GDPR Compliance (RODO)

Polityka bezpieczeństwa przetwarzania danych osobowych

 

I.         Wprowadzenie

Niniejszy dokument wchodzi w skład dokumentacji przewarzania danych osobowych w firmie dotMedia sp. z o.o.

Celem Polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki Administratora danych osobowych w zakresie zabezpieczenia danych osobowych.

Wraz z Instrukcją Zarządzania Systemem Informatycznym Polityka Bezpieczeństwa opisuje sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczające dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem, zniszczeniem lub innym zagrożeniem powodującym naruszenie praw i wolności osoby, której dane dotyczą.

Podstawą do wdrożenia powyższych zasad jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

 

II.         Deklaracja Administratora Danych Osobowych

Jako Administrator Danych Osobowych jestem świadomy wagi problemów związanych z ochroną prawa do prywatności, w tym w szczególności prawa osób fizycznych do właściwej i skutecznej ochrony ich danych przetwarzanych przez Administratora, deklaruję zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych.

Jako Administrator Danych Osobowych jestem świadomy zagrożeń związanych z przetwarzaniem danych osobowych. Będę stale doskonalić i rozwijać organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie, tak, aby skutecznie zapobiegać zagrożeniom:

  • związanym z infekcjami wirusów, koni trojańskich i innego złośliwego oprogramowania,
  • związanym z dostępem do stron internetowych, na których zainstalowane są skrypty pozwalające wykradać zasoby komputera,
  • związanym z możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki,
  • związanym z możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane,
  • związanym z lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich należytego zabezpieczenia,
  • związanym z brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy,
  • związanym z działaniami mającymi na celu zaburzenie poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
  • związanym z kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone,
  • związanym z przekazywaniem sprzętu z danymi do serwisu,

i innym zagrożeniom mogącym wystąpić w przyszłości w związku z rozwojem techniki metod przetwarzania danych.

Administrator danych osobowych

                                                                             dotMedia sp. z o.o.

 

 

III.         Definicje

W niniejszym dokumencie oraz Instrukcji Zarządzania Systemem Informatycznym przyjmuje się następujące definicje:

1.     Administrator Danych Osobowych

dotMedia sp. z o.o. zwany dalej ADO lub Administratorem. „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

2.     Dane osobowe

Oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określa­jących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

3.     Zbiór danych osobowych

Oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

4.     Przetwarzanie danych osobowych

Oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

5.     Rozporządzenie lub RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

6.     Polityka Bezpieczeństwa

Niniejsza Polityka Bezpieczeństwa obejmująca zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych w organizacji ADO.

7.     UODO

Urząd Ochrony Danych Osobowych.

8.     System informatyczny

Zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

9.     Pracownik, Personel

Osoby zatrudnione na podstawie stosunku pracy, umów cywilnoprawnych (umowa o dzieło, umowa zlecenia) przez przedsiębiorcę, wykonujące działalność osobiście, jak również osoby odbywające praktyki, stażyści, osoby skierowane do pracy w ramach umów z agencjami pracy tymczasowej wykonujące prace związane z przetwarzaniem danych osobowych u ADO.

10.  Użytkownik

Każda osoba w organizacji ADO posiadająca dostęp i korzystająca z narzędzi umożliwiających przetwarzanie danych osobowych na podstawie nadanego upoważnienia i na polecenie ADO.

11.  Hasło

Ciąg znaków literowych, cyfrowych lub innych, znany jedynie Użytkownikowi Systemu informatycznego. Hasło użytkownika składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

12.  Identyfikator użytkownika lub login

Ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym

13.  Dane wrażliwe

Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby

14.  Integralność danych

Właściwość zapewniająca, że dane osobowe nie zostały zmienione, zmodyfikowane lub zniszczone w sposób nieautoryzowany.

15.  Rozliczalność danych

Właściwość zapewniająca możliwość wykazania przestrzegania przepisów i przypisania działania podmiotu w sposób jednoznaczny tylko temu podmiotowi

16.  Poufność danych

Właściwość zapewniająca odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

17.  Strona trzecia

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.

18.  Profilowanie

Oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

19.  Pseudonimizacja

Oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

20.  Podmiot przetwarzający

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

21.  Odbiorca

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

22.  Zgoda

Osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

23.  Naruszenie ochrony danych osobowych

Oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

IV.         Zasady przetwarzania danych osobowych

 Przetwarzanie danych osobowych zarówno przez ADO, jak i jego personel odbywa się z poszanowaniem obowiązujących przepisów, dobrych praktyk oraz niniejszej Polityki Bezpieczeństwa.

ADO dokładana wszelkich starań, aby stosowane środki zabezpieczeń danych osobowych były adekwatne do zagrożeń wynikających ze sposobu, jak również kategorii przetwarzanych danych osobowych. W celu dostosowania odpowiednich zabezpieczeń przeprowadzono analizę ryzyka.

Dane osobowe są:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

ADO jest odpowiedzialny za spełnienie powyższych wymogów i jest w stanie wykazać ich przestrzeganie („rozliczalność”).

1)    Przetwarzanie danych przez personel ADO

W celu zapewniania kontroli i zachowania zasady rozliczalności do przetwarzania danych osobowych dopuszczone są wyłącznie osoby posiadające wiążące upoważnienie do przetwarzania danych nadane przez ADO.

Wzór upoważnienia stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa.

Upoważnienia o których mowa powyżej ewidencjonowane są w Ewidencji upoważnień, która stanowi załącznik nr 2 do niniejszej dokumentacji i prowadzona jest przez ADO.

Każda osoba, z którą podpisane zostało upoważnienie do przetwarzania danych oświadcza jednocześnie, że zobowiązuje się do przestrzegania zapisów prawa oraz wewnętrznych procedur i regulacji ADO, zobowiązując się również do zachowania w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia.

Powyższe oświadczenie i zobowiązanie potwierdzone zostaje w postaci pisemnej uwzględnionej w upoważnieniu do przetwarzania danych osobowych (załącznik nr 1).

Wydanie upoważnienia uznaje się za wydanie polecenia przetwarzania danych przez ADO.

Osoby, które nie realizują powyższych przesłanek (podpisanie upoważnienia oraz oświadczenia i zobowiązania) nie mogą przetwarzać danych osobowych w organizacji ADO.

2)    Powierzanie danych osobowych innym firmom i podmiotom

W ramach prowadzonej działalności ADO może powierzyć dane osobowe, zgodnie z zasadami opisanymi w art. 28 RODO.

ADO powierza dane osobowe wyłącznie podmiotom przetwarzającym, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia RODO i chroniło prawa osób, których dane dotyczą.

Przy powierzeniu danych osobowych zawarta zostaje Umowa powierzenia, w której określa się cel powierzenia, jego zakres oraz zapewnienie podmiotu, któremu dane powierzono do stosowania odpowiedniej ochrony danych i ich zabezpieczenia.

Podmiot, z którym zawarto umowę powierzenia zobowiązany jest do udostępnienia ADO informacji, na temat spełnienia obowiązku zapewnienia należytej ochrony.

Informacja o podmiotach, którym powierzono dane osobowe stanowi załącznik nr 3 do niniejszej Polityki bezpieczeństwa.

3)    Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

3.1       Administrator może korzystać w Sklepie Internetowym z profilowania do celów marketingu bezpośredniego, ale decyzje podejmowane na jego podstawie przez Administratora nie dotyczą zawarcia lub odmowy zawarcia Umowy Sprzedaży, czy też możliwości korzystania z Usług Elektronicznych w Sklepie Internetowym. Efektem korzystania z profilowania w Sklepie Internetowym może być np. przyznanie danej osobie rabatu, przesłanie jej kodu rabatowego, przypomnienie o niedokończonych zakupach, przesłanie propozycji Produktu, który może odpowiadać zainteresowaniom lub preferencjom danej osoby lub też zaproponowanie lepszych warunków w porównaniu do standardowej oferty Sklepu Internetowego. Mimo profilowania to dana osoba podejmuje swobodnie decyzję, czy będzie chciała skorzystać z otrzymanego w ten sposób rabatu, czy też lepszych warunków i dokonać zakupu w Sklepie Internetowym.

