§ 1

Celem Polityki ochrony danych osobowych, zwanej dalej „Polityką” w przedsiębiorstwie Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe, ul. Kaliny 95/28, 41-506 Chorzów, jest uzyskanie zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.

§ 2

  1. Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
  2. Administratorem danych osobowych przetwarzanych w przedsiębiorstwie Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe, ul. Kaliny 95/28, 41-506 Chorzów, jest Angelika Krupińska.

§ 3

  1. Zastosowane w Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe zabezpieczenia mają zapewnić:
    1. poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
    2. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
    3. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
    4. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
    5. dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
    6. zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
  2. Realizację powyższych zamierzeń powinny zagwarantować następujące założenia:
    1. wdrożenie procedur określających postępowanie osób dopuszczonych do przetwarzania danych osobowych oraz ich odpowiedzialność za ochronę tych danych.
    2. przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych.
    3. przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory).
    4. podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń,
    5. okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych.

§ 4

Przez użyte w Polityce określenia należy rozumieć:

  1. administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
  2. ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych           ( Dz.U. z 2018 r., poz. 1000)
  3. RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
  4. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
  5. przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
  6. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
  7. system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
  8. zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
  9. odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
  10. strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
  11. użytkownik –osoba upoważniona do przetwarzania danych osobowych,
  12. RCPD lub rejestr oznacza rejestr czynności przetwarzania danych osobowych. Rejestr czynności stanowi załącznik nr 1 do niniejszej Polityki.

§ 5

  1. W Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe przetwarzane są dane osobowe klientów, partnerów biznesowych, pracowników i kandydatów do pracy.
  2. Informacje te są przetwarzane zarówno w postaci dokumentacji papierowej, jak i elektronicznej.  
  3. Polityka zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
  4. Innymi dokumentami regulującymi ochronę danych osobowych w Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe są:   
    1. Rejestr czynności przetwarzania danych osobowych,
    2. Procedura postępowania w przypadku naruszenia ochrony danych osobowych,
    3. Polityka prywatności

§ 6

Politykę stosuje się w szczególności do:

  1. danych osobowych przetwarzanych w systemie: Microsoft Office,
  2. wszystkich informacji dotyczących danych klientów, pracowników, kandydatów do pracy, partnerów biznesowych
  3. odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia
  4. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
  5. innych dokumentów zawierających dane osobowe.

§ 7

  1. Zakresy ochrony danych osobowych określone przez Politykę oraz inne z nią związane dokumenty mają zastosowanie do:
    1. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
    2. wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
    3. wszystkich pracowników, stażystów, i innych osób mających dostęp do informacji podlegających ochronie.
  2. Do stosowania zasad określonych przez Politykę oraz innych z nią związanych dokumentów zobowiązane są wszystkie osoby mające dostęp do danych osobowych podlegających ochronie.

§ 8

  1. W Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe dane osobowe są przetwarzane z poszanowaniem następujących zasad:
    1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm)
    2. rzetelnie i uczciwie (rzetelność)
    3. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność)
    4. w konkretnych celach i nie „na zapas” (minimalizacja)
    5. nie więcej niż potrzeba (adekwatność)
    6. z dbałością o prawidłowość (prawidłowość)
    7. nie dłużej niż potrzeba (czasowość)
    8. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo)

§ 9

Dane osobowe gromadzone są w zbiorach:

  1. Umowy cywilno-prawne,- dokumentacja papierowa
  2. Umowy zawierane z klientami – dokumentacja papierowa
  3. Umowy o pracę – dokumentacja papierowa
  4. Rejestr klientów – forma elektroniczna
  5. Dokumenty archiwalne – dokumentacja papierowa 
  6. Dokumenty księgowe – dokumentacja papierowa i elektroniczna

