§ 1
Celem Polityki ochrony danych osobowych, zwanej dalej „Polityką” w przedsiębiorstwie Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe, ul. Kaliny 95/28, 41-506 Chorzów, jest uzyskanie zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.
§ 2
- Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
- Administratorem danych osobowych przetwarzanych w przedsiębiorstwie Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe, ul. Kaliny 95/28, 41-506 Chorzów, jest Angelika Krupińska.
§ 3
- Zastosowane w Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe zabezpieczenia mają zapewnić:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
- dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
- zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
- Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:
- wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania danych osobowych oraz ich odpowiedzialność za ochronę tych danych.
- przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych.
- przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).
- podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,
- okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.
§ 4
Przez użyte w Polityce określenia należy rozumieć:
- administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
- ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz. 1000)
- RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
- dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
- przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
- system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
- system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
- zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
- odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
- strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
- użytkownik –osoba upoważniona do przetwarzania danych osobowych,
- RCPD lub rejestr oznacza rejestr czynności przetwarzania danych osobowych. Rejestr czynności stanowi załącznik nr 1 do niniejszej Polityki.
§ 5
- W Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe przetwarzane są dane osobowe klientów, partnerów biznesowych, pracowników i kandydatów do pracy.
- Informacje te są przetwarzane zarówno w postaci dokumentacji papierowej, jak i elektronicznej.
- Polityka zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
- Innymi dokumentami regulującymi ochronę danych osobowych w Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe są:
- Rejestr czynności przetwarzania danych osobowych,
- Procedura postępowania w przypadku naruszenia ochrony danych osobowych,
- Polityka prywatności
§ 6
Politykę stosuje się w szczególności do:
- danych osobowych przetwarzanych w systemie: Microsoft Office,
- wszystkich informacji dotyczących danych klientów, pracowników, kandydatów do pracy, partnerów biznesowych
- odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia
- informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
- innych dokumentów zawierających dane osobowe.
§ 7
- Zakresy ochrony danych osobowych określone przez Politykę oraz inne z nią związane dokumenty mają zastosowanie do:
- wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
- wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
- wszystkich pracowników, stażystów, i innych osób mających dostęp do informacji podlegających ochronie.
- Do stosowania zasad określonych przez Politykę oraz innych z nią związanych dokumentów zobowiązane są wszystkie osoby mające dostęp do danych osobowych podlegających ochronie.
§ 8
- W Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe dane osobowe są przetwarzane z poszanowaniem następujących zasad:
- w oparciu o podstawę prawną i zgodnie z prawem (legalizm)
- rzetelnie i uczciwie (rzetelność)
- w sposób przejrzysty dla osoby, której dane dotyczą (transparentność)
- w konkretnych celach i nie „na zapas” (minimalizacja)
- nie więcej niż potrzeba (adekwatność)
- z dbałością o prawidłowość (prawidłowość)
- nie dłużej niż potrzeba (czasowość)
- zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo)
§ 9
Dane osobowe gromadzone są w zbiorach:
- Umowy cywilno-prawne,- dokumentacja papierowa
- Umowy zawierane z klientami – dokumentacja papierowa
- Umowy o pracę – dokumentacja papierowa
- Rejestr klientów – forma elektroniczna
- Dokumenty archiwalne – dokumentacja papierowa
- Dokumenty księgowe – dokumentacja papierowa i elektroniczna
§ 10
- Za naruszenie ochrony danych osobowych uważa się w szczególności:
- nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują
- naruszenie lub próby naruszenia integralności danych rozumiane jako wszelkie modyfikacje, zniszczenia lub próby ich dokonania przez osoby nieuprawnione lub uprawnione działające w złej wierze lub jako błąd w działaniu osoby uprawnionej (np. zmianę zawartości danych, utratę całości lub części danych),
- naruszenie lub próby naruszenia integralności systemu
- zmianę lub utratę danych zapisanych na kopiach zapasowych,
- naruszenie lub próby naruszenia poufności danych,
- nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
- udostępnienie osobom nieupoważnionym danych osobowych
- zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w system informatyczny zmierzające do zakłócenia jego działania bądź pozyskania w sposób niedozwolony lub w celach niezgodnych z przeznaczeniem danych zawartych w systemie,
- inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy.
- za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań
- W przypadku stwierdzenia naruszenia:
- zabezpieczenia systemu informatycznego,
- technicznego stanu urządzeń,
- zawartości zbioru danych osobowych,
- ujawnienia metody pracy lub sposobu działania programu,
- jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
- innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.) każda osoba zatrudniona przy przetwarzaniu danych jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora danych.
- Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne lub porządkowe.
- Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.
§ 11
Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:
- uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby administratora danych;
- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
- uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
- uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
- uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
- żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem
§ 12
Dane osobowe przetwarzane są w lokalu usytuowanym przy ul. Kaliny 95/28, 41-506 Chorzów.
§ 13
W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych.
- Zabezpieczenia organizacyjne:
- opracowano i wdrożono Politykę ochrony danych osobowych,
- stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych,
- opracowano i bieżąco prowadzi się rejestr czynności przetwarzania (Wzór stanowi Załącznik nr 1 do niniejszej Polityki)
- osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
- osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
- przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
- przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
- dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
- Zabezpieczenia techniczne:
- router zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą specjalistycznego oprogramowania „firewall”,
- stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
- komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania,
- dane osobowe przesyłane drogą elektroniczną będą odpowiednio zabezpieczane
- Środki ochrony fizycznej:
- urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach,
- dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach,
- dostęp do kluczy posiadają tylko upoważnieni pracownicy i współpracownicy
- dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf,
- monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane,
- błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione - niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.
§ 14
- Na terenie przedsiębiorstwa Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe funkcjonuje monitoring wizyjny.
- Dane pozyskane z monitoringu wizyjnego przechowywane są przez okres nie dłuższy niż 3 miesiące od dnia nagrania.
- Teren monitorowany jest odpowiednio oznaczony, zgodnie z art. 222 § 9 i 10 Kodeksu Pracy.
§ 15
- Polityka została opracowana w oparciu o wymagania zawarte w:
- Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
- Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000),
- Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.
- Użytkownicy są zobowiązani zapoznać się z treścią Polityki.
- Użytkownik zobowiązany jest złożyć oświadczenie o tym, iż został zaznajomiony z przepisami RODO, ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych, z niniejszą Polityką, a także zobowiązać się do ich przestrzegania.
- W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.
- Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych postanowień zawartych w niniejszej Polityce. W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u administratora danych, użytkownicy mają obowiązek stosowania unormowań dalej idących, których stosowanie zapewni wyższy poziom ochrony informacji.
Załącznik: