9.
Ewidencja osób upoważnionych do przetwarzania danych osobowych
stanowi załącznik nr 3 do Polityki.
1. Do zadań Administratora należy w szczególności:
a)
opracowanie i prowadzenie dokumentacji ochrony danych osobowych,
monitorowanie jej przestrzegania i wdrażanie niezbędnych zmian;
b)
określanie zasad i celów przetwarzania danych osobowych;
c)
realizowanie zaleceń pokontrolnych Urzędu Ochrony Danych
Osobowych;
d) wyciąganie stosownych konsekwencji wobec osób
naruszających zasady ochrony danych osobowych obowiązujące u
Administratora;
e) kontrola sposobu przetwarzania danych
osobowych;
f) bieżąca kontrola poziomu i stanu bezpieczeństwa
danych osobowych;
g) podejmowanie profilaktycznych i doraźnych
czynności mających na celu zapobieżenie naruszeniom bezpieczeństwa
danych osobowych;
h) podejmowanie stosownych działań celem
zabezpieczenia danych osobowych i usunięcia naruszenia oraz jego
skutków w razie wystąpienia naruszenia ochrony danych osobowych;
i)
przyznawanie upoważnień do przetwarzania danych osobowych;
j)
komunikacja z osobami, których dane dotyczą i przekazywanie im
informacji w sposób zwięzły, przejrzysty, zrozumiały i łatwo
dostępny;
k) ułatwianie osobom, których dane dotyczą wykonywania
ich praw;
l) udzielanie osobom, których dane dotyczą wymaganych
prawem informacji;
m) tworzenie warunków organizacyjnych i
technicznych umożliwiających spełnienie wymogów wynikających z
dokumentacji ochrony danych osobowych obowiązującej u Administratora
i powszechnie obowiązujących przepisów.
1. Obowiązki osoby upoważnionej przez Administratora do
przetwarzania danych osobowych w jego imieniu obejmują m.in.:
a)
znajomość i przestrzeganie Polityki oraz innych obowiązujących
procedur związanych z przetwarzaniem danych osobowych u
Administratora, a także zaleceń i poleceń Administratora lub osoby
przez niego upoważnionej bez względu na podległość służbową w
strukturze organizacyjnej Administratora lub rodzaj stosunku prawnego
wiążącego osobę upoważnioną z Administratorem;
b) uczestniczenie
we wszystkich szkoleniach organizowanych przez Administratora i na
jego polecenie;
c) znajomość i przestrzeganie przepisów prawa w
zakresie ochrony danych osobowych;
d) przetwarzanie danych
osobowych wyłącznie w celu i zakresie wyznaczonym przez
Administratora;
e) zapewnienie poufności i integralności
przetwarzanych przez siebie danych osobowych;
f) podejmowanie
profilaktycznych i doraźnych czynności mających na celu zapobieżenie
naruszeniom bezpieczeństwa danych osobowych;
g) w razie
wystąpienia naruszenia bezpieczeństwa danych osobowych –
natychmiastowe powiadomienie o tym fakcie Administratora oraz
podejmowanie stosownych działań celem zabezpieczenia danych osobowych
i usunięcia naruszenia oraz jego skutków;
h) w przypadku
naruszenia lub uzasadnionego podejrzenia naruszenia postanowień
niniejszej Polityki skutkującego faktycznym lub potencjalnym
naruszeniem bezpieczeństwa danych osobowych - powstrzymanie się od
rozpoczęcia lub kontynuowania jakichkolwiek czynności mogących
spowodować zatarcie śladów bądź dowodów związanych z danym
incydentem, podjęcie niezbędnych działań w celu zapobieżenia
eskalacji naruszenia oraz niezwłoczne powiadomienie o danym
incydencie Administratora.
2. Obowiązki użytkownika systemu
informatycznego obejmują m.in:
a) korzystanie z systemu
informatycznego z zachowaniem zasad bezpieczeństwa i ściśle według
wskazań i zaleceń Administratora lub osoby przez niego
upoważnionej;
b) zapewnienie pełnej poufności własnego
identyfikatora i hasła umożliwiających dostęp do systemu
informatycznego, w szczególności przestrzeganie zakazu zapisywania
haseł na papierze, w telefonach komórkowych lub na niezaszyfrowanych
nośnikach danych, chyba że zapewnia się bezpieczne przechowywanie
danego hasła;
c) dokonywanie zmiany hasła nie rzadziej niż co 3
miesiące, z zastrzeżeniem, iż nie należy haseł powtarzać bądź
stosować w sposób cykliczny haseł dotychczasowych;
d)
przetwarzanie danych w systemie informatycznym z zastosowaniem
mechanizmu blokady dostępu do systemu informatycznego służącego do
przetwarzania danych osobowych w przypadku dłuższej nieaktywności
pracy użytkownika (blokady);
e) wyłączanie komputera w momencie
zakończenia w danym dniu pracy z komputerem;
f) nieudostępnianie
osobom nieupoważnionym do przetwarzania danych osobowych sprzętu (np.
dysków, napędów) należących do Administratora;
g) w przypadku
pracy na komputerach przenośnych w obszarze przetwarzania danych
osobowych stosowania zasad bezpieczeństwa obowiązujących przy pracy
na sprzęcie o charakterze stacjonarnym;
h) w przypadku pracy na
komputerach i urządzeniach przenośnych poza obszarem przetwarzania
danych osobowych stosowania dodatkowo następujących zasad
bezpieczeństwa:
unikania pozostawiania komputera i urządzenia
przenośnego poza bezpośrednim nadzorem użytkownika, w szczególności
poza zasięgiem umożliwiającym fizyczny kontakt z urządzeniem, chyba
że dane urządzenie znajduje się w danym momencie w mieszkaniu
użytkownika;
unikania przewożenia komputerów i urządzeń
przenośnych w samochodach osobowych w kabinie pasażerskiej, na
motocyklach lub rowerem;
unikania przechowywania kilku
egzemplarzy przenośnych urządzeń w jednym miejscu (np. w jednej
torbie, kieszeni);
unikania korzystania z komputerów i urządzeń
przenośnych w miejscach publicznych w sposób niedyskretny;
unikania
udostępniania komputerów i urządzeń przenośnych innym osobom celem
skorzystania z nich;
i) w razie wystąpienia anomalii lub
podejrzanego działania komputerów – natychmiastowe
powiadomienie o tym fakcie Administratora lub osobę przez niego
upoważnioną oraz podjęcie stosownych działań celem zabezpieczenia
danych osobowych.
1. Zasady postępowania w przypadku naruszenia ochrony danych
osobowych reguluje Procedura mająca zastosowanie w razie wystąpienia
naruszeń ochrony danych osobowych, stanowiąca załącznik nr 4 do
niniejszej Polityki.
2. Administrator prowadzi dokumentację
wszystkich naruszeń ochrony danych osobowych (także tych
niewymagających zgłoszenia). Przechowywana dokumentacja obejmuje
także korespondencję pomiędzy osobą, której dane dotyczą a
Administratorem oraz Administratorem a organem nadzoru.
3.
Dokumentacja, o której mowa w ust. 2 powyżej obejmuje m.in. Rejestr
naruszeń ochrony danych osobowych oraz Raport z naruszenia stanowiące
załączniki do Procedury mającej zastosowanie w razie wystąpienia
naruszeń ochrony danych osobowych.
4. W odniesieniu do osób
współpracujących z Administratorem, w tym także zleceniobiorców,
naruszenie zasad ochrony danych osobowych obowiązujących u
Administratora stanowi nienależyte wykonanie obowiązków z umowy o
świadczenie usług i może skutkować odpowiedzialnością odszkodowawczą.
1. W przypadku zbierania danych osobowych i/lub zmiany celów
przetwarzania dotychczas zebranych danych osobowych, Administrator
dopełnia obowiązku informacyjnego w stosunku do osób, których dane są
przetwarzane poprzez podanie wymaganych prawem informacji.
2.
Uprawnienia przysługujące osobom, których dane Administrator
przetwarza określa Polityka prywatności. Polityka prywatności jest
dokumentem jawnym, którego treść służy poinformowaniu osób, których
dane dotyczą o przysługujących im prawach. Polityka prywatności jest
dostępna na stronie internetowej Administratora oraz w jego
siedzibie.
3. Sposób realizacji uprawnień przysługującym osobom,
których dane są przetwarzane określają poniższe postanowienia.
4.
Realizacja żądania następuje w języku, w jakim Administrator
przetwarza dane osobowe.
5. Administrator dokumentuje i
przechowuje korespondencję z osobą, której dane są przetwarzane
mającą za przedmiot korzystanie z jej uprawnień.
6. Jeśli osoba,
której dane są przetwarzane nie sprecyzowała zakresu danych osobowych
lub czynności, których żąda, Administrator zwraca się do takiej osoby
o odpowiednie uszczegółowienie żądania.
7. Realizacja praw, o
których mowa w ust. 2 powyżej jest wolna od opłat, chyba że żądania
są ewidentnie nieuzasadnione lub nadmierne.
8. Administrator ma
prawo do odmowy realizacji żądania osoby, której dane osobowe
przetwarza, w szczególności gdy: realizacja uprawnienia mogłaby
spowodować ujawnienie tajemnicy przedsiębiorstwa i/lub żądanie ma być
zrealizowane w formacie lub w formie niestosowanej przez
Administratora.
9. Administrator może odmówić żądaniu usunięcia
danych osobowych, w przypadku przetwarzania danych osobowych na
podstawie zgody, gdy zgoda nie jest jedyną przesłanką przetwarzania
konkretnych danych osobowych przez Administratora.
10.
Administrator realizuje żądania osoby, której dane są przetwarzane
bez zbędnej zwłoki – w terminie miesiąca od otrzymania żądania.
W przypadku, gdy żądane jest bardzo rozbudowane, złożone lub
skomplikowane termin ten może zostać przedłużony o kolejny miesiąc, o
czym Administrator informuje osobę, która zgłosiła mu żądanie.
1. Administrator może powierzyć przetwarzanie danych osobowych w
drodze umowy wyłącznie podmiotom, z którymi współpracuje w ramach
prowadzonej przez siebie działalności gospodarczej, w tym biurom
księgowym oraz podmiotom świadczącym usługi IT.
2. Przesłankami
powierzenia przez Administratora przetwarzania danych osobowych
innemu podmiotowi są każdorazowo:
a) związek funkcjonalny ze
stosunkiem prawnym łączącym Administratora z podmiotem
przetwarzającym i
b) niezbędność powierzenia danych osobowych
dla zapewnienia wykonania usługi lub umowy.
3. Administrator
może także powierzyć dane podmiotom przetwarzającym, względem których
przekazania danych wymagają obowiązujące przepisy prawa.
4. W
ramach powierzenia przetwarzania danych osobowych Administrator
korzysta wyłącznie z usług takich podmiotów przetwarzających, które
zapewniają wystarczające gwarancje wdrożenia odpowiednich środków
technicznych i organizacyjnych.
5. Administrator zawiera z
podmiotami, o których mowa w ust. 1 i 3 powyżej umowę o powierzenie
przetwarzania danych osobowych regulującą zasady powierzenia
przetwarzania danych, zobowiązując je do zapewnienia odpowiednich
zabezpieczeń przekazanych danych.
Sposób przepływu danych pomiędzy różnymi systemami informatycznymi określa załącznik nr 5 do Polityki - Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania.
Zmiana niniejszej Polityki oraz innych dokumentów określających zasady ochrony danych osobowych należy do wyłącznej decyzji Administratora.
1. Niniejszy dokument zawiera informacje dotyczące zabezpieczeń
wykorzystywanych w ramach prowadzenia działalności przez
Administratora.
2. Treść Polityki stanowi tajemnicę
przedsiębiorstwa w rozumieniu art. 11 ust. 4 ustawy z dnia 16
kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z
2003 r. Nr 153, poz. 1503 ze zm.) W związku z powyższym, osoby, które
przetwarzają dane osobowe w imieniu Administratora obowiązane są
zapoznać się z treścią niniejszego dokumentu i zachować go w
poufności, także po ustaniu współpracy z Administratorem przez okres
15 lat.
3. Wybrane elementy niniejszej Polityki mogą zostać
udostępnione podmiotom trzecim za zgodą Administratora wyrażoną w
formie pisemnej pod rygorem nieważności po zawarciu stosownej umowy o
zachowaniu poufności.
4. W sprawach nieuregulowanych niniejszą
Polityką zastosowanie ma RODO oraz polskie przepisy dotyczące ochrony
danych osobowych.
5. Administrator odpowiedzialny jest za
zarządzanie Polityką, w tym również za jej aktualizację, utrzymywanie
spójności z innymi dokumentami oraz rozpowszechnianie.
6.
Integralną część niniejszej Polityki stanowią następujące
załączniki:
a) załącznik nr 1 - Wykaz budynków, pomieszczeń lub
części pomieszczeń, tworzących obszar, w którym przetwarzane są dane
osobowe i tworzących obszar przetwarzania danych osobowych,
b)
załącznik nr 2 – Wzór upoważnienia do przetwarzania danych
osobowych wraz oświadczeniem o zachowaniu ich w poufności,
c)
załącznik nr 3 –Ewidencja osób upoważnionych do przetwarzania
danych osobowych,
d) załącznik nr 4 - Procedura mająca
zastosowanie w razie wystąpienia naruszeń ochrony danych
osobowych,
e) załącznik nr 5 - Wykaz zbiorów danych i systemów
zastosowanych do ich przetwarzania.
7. Dokumentami powiązanymi z
niniejszą Polityką są Polityka prywatności, wzory umów powierzenia
przetwarzania danych osobowych oraz wzory klauzul informacyjnych
stosowanych przez Administratora.