3.2       Profilowanie w Sklepie Internetowym polega na automatycznej analizie lub prognozie zachowania danej osoby na stronie Sklepu Internetowego np. poprzez dodanie konkretnego Produktu do koszyka, przeglądanie strony konkretnego Produktu w Sklepie Internetowym, czy też poprzez analizę dotychczasowej historii dokonanych zakupów w Sklepie Internetowym. Warunkiem takiego profilowania jest posiadanie przez Administratora danych osobowych danej osoby, aby móc jej następnie przesłać np. kod rabatowy.

3.3       Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

 

V.         Obowiązki ADO i Personelu

1)   Obowiązki ADO

ADO decyduje o środkach, celach i sposobach przetwarzania danych osobowych, dlatego zobowiązany jest do:

  1. Zastosowania środków technicznych i organizacyjnych niezbędnych do zapewnienia bezpieczeństwa przetwarzanym danym w stopniu adekwatnym do potencjalnego zagrożenia wykazanego w przeprowadzonej analizie ryzyka.
  2. Dopuszczenia do przetwarzania danych osobowych tylko osób upoważnionych.
  3. Prowadzenia dokumentacji określającej sposoby przetwarzania danych osobowych i zapewniającej zachowanie zasady rozliczalności:
  • Polityki bezpieczeństwa
  • Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
  • Wydawania upoważnień do przetwarzania danych osobowych. Wzór upoważnienia stanowi załącznik nr 1
  • Ewidencji upoważnień osób uprawnionych do przetwarzania danych osobowych w organizacji ADO. Ewidencja upoważnień stanowi załącznik nr 2.
  • Ewidencji podmiotów, którym powierzono przetwarzanie danych. Ewidencja podmiotów stanowi załącznik nr 3
  • Rejestru czynności przetwarzanych danych osobowych, który stanowi załącznik nr 4
  • Analizy ryzyka wraz z oceną skutków dla przetwarzania danych osobowych stanowiących.

Oraz zadbania o należyte opracowanie i aktualizację wyżej wymienionej dokumentacji, jak również przestrzeganie zasad w niej opisanych.

  1. Zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami i zasadami przetwarzania danych osobowych.
  2. Zadbania o zgodne z prawem powierzanie i udostępnianie danych osobowych.
  3. Zapewnienie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, jak również kontrolę i nadzór nad osobami, które przebywają w obszarze przetwarzania.
  4. Nadawanie, zmianę lub pozbawienie uprawnień dostępu do systemu informatycznego, w którym przetwarzane są dane osobowe.
  5. Zapewnienie ochrony antywirusowej.
  6. Tworzenie kopii zapasowych danych osobowych.
  7. Zapewnienie respektowania praw osób, których dane dotyczą, a w szczególności prawa do:
    • Uzyskania informacji o Administratorze Danych Osobowych.
    • Uzyskania informacji o celach, zakresie i sposobach przetwarzania danych.
    • Uzyskania informacji o momencie rozpoczęcia przetwarzania danych.
    • Uzyskania informacji o tym, jakie dane są przetwarzane.
    • Uzyskania informacji o źródle, z którego dane pochodzą.
    • Uzyskania informacji o sposobie udostępniania danych oraz ich odbiorcach.
    • Żądania uzupełnienia, uaktualnienia, sprostowania danych,
    • Wniesienia umotywowanego wniosku do zaprzestania przetwarzania danych,
    • Wycofania zgody na przetwarzanie danych osobowych.
    • Usunięcia danych („prawo do bycia zapomnianym”),
    • Ograniczenia przetwarzania ,
    • Przenoszenia danych.

2)   Obowiązki Pracowników i Personelu

Poniższe obowiązki dotyczą Pracowników, Personelu, jak również wszystkich osób upoważnionych przez ADO do przetwarzania danych osobowych i w szczególności odnoszą się do:

  1. Przestrzegania zaleceń i zasad ochrony danych osobowych wprowadzonych przez ADO.
  2. Ochrony danych osobowych zgodnie z obowiązującymi przepisami prawa.
  3. Przetwarzania danych osobowych tylko w zakresie określonym przez ADO.
  4. Zgłaszania do ADO incydentów wynikających z naruszenia przepisów i zasad ochrony danych, w tym:
  • Informacji o nieuprawnionym dostępie do danych osobowych.
  • Usterek i problemów technicznych urządzeń służących do przetwarzania danych osobowych.
  • Wykrycia wirusów oraz złośliwego oprogramowania, jak również wszelkich innych potencjalnych zagrożeń (w tym np. kradzież lub wyciek danych, atak na system informatyczny etc.)
  • Wszelkich innych nieprawidłowości i potencjalnych zagrożeń związanych z naruszeniem ochrony danych osobowych.
  1. Zabezpieczenie nośników i dokumentów zawierających dane osobowe przed nieuprawnionym dostępem.
  2. Niszczenie w sposób trwały i niemożliwy do odzyskania dokumentów oraz nośników, na których przechowywane są dane osobowe, których okres przydatności minął.
  3. Niezapisywania haseł dostępu do systemu informatycznego ADO oraz oprogramowania, w którym dane są przetwarzane w formie umożliwiającej dostęp do hasła osobom trzecim i nieuprawnionym.

3)    Rejestrowanie naruszeń w ochronie danych osobowych

  1. W przypadku wykrycia naruszenia ochrony danych osobowych należy przeprowadzić analizę, czy skutkuje ono ryzykiem naruszenia praw i wolności osób, których dane dotyczą.
  2. Analizując naruszenie należy brać pod uwagę następujące czynniki:
    1. Ilu osób, których dane osobowe zbieramy dotyczy naruszenie?
    2. Jakie dane zostały naruszone (np. imię, nazwisko, adres e-mail)?
    3. W jaki sposób dane były zabezpieczone (np. szyfrowanie, kopia zapasowa)?
    4. Czy naruszenie może spowodować konsekwencje prawne, finansowe lub wizerunkowe dla osób, których dane dotyczą?
  3. Jeśli w ramach powyższej analizy wykazano, że naruszenie może skutkować naruszeniem praw i wolności osób, których dane dotyczą należy dokonać zgłoszenia w urzędzie w miarę możliwości bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.
  4. Zgłoszenie o którym mowa w p. 3 składa się w sposób cyfrowy, poprzez stronę: https://uodo.gov.pl/pl/134/233
  5. Zgłaszając naruszenie należy postępować zgodnie z opisem znajdującym się na stronie urzędu.
  6. Jeśli naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych należy bez zbędnej zwłoki zawiadomić te osoby, chyba że:
  7. a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  8. b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
  9. c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  10. Zawiadomienie osoby, której dane dotyczą powinno jasnym i prostym językiem opisywać charakter naruszenia oraz zawierać przynajmniej następujące informacje:
  • Dane kontaktowe do Administratora danych (nazwa, telefon, mail, adres do korespondencji).
  • Możliwe konsekwencje wynikające z naruszenia (np. upublicznienie adresu zamieszkania).
  • Środki zastosowane lub proponowane w celu zaradzenia skutkom naruszenia.
VI.         Realizacja praw podmiotów danych
  1. Administrator danych osobowych podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą wszelkich informacji, o których mowa w art. 14 i 14 RODO (informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą, Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą).

1)    Informacje, do który może uzyskać dostęp osoba, której dane dotyczą

  1. Każda osoba, której dane osobowe przetwarzane są przez Administratora danych osobowych ma prawo do uzyskania potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce jest uprawniona do uzyskania dostępu do nich oraz uzyskania następujących informacji od ADO:
  2. jakie są cele przetwarzania jej danych;
  3. kategorie odnośnych danych osobowych;
  4. kto jest odbiorcą danych i komu zostają ujawnione w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  5. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  6. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  7. informacje o prawie wniesienia skargi do organu nadzorczego;
  8. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  9. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  10. Osoba, której dane dotyczą ma prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu. Jeśli osoba zwraca się o kopię drogą elektroniczną (np. przez pocztę e-mail) i nie zaznaczy innej formy, ADO przesyła kopię taką samą drogą.

2)    Prawa osób, których dane dotyczą i sposób ich realizacji

1)    Prawo do sprostowania danych

  1. Osoba, której dane dotyczą, ma prawo żądania od ADO niezwłocznego sprostowania dotyczących jej danych osobowych, jeśli są one nieprawidłowe. Dla konkretnego celu osoba, której dane dotyczą może również żądać uzupełnienia niekompletnych danych.
  2. W celu realizacji powyższych zadań ADO dokłada wszelkich starań, aby niezwłocznie reagować na informacje o nieprawidłowych lub niekompletnych danych i dokonać poprawienia / uzupełnienia danych.

2)    Prawo do usunięcia danych („prawo do bycia zapomnianym”)

  1. W przypadku żądania osoby, której dane dotyczą usunięcia jej danych, ADO usuwa w sposób trwały dane z każdego systemu informatycznego, oraz, jeśli ma to miejsce – danych w formie papierowej oraz z kopii zapasowych, jeśli:
  • Dane nie są już niezbędne do celu ich pozyskania (np. zrealizowano zamówienie w sklepie internetowym, dokonano zatrudnienia pracownika w procesie rekrutacji).
  • Osoba, której dane dotyczą cofnęła zgodę, na podstawie której dane są przetwarzane.
  • Osoba, której dane dotyczą wniesie sprzeciw co do przetwarzania jej danych, a ADO nie ma prawnie uzasadnionego celu dalszego przetwarzania danych.
  1. Żądanie usunięcia nie dotyczy danych, które wymagają od Administratora ich przetwarzania na podstawie obowiązujących przepisów prawa, np. w celach księgowo-podatkowych. W takiej sytuacji dane nadal mogą być przetwarzane w celach uzasadnionych przepisami prawa.

2.1  Procedura usunięcia danych osobowych

  1. Po otrzymaniu żądania osoby, której dane dotyczą usunięcia jej danych ADO dokonuje sprawdzenia lokalizacji, z jakich należy usunąć dane, a tym dla danych, których przetwarzanie powierzono innym odbiorcom.
  2. Dane zostają w sposób trwały i nieodzyskiwalny usunięte, ze wszystkich miejsc, co do których żądanie usunięcia jest uzasadnione, nie później niż w terminie miesiąca od wpłynięcia żądania.
  3. ADO informuje osobę, której dane dotyczą o usunięciu jej danych. W przypadku posiadania adresu korespondencyjnego, adresu e-mail lub innego zestawu danych niezbędnego do komunikacji, ADO dokonuje ich usunięcia niezwłocznie po przesłaniu komunikatu.
  4. W przypadku wątpliwości ADO co do pochodzenia żądania usunięcia, nie od osoby, której dane dotyczą (np. po otrzymaniu żądania w formie mailowej nie z adresu używanego wcześniej do korespondencji), ma on prawo do wstrzymania się od usunięcia danych do czasu potwierdzenia pochodzenia żądania.

3)    Prawo do ograniczenia przetwarzania

Osoba, której dane dotyczą, ma prawo żądania od ADO ograniczenia przetwarzania w następujących przypadkach:

  1. Jeśli osoba, której dane dotyczą zakwestionowała prawidłowość danych osobowych, ADO wstrzymuje się od przetwarzania takich danych (z wyjątkiem czynności przechowywania danych) do czasu sprawdzenia ich poprawności.
  2. Jeśli dane przetwarzane są niezgodnie z prawem, a osoba, której dane dotyczą sprzeciwia się ich usunięciu.
  3. W przypadku wystąpienia uzasadnionej konieczności usunięcia danych (np. wygaśnięcie celu przetwarzania), ale osoba, której dane dotyczą sprzeciwia się ich usunięciu, ze względu na ustalenie, dochodzenie lub obronę roszczeń.
  4. W przypadku uchylenia ograniczenia przetwarzania (np. ustalono poprawność danych) ADO informuje osobę, której dane dotyczą, o tym fakcie przed ponownym rozpoczęciem przetwarzania danych.

4)    Prawo do przenoszenia danych

  1. Osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadających się do odczytu maszynowego dane jej dotyczące, które dostarczyła ADO, oraz ma prawo przesłać te dane innemu administratorowi.
  2. W przypadku przetwarzania danych na podstawie uzyskanej zgody lub w celu realizacji umowy, osoba której dane dotyczą ma prawo żądania, by dane osobowe zostały przesłane przez ADO innemu administratorowi, o ile jest to technicznie możliwe.

5)    Informowanie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

  1. W przypadku naruszenia ochrony danych osobowych, które może spowodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą ADO bez zbędnej zwłoki zawiadamia osobę o takim naruszeniu.
  2. Zawiadomienie o naruszeniu zawiera co najmniej:
  • Charakter naruszenia opisany jasnym i prostym językiem
  • Dane kontaktowe ADO, Inspektora Ochrony Danych lub innej osoby, od której można uzyskać szczegółowe informacje na temat naruszenia (np. informatyka).
  • Opis możliwych konsekwencji naruszenia danych.
  • Opis środków zastosowanych lub zaproponowanych przez ADO, które mają zaradzić lub ograniczyć negatywne skutki naruszenia danych.

VII.         Wykaz budynków i pomieszczeń tworzących obszar przetwarzania danych osobowych

 

1)    Obszar przetwarzania danych osobowych

Obszarem przetwarzania danych osobowych jest siedziba firmy znajdująca się pod adresem: Przemysłowa 21, 23-200 Kraśnik, gdzie dane osobowe przetwarzane są w następujących pomieszczeniach:

- pomieszczenie nr 1 – biuro/administracja

Dane osobowe mogą być również przetwarzane poza wyznaczonym obszarem przy użyciu urządzeń mobilnych.

 

VIII.         Środki techniczne i organizacyjnych niezbędne dla ochrony przetwarzanych danych

1)    Środki organizacyjne

  1. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
  2. Administrator danych kontroluje jakie dane osobowe, kiedy i przez kogo zostają do zbioru wprowadzone oraz komu są przekazywane.
  3. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania.
  4. Opracowano i wdrożono Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym.
  5. Osoby upoważnione do przetwarzania danych zobowiązane zostały do zachowania danych w tajemnicy.
  6. Osoby upoważnione do przetwarzania danych zostały zapoznane z obowiązującymi procedurami, przepisami i wytycznymi dotyczącymi przetwarzana danych zgodnie z obowiązującymi przepisami prawa ochrony danych osobowych.
  7. Osoby upoważnione do przetwarzania danych zobowiązane są do ich zabezpieczenia przed dostępem osób nieuprawnionych (w tym innych członków organizacji ADO nieposiadających upoważnienia do przetwarzania tych danych) poprzez:
  • blokadę komputera lub urządzenia używanego do przetwarzania danych w formie cyfrowej w momencie opuszczenia przez nią pomieszczenia poprzez wylogowanie się z konta lub wyłączenie urządzenia,
  • zabezpieczenie danych przetwarzanych w formie papierowej przed dostępem osób nieuprawnionych, zwłaszcza w momencie znajdowania się takiej osoby w obszarze przetwarzania danych np. poprzez zamknięcie dokumentów w szafce, biurku, sejfie lub poprzez inne, skuteczne zabezpieczenie,
  • zabezpieczenie papierowych oraz cyfrowych nośników danych po zakończeniu pracy, jeśli dostęp do pomieszczenia może uzyskać osoba postronna (np. serwis sprzątający, serwis urządzeń, ochrona budynku itd.),
  • ustawienie ekranów komputerów i innych urządzeń, na których dane są przetwarzane w sposób uniemożliwiający wgląd w dane osobom nieuprawnionych. Dotyczy to zarówno urządzeń znajdujących się w obszarze przetwarzania danych, jak u urządzeń mobilnych, na których dane przetwarzane są poza tym obszarem (np. przez stosowanie filtra prywatyzującego),
  1. Niedopuszczalne jest używanie nośników danych (pendrive, dysk zewnętrzny, telefon i inne) pochodzących z niewiadomego lub niepewnego źródła.
  2. Stosowanie odpowiedniej polityki haseł oraz ich regularną zmianę (szczegóły opisano w Instrukcji zarządzania systemem informatycznym.
  3. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
  4. Każdy z użytkowników systemu informatycznego, w którym przetwarzane są dane osobowe pracuje na własnym, unikalnym koncie.

Niedopuszczalne jest korzystanie kilku pracowników z jednego konta lub wymiana czy też udostępnienie hasła do takiego konta.

  1. Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego.
  2. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. 

2)    Środki ochrony fizycznej

3)    Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej

  1. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
  2. Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
  3. Użyto system Firewall do ochrony dostępu do sieci komputerowej. 

4)    Środki ochrony w ramach narzędzi programowych i baz danych

  1. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
  2. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
  3. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.