§ 10

  1.  Za naruszenie ochrony danych osobowych uważa się w szczególności:
    1. nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują
    2. naruszenie lub próby naruszenia integralności danych rozumiane jako wszelkie modyfikacje, zniszczenia lub próby ich dokonania przez osoby nieuprawnione lub uprawnione działające w złej wierze lub jako błąd w działaniu osoby uprawnionej (np. zmianę zawartości danych, utratę całości lub części danych),
    3. naruszenie lub próby naruszenia integralności systemu
    4. zmianę lub utratę danych zapisanych na kopiach zapasowych,
    5. naruszenie lub próby naruszenia poufności danych,
    6. nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),
    7. udostępnienie osobom nieupoważnionym danych osobowych
    8. zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w system informatyczny zmierzające do zakłócenia jego działania bądź pozyskania w sposób niedozwolony lub w celach niezgodnych z przeznaczeniem danych zawartych w systemie,
    9. inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy.
    10. za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań
  2. W przypadku stwierdzenia naruszenia:
    1. zabezpieczenia systemu informatycznego,
    2. technicznego stanu urządzeń,
    3. zawartości zbioru danych osobowych,
    4. ujawnienia metody pracy lub sposobu działania programu,
    5. jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
    6. innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.) każda osoba zatrudniona przy przetwarzaniu danych jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora danych.
  3. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne lub porządkowe.
  4. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.

§ 11

Każdej osobie, której dane osobowe są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:

  1. uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby administratora danych;
  2. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
  3. uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
  4. uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
  5. uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
  6. żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem

§ 12

Dane osobowe przetwarzane są w lokalu usytuowanym przy ul. Kaliny 95/28, 41-506 Chorzów.

§ 13

W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych.

  1. Zabezpieczenia organizacyjne:
    1. opracowano i wdrożono Politykę ochrony danych osobowych,
    2. stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych,
    3. opracowano i bieżąco prowadzi się rejestr czynności przetwarzania   (Wzór stanowi Załącznik nr 1 do niniejszej Polityki)
    4. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
    5. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
    6. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
    7.  przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
    8.  dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
  2. Zabezpieczenia techniczne:
    1. router zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą specjalistycznego oprogramowania „firewall”,
    2. stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,
    3. komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania,
    4. dane osobowe przesyłane drogą elektroniczną będą odpowiednio zabezpieczane
  3. Środki ochrony fizycznej:
    1. urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach,
    2. dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach,
    3. dostęp do kluczy posiadają tylko upoważnieni pracownicy i współpracownicy
    4. dane w formie papierowej mogą znajdować się na biurkach tylko na czas niezbędny na dokonanie czynności służbowych, a następnie muszą być chowane do szaf,
    5. monitory komputerów, na których przetwarzane są dane, są tak ustawione, aby osoby nieupoważnione nie miały wglądu w dane,
    6. błędne lub nieaktualne wydruki i wersje papierowe zawierające dane osobowe lub inne informacje chronione - niszczone są za pomocą niszczarki lub w inny mechaniczny sposób uniemożliwiający powtórne ich odtworzenie.

§ 14

  1. Na terenie przedsiębiorstwa Angelika Krupińska „Amanda” Przedsiębiorstwo Handlowe funkcjonuje monitoring wizyjny.
  2. Dane pozyskane z monitoringu wizyjnego przechowywane są przez okres nie dłuższy niż 3 miesiące od dnia nagrania.
  3. Teren monitorowany jest odpowiednio oznaczony, zgodnie z art. 222 § 9 i 10 Kodeksu Pracy.

§ 15

 

  1. Polityka została opracowana w oparciu o wymagania zawarte w:
    1. Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
    2. Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000),
  2. Polityka jest dokumentem wewnętrznym i nie może być udostępniana osobom postronnym w żadnej formie.
  3. Użytkownicy są zobowiązani zapoznać się z treścią Polityki.
  4. Użytkownik zobowiązany jest złożyć oświadczenie o tym, iż został zaznajomiony z przepisami RODO, ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych, z niniejszą Polityką, a także zobowiązać się do ich przestrzegania.
  5. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie aktualnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych.
  6. Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych postanowień zawartych w niniejszej Polityce. W wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących u administratora danych, użytkownicy mają obowiązek stosowania unormowań dalej idących, których stosowanie zapewni wyższy poziom ochrony informacji.

Załącznik:

  1. Wzór Rejestru Czynności Przetwarzania Danych

Specjalnie dla Ciebie

załóż konto i zyskaj

CLUB CLODI

STAŁY RABAT -5% 

i niespodzianka urodzinowa

ZAŁÓŻ KONTO

*szczegóły dostępne w regulaminie